ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนหน่วยงานภาครัฐและเอกชนที่ใช้งานระบบ Progress ShareFile หรือ Citrix ShareFile ซึ่งเป็นแพลตฟอร์มยอดนิยมที่องค์กรใช้ในการรับส่งและจัดเก็บไฟล์ข้อมูลสำคัญ ปัญหาหลักเกิดจากข้อบกพร่องในระบบรักษาความปลอดภัยของส่วนงานบริหารจัดการ (Storage Zones Controller) ที่ทำให้ผู้โจมตีสามารถข้ามขั้นตอนการยืนยันตัวตนได้สำเร็จ[1]
เนื่องจากปัจจุบันได้มีการเปิดเผยโค้ดต้นแบบสำหรับการโจมตี (Proof-of-Concept หรือ PoC) สู่สาธารณะแล้ว ทำให้ผู้ไม่หวังดี สามารถนำโค้ดดังกล่าวไปใช้เป็นแนวทางในการเจาะระบบของหน่วยงานต่างๆ ได้ทันที
1. รายละเอียดภัยคุกคาม
CVE-2026-2699 (CVSS v3.1: 9.8) การข้ามผ่านระบบยืนยันตัวตน ลักษณะเป็นจุดบกพร่องในการตรวจสอบสิทธิ์ที่หน้าจัดการระบบ (/ConfigService/Admin.aspx)
ผู้ไม่หวังดีสามารถปลอมตัวเป็นผู้ดูแลระบบได้สำเร็จโดยไม่ต้องกรอกรหัสผ่าน ทำให้สามารถเข้าถึงส่วนควบคุมลึกของเซิร์ฟเวอร์ได้ทันที [2]
CVE-2026-2701 (CVSS v3.1: 9.8) การอัปโหลดไฟล์อันตรายเพื่อยึดเครื่อง เมื่อเข้าสู่ระบบได้จากช่องโหว่แรก ผู้โจมตีจะอาศัยช่องว่างในระบบอัปโหลดไฟล์เพื่อส่ง “Web Shell” (โค้ดอันตรายที่สั่งงานเครื่องจากระยะไกล) เข้าไปฝังไว้ในเซิร์ฟเวอร์ ทำให้ผู้โจมตีสามารถสั่งรันคำสั่งใด ๆ ก็ได้บนเซิร์ฟเวอร์ (Remote Code Execution) เพื่อขโมย ลบ หรือแก้ไขข้อมูลสำคัญของหน่วยงานทั้งหมด [3]
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
Progress ShareFile Storage Zones Controller (SZC) ทุกเวอร์ชันที่ยังไม่ได้ติดตั้งแพตช์ความปลอดภัยล่าสุด (เน้นย้ำเวอร์ชันสาย 5.x)
3.แนวทางการแก้ไขและปฏิบัติสำหรับหน่วยงาน[4]
3.1 ผู้ดูแลระบบต้องดำเนินการอัปเดต Progress ShareFile SZC ให้เป็นเวอร์ชันล่าสุดตามที่ผู้ผลิตประกาศ เนื่องจากปัจจุบันมีการเผยแพร่วิธีการโจมตี (PoC) สู่สาธารณะแล้ว ซึ่งมีความเสี่ยงสูงที่จะถูกเลียนแบบการโจมตี
3.2 จำกัดทางเข้าเครือข่าย โดยตั้งค่า Firewall เพื่ออนุญาตให้เฉพาะคอมพิวเตอร์ภายในองค์กร หรือเลขไอพี (IP Address) ที่ผ่านการตรวจสอบแล้วเท่านั้นที่สามารถเข้าถึงหน้าจัดการระบบได้
3.3 ตรวจสอบไฟล์ในระบบ หากพบไฟล์นามสกุล .aspx ที่มีชื่อแปลกปลอม หรือพบการเปลี่ยนแปลงตำแหน่งที่เก็บข้อมูลโดยไม่ได้รับอนุญาต ให้รีบแจ้งทีมรักษาความปลอดภัยเพื่อตรวจสอบการบุกรุก
4. มาตรการลดความเสี่ยงเร่งด่วน
4.1 ยกระดับความปลอดภัยด้วย VPN หากยังไม่สามารถอัปเดตได้ทันที ควรปิดการเข้าถึงจากอินเทอร์เน็ตสาธารณะ และเปลี่ยนมาใช้การเข้าถึงผ่านระบบ VPN ที่มีการยืนยันตัวตนหลายชั้น (MFA)
4.2 เปิดใช้งานระบบตรวจจับภัยคุกคาม ประสานงานให้ทีม IT ตรวจสอบบันทึกการใช้งาน (Log) อย่างใกล้ชิด โดยเฉพาะพฤติกรรมการอัปโหลดไฟล์ที่ผิดปกติในส่วนงานบริหารจัดการ
แหล่งอ้างอิง
[1] https://dg.th/5niglqszp6
[2] https://dg.th/nv5cj3kwas
[3] https://dg.th/as8ezkdwn5
[4] https://dg.th/tujkvlcgp2