ThaiCERT ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบช่องโหว่ระดับร้ายแรงจำนวน 4 รายการ ในซอฟต์แวร์ SolarWinds Serv-U Managed File Transfer (MFT) ซึ่งอาจเปิดโอกาสให้ผู้ไม่หวังดีสามารถรันคำสั่งจากระยะไกล (Remote Code Execution: RCE) และยกระดับสิทธิ์จนควบคุมเซิร์ฟเวอร์ในระดับ Root / Administrator ได้
1. รายละเอียดช่องโหว่
1.1 CVE-2025-40538 – Broken Access Control คะแนน CVSS v3.1 : 9.1 (Critical) เกิดจากการควบคุมสิทธิ์ที่ไม่เหมาะสม อาจทำให้ผู้โจมตีที่มีสิทธิ์ระดับสูงอยู่แล้ว สามารถสร้างบัญชีผู้ดูแลระบบ และรันคำสั่งระดับ Root/Administrator ได้
1.2 CVE-2025-40539 – Type Confusion คะแนน CVSS v3.1 : 9.1 (Critical) เกิดจากการจัดการชนิดข้อมูลไม่เหมาะสม ส่งผลให้ระบบประมวลผลข้อมูลผิดประเภท และอาจนำไปสู่การรันโค้ดระดับระบบ (Native Code Execution)
1.3 CVE-2025-40540 – Type Confusion คะแนน CVSS v3.1 : 9.1 (Critical) เป็นช่องโหว่เกี่ยวข้องกับการจัดการหน่วยความจำหรือชนิดข้อมูลผิดพลาด อาจถูกใช้เพื่อรันคำสั่งจากระยะไกลได้
1.4 CVE-2025-40541 – Insecure Direct Object Reference (IDOR) คะแนน CVSS v3.1 : 9.1 (Critical) เกิดจากการเข้าถึงทรัพยากรภายในระบบโดยไม่มีการตรวจสอบสิทธิ์ที่เหมาะสม อาจถูกใช้ร่วมกับกระบวนการของระบบเพื่อรันโค้ดจากระยะไกล
2. เวอร์ชันที่ได้รับผลกระทบ
• SolarWinds Serv-U 15.5
3. เวอร์ชันที่แก้ไขแล้ว
• SolarWinds Serv-U 15.5.4
4. แนวทางการแก้ไขและป้องกัน
4.1 อัปเดตเป็น Serv-U เวอร์ชัน 15.5.4 ทันที
4.2 เปิดใช้งาน Multi-Factor Authentication (MFA)
5. กรณีไม่สามารถอัปเดตได้ทันที (Mitigation ชั่วคราว)
5.1 ปิดหรือจำกัดการเข้าถึงหน้า Web Management Interface ไม่เปิดใช้งานสู่สาธารณะ
5.2 จำกัดสิทธิ์บัญชีผู้ใช้งานระดับสูง
ปิดใช้งานบัญชีที่ไม่จำเป็น ลบบัญชีที่ไม่ทราบที่มา และเปลี่ยนรหัสผ่านบัญชีผู้ดูแลระบบทั้งหมด
5.3 จำกัดพอร์ตที่เปิดใช้งานและปิดพอร์ตหรือบริการที่ไม่จำเป็น
6. แหล่งอ้างอิง
