ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยทางไซเบอร์ พบช่องโหว่ร้ายแรงจำนวน 2 รายการบนแพลตฟอร์ม ShareFile ซึ่งแฮกเกอร์สามารถนำมาใช้เจาะระบบและรันโค้ดอันตราย โดยไม่ต้องผ่านการเข้าสู่ระบบ หรือไม่ต้องใช้รหัสผ่าน เปิดทางให้แฮกเกอร์เข้ายึดครองและควบคุมระบบได้ [1]
1. กลุ่มอุปกรณ์ที่เข้าข่ายได้รับผลกระทบ
แพลตฟอร์ม ShareFile เวอร์ชันที่ต่ำกว่า 5.12.4
2. รูปแบบพฤติกรรมการโจมตี
2.1 ลักลอบเข้าถึงระบบ แฮกเกอร์ใช้วิธีดัดแปลงข้อมูลการเชื่อมต่อเว็บเพื่อหลบเลี่ยงระบบป้องกัน ทำให้สามารถเข้าสู่หน้าการตั้งค่าของผู้ดูแลระบบได้โดยไม่ต้องใช้รหัสผ่าน
2.2 เปลี่ยนการตั้งค่าเพื่อขโมยข้อมูล เมื่อแฮกเกอร์เข้ามาได้ จะทำการเปลี่ยนรหัสผ่านและแก้ไขการตั้งค่า เพื่อสั่งให้ระบบแอบส่งไฟล์ข้อมูลออกไปยังพื้นที่คลาวด์ที่แฮกเกอร์ควบคุมไว้
2.3 ฝังไฟล์คำสั่งอันตราย แฮกเกอร์อาศัยช่องโหว่ของการอัปโหลดไฟล์ แอบส่งไฟล์คำสั่งอันตราย (Web Shell) เข้าไปฝังไว้ในเซิร์ฟเวอร์ ซึ่งเปิดทางให้สามารถสั่งรันโค้ดและควบคุมระบบจากระยะไกลได้อย่างสมบูรณ์
3. การแก้ไขช่องโหว่ / รายละเอียดการอัปเดต
ผู้พัฒนาได้ออกแพตช์แก้ไขข้อบกพร่อง ดังนี้
3.1 CVE-2026-2699 ( CVSS v3.1 Score 9.8 ) [2] ช่องโหว่ที่อนุญาตให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนข้ามผ่านการตรวจสอบและเข้าถึงหน้าการตั้งค่าที่ถูกจำกัดสิทธิ์
3.2 CVE-2026-2701 ( CVSS v3.1 Score 9.1 ) [3] ช่องโหว่ประเภท Arbitrary File Upload ที่อนุญาตให้อัปโหลดไฟล์อันตรายเข้าสู่ระบบได้โดยไม่ต้องยืนยันตัวตน
4. แนวทางการปฏิบัติและการบริหารจัดการสำหรับผู้ดูแลระบบ
4.1 ตรวจสอบเวอร์ชันของแพลตฟอร์ม ShareFile และอัปเดตเป็นเวอร์ชัน 5.12.4 ทันที [4]
4.2 ตรวจสอบบันทึกการจราจรทางเครือข่าย (Network Logs) เพื่อหาความผิดปกติของ HTTP Response ที่อาจมีการดัดแปลง Location Header รวมถึงจำกัดสิทธิ์การเข้าถึงหน้าควบคุมของผู้ดูแลระบบให้สามารถเข้าถึงได้เฉพาะจากเครือข่ายภายในองค์กร (Internal Network) และผ่านการเชื่อมต่อที่ปลอดภัยเท่านั้น
4.3 ตรวจสอบความผิดปกติในไดเรกทอรีสำคัญ เพื่อค้นหาไฟล์แปลกปลอมหรือ Web Shell ที่อาจถูกลักลอบนำมาฝังไว้
แหล่งอ้างอิง