263/69 (IT) ประจำวันศุกร์ที่ 15 พฤษภาคม 2569
พบช่องโหว่ร้ายแรงหมายเลข CVE-2025-32975 ในระบบ Quest KACE Systems Management Appliance (KACE SMA) ที่เป็นแพลตฟอร์มบริหารจัดการอุปกรณ์ปลายทาง (Endpoint Management) ที่ใช้สำหรับติดตั้งซอฟต์แวร์ กระจายแพตช์ และควบคุมอุปกรณ์ภายในองค์กร โดยช่องโหว่ดังกล่าวมีคะแนนความรุนแรง CVSS 10.0 และเป็นช่องโหว่ประเภท Authentication Bypass ที่เปิดโอกาสให้ผู้ไม่หวังดีสามารถปลอมตัวเป็นผู้ใช้งานหรือผู้ดูแลระบบได้โดยไม่ต้องใช้ข้อมูลยืนยันตัวตน หากถูกโจมตีสำเร็จ อาจส่งผลกระทบต่ออุปกรณ์ทั้งหมดที่อยู่ภายใต้การจัดการของระบบดังกล่าว
รายงานจาก Hunt.io ระบุว่า แม้ Quest จะออกแพตช์แก้ไขตั้งแต่เดือนพฤษภาคม 2568 แต่ยังมีระบบจำนวนมากที่ไม่ได้อัปเดต ส่งผลให้ผู้โจมตีสามารถใช้ช่องโหว่นี้เจาะเข้าสู่ผู้ให้บริการ Managed Service Provider (MSP) รายหนึ่งในบอสตัน ซึ่งดูแลระบบให้กับองค์กรกว่า 60 แห่ง ทั้งหน่วยงานภาครัฐ โรงพยาบาล สถานศึกษา และหน่วยงานบังคับใช้กฎหมาย โดยหลังเข้าถึงระบบ ผู้โจมตีได้ดึงฐานข้อมูล MariaDB ขนาดกว่า 512 MB ซึ่งมีข้อมูลสำคัญจำนวนมาก เช่น รายชื่อลูกค้า บัญชีผู้ใช้งาน ข้อมูล Helpdesk และรายละเอียดโครงสร้างพื้นฐานด้าน IT ของลูกค้า
นักวิจัยยังพบว่า ผู้โจมตีได้เปิดเผยชุดเครื่องมือสำหรับโจมตี (Toolkit) ขนาดกว่า 308 MB บนเซิร์ฟเวอร์ HTTP ที่ไม่มีการป้องกันรหัสผ่าน ซึ่งประกอบด้วยเครื่องมือสำหรับโจมตีครบวงจร เช่น Reverse Shell, SMB Credential Sprayer, WMI Reconnaissance และ SOCKS5 Tunnel สำหรับรักษาการเข้าถึงเครือข่าย นอกจากนี้ Hunt.io ยังตรวจพบอุปกรณ์ KACE K1000 มากกว่า 12,000 เครื่องที่ยังเปิดเผยสู่สาธารณะและใช้เวอร์ชันที่ยังไม่ได้รับการอัปเดตแพตช์ นักวิจัยเตือนว่าเหตุการณ์นี้แสดงถึงความเสี่ยงด้าน Supply Chain ชัดเจน เพราะแม้องค์กรปลายทางจะไม่ได้ใช้ซอฟต์แวร์ดังกล่าวโดยตรง แต่ก็ยังได้รับผลกระทบจากผู้ให้บริการที่ละเลยการอัปเดตระบบ ทั้งนี้ ผู้ดูแลระบบควรอัปเดตแพตช์ทันที ตรวจสอบ Indicators of Compromise (IoCs) และลดการเปิดเผยระบบบริหารจัดการสู่เครือข่ายอินเทอร์เน็ตโดยตรง