ThaiCERT ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบการเปิดเผยช่องโหว่ความรุนแรงระดับวิกฤติในไลบรารี vm2 ซึ่งใช้เพื่อรัน JavaScript ที่ไม่น่าเชื่อถือในสภาพแวดล้อมแบบ Sandbox มีความรุนแรงระดับ Critical เปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดบนโฮสต์หรือเซิร์ฟเวอร์จริงได้
1. รายละเอียดช่องโหว่:
ช่องโหว่ CVE-2026-22709 เป็นช่องโหว่ระดับวิกฤติ (CVSS 9.8) ในไลบรารี vm2 ซึ่งมีหน้าที่สร้างพื้นที่แยกสำหรับรันโค้ด JavaScript ให้ทำงานอยู่ภายในกรอบที่กำหนด ช่องโหว่นี้อาจทำให้โค้ดที่ควรถูกจำกัดอยู่ภายใน sandbox สามารถข้ามข้อจำกัด และทำงานบนโฮสต์ได้ หากระบบนำ vm2 ไปใช้เพื่อรันโค้ดที่ผู้ใช้ที่ส่งเข้ามาหรือโค้ดจากแหล่งที่ไม่น่าเชื่อถือ ผู้โจมตีอาจใช้ช่องโหว่เพื่อสั่งให้ระบบดำเนินการด้วยสิทธิ์ของโปรแกรมที่ให้บริการอยู่ ส่งผลให้เกิดความเสี่ยงต่อการเข้าถึงข้อมูลสำคัญ การแก้ไขไฟล์หรือการตั้งค่า การติดตั้งมัลแวร์ และอาจนำไปสู่การเข้าควบคุมระบบได้
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ:
vm2 (npm package) เวอร์ชันที่ต่ำกว่า 3.10.2
3. แนวทางการแก้ไข:
อัปเดต vm2 เป็นเวอร์ชัน 3.10.2 หรือใหม่กว่า (แนะนำให้อัปเดตเป็นรุ่นล่าสุดที่ผู้พัฒนาเผยแพร่)
4. คำแนะนำด้านความปลอดภัยเพิ่มเติม
4.1 ระงับหรือจำกัดฟังก์ชัน ที่เปิดให้รันโค้ดจากผู้ใช้หรือแหล่งที่ไม่น่าเชื่อถือผ่าน vm2 ชั่วคราว เพื่อลดโอกาสถูกโจมตี
4.2 แยกส่วนการรันโค้ด ไปอยู่ในสภาพแวดล้อมที่จำกัดสิทธิ์มากขึ้น เช่น แยกโปรเซสหรือแยกเครื่อง จำกัดสิทธิ์ของระบบปฏิบัติการ เพื่อลดผลกระทบหากเกิด Sandbox Escape
4.3 เฝ้าระวังพฤติกรรมผิดปกติบนโฮสต์ เช่น การเรียกใช้คำสั่งระบบ การเขียนไฟล์ผิดปกติ สำหรับบริการที่มีการใช้งาน vm2
5. แหล่งอ้างอิง (References)
