ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบช่องโหว่ในผลิตภัณฑ์ Microsoft Azure จึงขอให้ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ดังกล่าวดำเนินการตรวจสอบเวอร์ชันของระบบ และดำเนินการอัปเดตแพตช์ตามคำแนะนำของผู้พัฒนา เพื่อลดความเสี่ยงจากการถูกโจมตี
1. รายละเอียดช่องโหว่
1.1 CVE-2026-33105 ( คะแนน CVSSv.3.1: 10.0 ) เป็นช่องโหว่ประเภท Improper Authorization ใน Microsoft Azure Kubernetes Service (AKS) ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงโดยไม่ผ่านการตรวจสอบสิทธิ์ และยังสามารถยกระดับสิทธิ์ (Privilege Escalation) ภายในระบบได้โดยไม่ได้รับอนุญาต [1]
1.2 CVE-2026-33107 ( คะแนน CVSSv3.1: 10.0 ) เป็นช่องโหว่ประเภท Server-Side Request Forgery (SSRF) ใน Azure Databricks ซึ่งเป็นช่องโหว่ประเภท Server-Side Request Forgery (SSRF) ช่องโหว่นี้ผู้โจมตีสามารถฝั่งเซิร์ฟเวอร์ส่งคำร้อง (Request) ไปยังทรัพยากรภายในหรือภายนอกตามที่ผู้โจมตีควบคุมได้ และสามารถนำไปสู่การ ยกระดับสิทธิ์ (Privilege Escalation) [2]
1.3 CVE-2026-26135 ( คะแนน CVSSv3.1: 9.6 ) เป็นช่องโหว่ประเภท Server-Side Request Forgery (SSRF) ใน Azure Custom Locations Resource Provider (RP) ช่องโหว่ดังกล่าวเปิดโอกาสให้ผู้โจมตีที่มีสิทธิ์ในระดับต่ำ (Low Privilege) สามารถยกระดับสิทธิ์ (Privilege Escalation) ผ่านเครือข่าย และเข้าควบคุมทรัพยากรภายในระบบได้ [3]
2. ภาพรวมของช่องโหว่
2.1 ช่องโหว่ใน Azure Kubernetes Service (AKS) ผู้โจมตีจะใช้ประโยชน์จากการตรวจสอบสิทธิ์ที่ผิดพลาด เพื่อเข้าถึงทรัพยากรหรือ API ภายใน AKS และทำการยกระดับสิทธิ์จากผู้ใช้ทั่วไปหรือไม่มีสิทธิ์ ไปสู่ระดับที่สูงขึ้น โดยพยายามเลี่ยงกลไก Kubernetes
2.2 ช่องโหว่ใน Azure Databricks ผู้โจมตีอาศัยช่องโหว่ของระบบดังกล่าวส่งคำร้องที่ถูกออกแบบมาเป็นพิเศษ (crafted request) ไปยัง Azure Databricks และใช้ SSRF เพื่อให้ระบบส่งคำร้องไปยัง Internal APIs หรือ Metadata service ของ Cloud
2.3 ช่องโหว่ใน Azure Custom Locations Resource Provider (RP) ผู้โจมตีจะใช้บัญชีที่มีสิทธิ์ต่ำ ส่งคำขอที่ถูกสร้างขึ้นเป็นพิเศษ (Malicious Request) ไปยัง Azure RP เพื่อหลอกให้ระบบทำการร้องขอ (Request) ไปยังระบบภายใน (Internal Network) และใช้ข้อมูลหรือสิทธิ์ที่ได้มา เพื่อ ยกระดับสิทธิ์ (Privilege Escalation)
3. แนวทางการแก้ไข
3.1 ดำเนินการติดตั้งแพตช์ความปลอดภัยจาก Microsoft โดยทันที
3.2 อัปเดตแพตช์ล่าสุดจากผู้พัฒนา (Vendor) โดยเร็วที่สุด
3.3 ปิดบริการ หรือพอร์ตที่ไม่จำเป็น
3.4 จำกัดการเข้าถึงระบบสำคัญ
3.5 ใช้ Firewall และ WAF
4. คำแนะนำด้านความปลอดภัยเพิ่มเติม
4.1 จัดทำ Vulnerability Assessment และ Penetration Testing อย่างสม่ำเสมอ
4.2 แยกเครือข่าย (Network Segmentation) สำหรับระบบสำคัญ
4.3 สำรองข้อมูล (Backup) และทดสอบการกู้คืนข้อมูล
4.4 ใช้หลักการ Least Privilege สำหรับบัญชีผู้ใช้งาน
5. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
5.1 การจำกัดการเข้าถึงระบบ หรือบริการที่ได้รับผลกระทบเฉพาะจากเครือข่ายที่เชื่อถือได้
5.2 ปิดการใช้งานฟีเจอร์หรือจำกัดฟังก์ชันที่มีความเสี่ยง
5.3 หลีกเลี่ยงการเปิดใช้งานโหมด Debug หรือ Test ในระบบ Production
5.4 ใช้ Firewall เพื่อจำกัด IP Address ที่สามารถเข้าถึงระบบ
5.5 ใช้ Web Application Firewall (WAF) เพื่อกรองคำสั่งหรือ Payload ที่เป็นอันตราย
แหล่งอ้างอิง