276/69 (IT) ประจำวันศุกร์ที่ 22 พฤษภาคม 2569
มีรายงานการพบกลุ่มแฮกเกอร์ทำการโจมตีช่องโหว่ CVE-2024-12802 บนอุปกรณ์ SonicWall Gen6 SSL-VPN เพื่อข้ามผ่านระบบการยืนยันตัวตนแบบหลายปัจจัยหรือ MFA ซึ่งส่งผลกระทบต่อองค์กรที่มีการอัปเดตเฟิร์มแวร์เพื่อแก้ไขช่องโหว่ไปแล้ว แต่ไม่ได้ปรับปรุงการตั้งค่าระบบด้วยตนเองให้สมบูรณ์ โดยช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีที่ล่วงรู้รหัสผ่านสามารถลักลอบเข้าสู่เครือข่ายภายในองค์กร เพื่อติดตั้งเครื่องมืออันตรายและอาจนำไปสู่การโจมตีด้วยแรนซัมแวร์ได้ ในเบื้องต้นพบการโจมตีลักษณะนี้เกิดขึ้นจริงแล้วในหลายภาคส่วนและหลายภูมิภาค โดยมุ่งเป้าไปยังอุปกรณ์ที่การตั้งค่ายังไม่รัดกุมเพียงพอ
สำหรับรายละเอียดของเหตุการณ์ที่ตรวจพบ จากการประเมินลำดับเวลาพบว่าผู้โจมตีใช้เวลาตั้งแต่เริ่มต้นจนจบกระบวนการเพียง 40 นาที โดยเริ่มจากการใช้รูปแบบการล็อกอินที่ข้ามผ่านระบบ MFA ได้สำเร็จ จากนั้นภายใน 2 นาที ได้ทำการสแกนเครือข่ายภายใน เพื่อหาบริการเช่น RDP, SMB และ SSH และพยายามนำรหัสผ่านไปใช้ซ้ำกับระบบอื่นในเครือข่าย เมื่อผ่านไปประมาณครึ่งชั่วโมง ผู้โจมตีได้เข้าถึงบัญชีผู้ดูแลระบบในเครื่องเพื่อพยายามยกระดับสิทธิ์ รวมถึงนำเข้าไฟล์ปฏิบัติการต้องสงสัย นอกจากนี้ยังพบความพยายามในการใช้เทคนิค BYOVD เพื่อโหลดไดรเวอร์ที่มีช่องโหว่หวังปิดการทำงานของระบบรักษาความปลอดภัยปลายทาง แต่ระบบ EDR สามารถตรวจจับและบล็อกพฤติกรรมดังกล่าวได้สำเร็จ จนนำไปสู่การตัดการเชื่อมต่อในที่สุด
เพื่อเป็นการลดความเสี่ยงและป้องกันการโจมตี ผู้ดูแลระบบที่ใช้งานอุปกรณ์ SonicWall Gen6 ต้องดำเนินการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุด ควบคู่กับการตั้งค่าเซิร์ฟเวอร์ LDAP ใหม่ ให้เป็นตามคำแนะนำของผู้ผลิต ได้แก่ การลบการตั้งค่าเดิม นำข้อมูลผู้ใช้ที่ระบบแคชไว้ออก ลบการตั้งค่าโดเมนผู้ใช้ ทำการรีบูตระบบ และสร้างการตั้งค่า LDAP ใหม่โดยไม่มีค่าเดิมเพื่ออุดช่องโหว่อย่างสมบูรณ์ สำหรับแนวทางการตรวจสอบเบื้องต้น แนะนำให้ผู้ดูแลระบบตรวจสอบประวัติการใช้งานโดยมองหาสัญญาณบ่งชี้ความผิดปกติ เช่น ค่า sess=”CLI” รหัสเหตุการณ์ 238 และ 1080 รวมถึงการล็อกอินจากเครือข่ายที่น่าสงสัย ทั้งนี้เนื่องจากอุปกรณ์ Gen6 ได้สิ้นสุดระยะเวลาการสนับสนุนไปแล้วตั้งแต่วันที่ 16 เมษายนที่ผ่านมา องค์กรจึงควรพิจารณาวางแผนปรับเปลี่ยนไปใช้งานอุปกรณ์รุ่นใหม่เพื่อการสนับสนุนด้านความปลอดภัยที่ต่อเนื่อง