ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยจาก CISA ที่มีการแจ้งเตือนช่องโหว่ที่กำลังถูกใช้โจมตีใน SolarWinds, Ivanti และ Workspace ONE จึงขอให้ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ดังกล่าวตรวจสอบเวอร์ชันของระบบ และดำเนินการอัปเดตแพตช์ด้านความปลอดภัยตามคำแนะนำของผู้ผลิตโดยเร็ว เพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่ดังกล่าว
1. รายละเอียดช่องโหว่
หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัย 3 รายการลงในบัญชี Known Exploited Vulnerabilities (KEV) หลังพบหลักฐานว่าช่องโหว่ดังกล่าวกำลังถูกผู้ไม่หวังดีนำไปใช้โจมตีจริง โดยช่องโหว่ที่เกี่ยวข้องมีดังนี้
1.1 CVE-2025-26399 ( คะแนน CVSSv.3.1: 9.8 ) – ช่องโหว่ Deserialization of Untrusted Data ในคอมโพเนนต์ AjaxProxy ของ SolarWinds Web Help Desk ซึ่งอาจทำให้ผู้โจมตีสามารถรันคำสั่งบนระบบเป้าหมายได้
1.2 CVE-2026-1603 ( คะแนน CVSSv3.1: 8.6 ) – ช่องโหว่ Authentication Bypass ใน Ivanti Endpoint Manager ที่อาจทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถเข้าถึงข้อมูล credential ที่ถูกจัดเก็บในระบบได้
1.3 CVE-2021-22054 ( คะแนน CVSSv.3.1: 7.5 ) – ช่องโหว่ประเภท Server-Side Request Forgery (SSRF) ใน Omnissa Workspace ONE UEM ซึ่งอาจทำให้ผู้โจมตีที่สามารถเข้าถึงเครือข่ายของระบบส่งคำขอไปยังเซิร์ฟเวอร์โดยไม่ต้องยืนยันตัวตน และเข้าถึงข้อมูลที่มีความสำคัญได้
2. ภาพรวมของช่องโหว่
2.1 รายงานจาก Microsoft และ Huntress ระบุว่ากลุ่มผู้โจมตีกำลังใช้ช่องโหว่ CVE-2025-26399 ใน SolarWinds Web Help Desk เพื่อเข้าถึงระบบในขั้นต้น (Initial Access) ซึ่งเชื่อว่ามีความเกี่ยวข้องกับกลุ่มแรนซัมแวร์ Warlock ransomware group
2.2 ในส่วนของ CVE-2026-1603 แม้จะถูกเพิ่มเข้าในบัญชี KEV แล้ว แต่ในปัจจุบันยังไม่มีรายละเอียดทางเทคนิคเกี่ยวกับรูปแบบการโจมตีที่ถูกใช้ในสถานการณ์จริง
2.2 GreyNoise เคยตรวจพบการใช้ประโยชน์จากช่องโหว่ CVE-2021-22054 ตั้งแต่ปี 2025 โดยมักถูกใช้ร่วมกับช่องโหว่ SSRF ในผลิตภัณฑ์อื่น ๆ เพื่อดำเนินการโจมตีแบบเป็นแคมเปญ
3. แนวทางการแก้ไข
3.1 อัปเดตแพตช์หรือเวอร์ชันของซอฟต์แวร์เป็น Fixed Release ที่ผู้พัฒนาผลิตภัณฑ์เผยแพร่แล้ว
3.2 ตรวจสอบประกาศด้านความปลอดภัยจากผู้ผลิตซอฟต์แวร์
3.3 ติดตั้งอัปเดตด้านความปลอดภัยทันทีที่มีการเผยแพร่ เพื่อป้องกันการถูกใช้ช่องโหว่ในการโจมตี
4. คำแนะนำด้านความปลอดภัยเพิ่มเติม
4.1 จำกัดการเข้าถึงระบบบริหารจัดการ (Management Interface) เฉพาะเครือข่ายที่เชื่อถือได้
4.2 ใช้ Multi-Factor Authentication (MFA) สำหรับระบบผู้ดูแล
4.3 ตรวจสอบและวิเคราะห์ logs จากระบบและอุปกรณ์เครือข่าย เพื่อค้นหาพฤติกรรมที่ผิดปกติ
4.4 ใช้ Network Segmentation เพื่อลดผลกระทบหากเกิดการบุกรุกระบบ
4.5 ดำเนินการสแกนช่องโหว่ (Vulnerability Scanning) และติดตามข่าวสารด้านความปลอดภัยอย่างสม่ำเสมอ
5. แหล่งอ้างอิง (References)