93/69 (IT) ประจำวันจันทร์ที่ 16 กุมภาพันธ์ 2569
สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ประกาศเพิ่มช่องโหว่ BeyondTrust รหัส CVE-2026-1731 (CVSS 9.9) ลงในรายการ Known Exploited Vulnerabilities (KEV) หลังพบหลักฐานว่าถูกนำไปใช้โจมตีจริง เป็นช่องโหว่ประเภท OS Command Injection ในผลิตภัณฑ์ Remote Support (RS) และ Privileged Remote Access (PRA) บางเวอร์ชัน เปิดโอกาสให้ผู้โจมตีที่ไม่มีสิทธิ์เข้าถึงระบบ (Unauthenticated) ส่งคำสั่งอันตรายเพื่อรันโค้ดระยะไกลได้ โดยไม่ต้องยืนยันตัวตนหรืออาศัยการโต้ตอบจากผู้ใช้ ซึ่งอาจนำไปสู่การยึดครองระบบและขโมยข้อมูลสำคัญ
สถานการณ์เริ่มน่ากังวลหลังพบการเผยแพร่ โค้ดตัวอย่างการโจมตี (PoC) บน GitHub เมื่อวันที่ 10 กุมภาพันธ์ 2026 โดย GreyNoise รายงานพบความพยายามสแกนหาเป้าหมายเพิ่มขึ้นภายใน 24 ชั่วโมง และมีที่อยู่ IP เดียวเป็นต้นตอของการสแกนถึง 86% ของกิจกรรมทั้งหมด โดยมุ่งไปที่การตรวจสอบพอร์ตที่ไม่ใช่มาตรฐาน เนื่องจากหลายองค์กรมักย้ายบริการออกจากพอร์ต 443 เพื่อความปลอดภัย คาดการณ์ว่ามีอินสแตนซ์ที่เชื่อมต่ออินเทอร์เน็ตอยู่ราว 11,000 แห่ง โดยเป็นระบบติดตั้งภายในองค์กร (On-premises) ถึง 8,500 แห่ง ซึ่งส่วนใหญ่เป็นหน่วยงานขนาดใหญ่ในภาคการเงิน สาธารณสุข และหน่วยงานรัฐ
CISA สั่งการให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ดำเนินการแก้ไขช่องโหว่ภายในวันที่ 16 กุมภาพันธ์ 2026 ตามข้อกำหนด BOD 22-01 ผู้เชี่ยวชาญระบุช่องโหว่ดังกล่าวเป็นตัวแปร (Variant) ที่เกี่ยวข้องกับช่องโหว่เก่าซึ่งเคยถูกนำไปใช้โจมตีมาก่อน แนะนำให้ผู้ใช้งานเร่งอัปเกรดเป็น Remote Support 25.3.2 หรือ Privileged Remote Access 25.1.1 ขึ้นไปทันที ส่วนลูกค้าที่ใช้บริการแบบ Cloud ได้รับการอัปเดตอัตโนมัติแล้วตั้งแต่วันที่ 2 กุมภาพันธ์ที่ผ่านมา
