ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนหน่วยงานภาครัฐและเอกชน โดยเฉพาะกลุ่มผู้ให้บริการคลาวด์ และหน่วยงานที่ใช้งานแพลตฟอร์มบริหารจัดการระบบคลาวด์ เนื่องจากมีการตรวจพบช่องโหว่ระดับร้ายแรง (CVE-2026-41283) ในบริการจัดการลำดับงาน (Workflow Service) ของระบบ OpenStack Mistral ที่ใช้ในการตั้งค่าและควบคุมการทำงานอัตโนมัติในระบบคลาวด์ ซึ่งช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถข้ามการตรวจสอบสิทธิ์เพื่อส่งคำสั่งรันโค้ดอันตรายบนเซิร์ฟเวอร์ได้ ส่งผลให้ผู้ไม่หวังดีอาจเข้าควบคุมระบบและขโมยข้อมูลสำคัญ [1]
ปัจจุบันรายละเอียดของช่องโหว่นี้ได้ถูกเปิดเผยสู่สาธารณะแล้ว ทำให้มีความเสี่ยงสูงที่ผู้ไม่หวังดีจะนำข้อมูลดังกล่าวไปใช้เป็นแนวทางในการเจาะระบบและโจมตีเครื่องเซิร์ฟเวอร์ของหน่วยงานต่าง ๆ ที่เปิดใช้งานระบบนี้อยู่
1.รายละเอียดภัยคุกคาม[2]
CVE-2026-41283 ( CVSS v3.1: 9.9) ช่องโหว่การข้ามผ่านระบบตรวจสอบสิทธิ์และการสั่งรันโค้ด (Arbitrary Remote Code Execution)
เกิดข้อบกพร่องที่จุดเชื่อมต่อบริการ (API Endpoints) ของระบบ OpenStack Mistral ที่ไม่ได้มีการบังคับใช้หรือตรวจสอบนโยบายสิทธิ์การเข้าถึงอย่างถูกต้อง (Incorrect Authorization – CWE-863)
ส่งผลให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนในระบบ สามารถส่งคำสั่งเพื่อสร้าง Public Resources และทำการอัปโหลดไฟล์หรือโค้ดแปลกปลอมเข้าไปยังระบบได้โดยตรง ซึ่งโค้ดอันตรายดังกล่าวจะถูกนำไปสั่งประมวลผลบนเครื่องคอมพิวเตอร์ที่ทำหน้าที่รันระบบ (Mistral Executor Workers) ทันที
2.ผลิตภัณฑ์ที่ได้รับผลกระทบ
ระบบ OpenStack Mistral ตั้งแต่เวอร์ชันแรก ๆ จนถึงเวอร์ชัน 22.0.0 (ทุกเวอร์ชันที่ไม่มีแพตช์ความปลอดภัยล่าสุดรองรับ และมีการเปิดส่วนเชื่อมต่อ API สู่สาธารณะหรืออินเทอร์เน็ต)
3.แนวทางการแก้ไขและปฏิบัติสำหรับหน่วยงาน [3]
3.1 ปิดกั้นหรือจำกัดการเข้าถึง API หากหน่วยงานมีการเปิดช่องทางให้เข้าถึง Mistral API จากภายนอก ให้ทำการปิดการเชื่อมต่อจากอินเทอร์เน็ตสาธารณะทันที หรือตั้งค่าไฟร์วอลล์ (Firewall ACLs) เพื่ออนุญาตให้เฉพาะหมายเลขไอพี (IP Address) ของเครื่องภายในหน่วยงาน หรือเครื่องที่จำเป็นต้องใช้งานจริง ๆ เท่านั้นที่สามารถเรียกใช้ API ได้
3.2 ตรวจสอบการปล่อยตัวอัปเดต (Tags/Releases) จากคลังโค้ดหลักของ OpenStack Mistral อย่างใกล้ชิด เพื่อเตรียมพร้อมติดตั้งทันทีที่มีการออกแพตช์แก้ไขอย่างเป็นทางการ
3.3 ตรวจสอบพฤติกรรมการใช้งานที่ผิดปกติการใช้งานระบบ (Logs) โดยเฉพาะการเรียกใช้งาน API Endpoints ที่ทำหน้าที่สร้างทรัพยากรใหม่ หรือมีการส่งไฟล์/คำสั่งแปลกปลอมจากบัญชีผู้ใช้ทั่วไป หากพบความผิดปกติให้ระงับการใช้งานบัญชีนั้นและแยกเครื่องเซิร์ฟเวอร์ (Executor Worker) นั้นออกจากเครือข่ายเพื่อตรวจสอบการบุกรุก
4.มาตรการลดความเสี่ยงเร่งด่วน
4.1 เปลี่ยนมาใช้ระบบ VPN ในการบริหารจัดการ ยกระดับความปลอดภัยโดยไม่อนุญาตให้ผู้ดูแลระบบหรือผู้ใช้ล็อกอินเข้าจัดการ OpenStack จากอินเทอร์เน็ตโดยตรง แต่ต้องเชื่อมต่อผ่านระบบเครือข่ายภายในเสมือน (VPN) ที่มีการบังคับใช้ระบบยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication: MFA) เท่านั้น
4.2 ตรวจสอบและเปลี่ยนรหัสผ่านระบบ (Credentials) เพื่อความปลอดภัยสูงสุด หากสงสัยว่าระบบได้รับผลกระทบหรือตรวจพบประวัติการเข้าใช้งานที่น่าสงสัย ให้ทำการเปลี่ยนรหัสผ่าน คีย์ และสิทธิ์การเข้าถึง (Service Credentials) ทั้งหมดที่เกี่ยวข้องกับระบบ Mistral ทันที เพื่อป้องกันไม่ให้ผู้ไม่หวังดีนำข้อมูลสิทธิ์ที่อาจถูกขโมยไปแล้วกลับมาใช้เจาะระบบซ้ำ
ThaiCERT ย้ำให้ดำเนินการตรวจสอบระบบและจำกัดสิทธิ์การเข้าถึงตามคำแนะนำข้างต้นด้วยความเร่งด่วน
อ้างอิง