ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนผู้ใช้งาน หน่วยงาน และองค์กรที่มีการใช้งานอุปกรณ์ Acer Connect M6E 5G Portable WiFi Router ให้ตรวจสอบเวอร์ชันเฟิร์มแวร์และติดตามการอัปเดตจากผู้ผลิต เนื่องจากมีรายงานพบช่องโหว่หลายรายการในอุปกรณ์ดังกล่าว ซึ่งเกี่ยวข้องกับการควบคุมการเข้าถึง การตรวจสอบสิทธิ์ การตรวจสอบข้อมูลนำเข้า การป้องกันข้อมูลลับ และกลไกด้านความมั่นคงปลอดภัยของเฟิร์มแวร์ โดยช่องโหว่สำคัญที่ควรเร่งตรวจสอบ ได้แก่ CVE-2026-49185 และ CVE-2026-49186 ซึ่งอาจทำให้ผู้ไม่หวังดีสั่งรันคำสั่งบนอุปกรณ์ แก้ไขค่าการทำงานของระบบ เข้าถึงข้อมูลภายใน หรือใช้เป็นจุดเริ่มต้นในการโจมตีระบบเครือข่ายที่เชื่อมต่ออยู่ได้ [1]
1.รายละเอียดช่องโหว่ที่สำคัญ
1.1 CVE-2026-49185 (CVSS v3.1 เท่ากับ 9.8 ): ช่องโหว่นี้ถูกจัดอยู่ในประเภท Command Injection หรือการสั่งรันคำสั่งโดยไม่ได้รับอนุญาต หากถูกโจมตีสำเร็จ ผู้ไม่หวังดีอาจสามารถควบคุมอุปกรณ์ เปลี่ยนแปลงการตั้งค่า ติดตั้งเครื่องมือเพิ่มเติม ทำให้อุปกรณ์ทำงานผิดปกติ หรือใช้เป็นจุดเชื่อมต่อเพื่อขยายผลไปยังระบบอื่นในเครือข่ายได้ [2]
1.2 CVE-2026-49186 (CVSS v3.1 เท่ากับ 9.8 ): Lack of MQTT Broker Topic Access Control Lists ช่องโหว่นี้เกิดจาก MQTT Broker ภายในอุปกรณ์ไม่มีการบังคับใช้รายการควบคุมสิทธิ์ในระดับหัวข้อการสื่อสารอย่างเหมาะสม ทำให้ไคลเอนต์ที่สามารถเข้าถึงบริการดังกล่าวอาจสมัครรับข้อมูลด้วย wildcard เช่น # หรือ + เพื่อสำรวจข้อมูลระบบที่ไม่ควรเข้าถึง หรือส่งคำสั่งปลอมเพื่อควบคุมอุปกรณ์ได้ [3]
2.ผลกระทบที่อาจเกิดขึ้น
หากหน่วยงานมีการใช้งานอุปกรณ์ Acer Connect M6E 5G Portable WiFi Router ที่ได้รับผลกระทบ และยังไม่ได้ดำเนินการควบคุมความเสี่ยง อาจเกิดผลกระทบดังนี้
2.1 ผู้ไม่หวังดีอาจสามารถสั่งรันคำสั่งบนอุปกรณ์ได้โดยไม่ได้รับอนุญาต
2.2 อาจมีการเปลี่ยนแปลงค่าการตั้งค่าเครือข่ายหรือค่าการทำงานของอุปกรณ์
2.3 อาจมีการเข้าถึงข้อมูลของอุปกรณ์หรือข้อมูลที่เกี่ยวข้องกับเครือข่าย
2.4 อุปกรณ์อาจถูกใช้เป็นจุดเริ่มต้นในการโจมตีระบบอื่นภายในเครือข่าย
2.5 อาจเกิดการหยุดชะงักของบริการ การเชื่อมต่ออินเทอร์เน็ต หรือบริการเครือข่ายที่พึ่งพาอุปกรณ์ดังกล่าว
2.6 อาจมีการนำอุปกรณ์ไปใช้เป็นช่องทางสื่อสาร ควบคุม หรือสนับสนุนการโจมตีในระยะถัดไป
2.7 ในกรณีที่อุปกรณ์เชื่อมต่อกับระบบสำคัญ อาจเพิ่มความเสี่ยงต่อระบบงานภายใน ระบบให้บริการประชาชน หรือระบบที่มีข้อมูลสำคัญของหน่วยงาน
นอกจาก CVE-2026-49185 และ CVE-2026-49186 แล้ว รายงานจากผู้ผลิตยังระบุช่องโหว่อื่นที่เกี่ยวข้องกับการใช้ข้อมูลลับแบบฝังในระบบ การกำหนดสิทธิ์ไม่เหมาะสม การเปิดเผยข้อมูลผ่านระบบจัดเก็บข้อมูล การข้ามการยืนยันตัวตน การจัดการ eSIM โดยไม่มีการตรวจสอบสิทธิ์ การตรวจสอบใบรับรอง TLS ไม่เหมาะสม และการคงอยู่ของส่วนทดสอบหรือส่วนวินิจฉัยในเฟิร์มแวร์ ซึ่งสะท้อนว่าความเสี่ยงไม่ได้จำกัดอยู่เพียงช่องโหว่รายการใดรายการหนึ่ง แต่เป็นความเสี่ยงโดยรวมของอุปกรณ์และเฟิร์มแวร์ที่ใช้งานอยู่
3 ผลิตภัณฑ์ที่ได้รับผลกระทบ
– ผลิตภัณฑ์ Acer Connect M6E 5G Portable WiFi Router ที่มีเฟิร์มแวร์เวอร์ชัน M6E_AI_1.00.000019 หรือก่อนหน้า
4.คำแนะนำในการตรวจสอบและป้องกัน
ThaiCERT ขอแนะนำให้ผู้ใช้งาน หน่วยงาน และองค์กรที่มีการใช้งานอุปกรณ์ Acer Connect M6E 5G Portable WiFi Router ดำเนินการดังนี้
4.1 จัดทำรายการอุปกรณ์เครือข่ายที่ใช้งานจริงในหน่วยงาน พร้อมระบุรุ่น เวอร์ชันเฟิร์มแวร์ ผู้รับผิดชอบ และสถานะการอัปเดต เพื่อให้สามารถติดตามความเสี่ยงและดำเนินการแก้ไขได้อย่างรวดเร็ว
4.2 ตรวจสอบเวอร์ชันเฟิร์มแวร์ของอุปกรณ์ หากเป็นเวอร์ชัน M6E_AI_1.00.000019 หรือก่อนหน้า ให้ถือว่าอยู่ในกลุ่มที่ได้รับผลกระทบ
4.3 จำกัดการเข้าถึงหน้าเว็บบริหารจัดการอุปกรณ์ ให้เข้าถึงได้เฉพาะผู้ดูแลระบบหรือเครือข่ายที่จำเป็นเท่านั้น
4.4 ตรวจสอบ log ของ firewall, proxy, DNS, endpoint, SIEM หรือระบบเฝ้าระวังอื่น ๆ เพื่อค้นหาพฤติกรรมผิดปกติ เช่น การเชื่อมต่อไปยังปลายทางที่ไม่คุ้นเคย การเปลี่ยนแปลงค่าการตั้งค่า หรือการใช้งานระบบบริหารจัดการนอกเวลาทำการ
4.5 หลีกเลี่ยงการนำอุปกรณ์ที่ยังไม่ได้อัปเดตเฟิร์มแวร์ไปใช้งานร่วมกับระบบสำคัญหรือเครือข่ายที่มีข้อมูลอ่อนไหว
5.แนวทางรับมือเมื่อพบความผิดปกติ
หากหน่วยงานตรวจพบว่าอุปกรณ์ Acer Connect M6E 5G Portable WiFi Router มีพฤติกรรมผิดปกติ เช่น มีการเปลี่ยนแปลงค่าการตั้งค่าโดยไม่ทราบสาเหตุ มีการเชื่อมต่อไปยังปลายทางภายนอกที่ไม่รู้จัก มีการรีสตาร์ทหรือทำงานผิดปกติ หรือพบสัญญาณว่าอาจมีการเข้าถึงระบบบริหารจัดการโดยไม่ได้รับอนุญาต ควรดำเนินการดังนี้
5.1 แยกอุปกรณ์ออกจากเครือข่ายชั่วคราวเพื่อลดความเสี่ยง
5.2 บันทึกข้อมูลสถานะของอุปกรณ์ เช่น เวอร์ชันเฟิร์มแวร์ การตั้งค่าเครือข่าย log และเวลาที่พบเหตุการณ์
5.3 เปลี่ยนรหัสผ่านบัญชีผู้ดูแลระบบและบัญชีที่เกี่ยวข้อง
5.4 ดำเนินการอัปเดตเฟิร์มแวร์เมื่อมีแพตช์จากผู้ผลิต และตรวจสอบการตั้งค่าหลังอัปเดต
5.5 หากพบหลักฐานการบุกรุกหรือมีความเสี่ยงต่อระบบสำคัญ ควรดำเนินการสืบสวนเหตุการณ์ตามกระบวนการ Incident Response ของหน่วยงาน
ThaiCERT ขอให้หน่วยงานที่มีการใช้งานอุปกรณ์รุ่นดังกล่าวเร่งตรวจสอบทรัพย์สินสารสนเทศของหน่วยงาน ประเมินความเสี่ยงตามบริบทการใช้งานจริง และดำเนินมาตรการลดความเสี่ยงชั่วคราวระหว่างรอเฟิร์มแวร์แก้ไขจากผู้ผลิต โดยเฉพาะกรณีที่อุปกรณ์ถูกใช้งานร่วมกับระบบสำคัญ ระบบเครือข่ายภายใน หรือระบบที่เกี่ยวข้องกับการให้บริการประชาชน
แหล่งอ้างอิง
—