316/69 (IT) ประจำวันศุกร์ที่ 12 มิถุนายน 2569
มีรายงานการพบกลุ่มผู้ไม่หวังดีกำลังเริ่มโจมตีโดยอาศัยช่องโหว่บน Langflow ซึ่งเป็นแพลตฟอร์มโอเพนซอร์ส แบบลากวางที่ได้รับความนิยมอย่างสูงในการพัฒนา AI ระบบAI Agents และระบบ RAG โดยช่องโหว่ดังกล่าวรหัส CVE-2026-5027 เปิดโอกาสให้ผู้โจมตีสามารถเขียนไฟล์อันตรายลงบนระบบเซิร์ฟเวอร์ที่เปิดใช้งานแพลตฟอร์มนี้ได้โดยตรง ส่งผลกระทบต่อทีมนักพัฒนาและองค์กรที่ใช้งานระบบดังกล่าวทั่วโลก โดยเฉพาะกลุ่มที่มีการเปิดให้ตัวระบบสามารถเข้าถึงได้จากเครือข่ายสาธารณะ
จากการตรวจสอบทางเทคนิคโดยบริษัทด้านความปลอดภัย Tenable และ VulnCheck พบว่าช่องโหว่นี้เกิดขึ้นในส่วนการอัปโหลดไฟล์ผ่านเอนด์พอยต์ (Endpoint) POST /api/v2/files เนื่องจากระบบไม่ได้ตรวจสอบและกรองชื่อไฟล์ที่ผู้ใช้งานส่งเข้ามาอย่างรัดกุม ทำให้ผู้โจมตีสามารถใช้เทคนิค Path Traversal หรือการใส่ชุดอักขระระบุเส้นทางไฟล์ เช่น ../ เพื่อบันทึกไฟล์ไปยังตำแหน่งใด ๆ บนระบบปฏิบัติการได้ นอกจากนี้ ความเสี่ยงยังเพิ่มสูงขึ้นเนื่องจากค่าเริ่มต้นของ Langflow มักเปิดใช้งานระบบล็อกอินอัตโนมัติแบบไม่ต้องยืนยันตัวตน (Unauthenticated Auto-login) ส่งผลให้ผู้โจมตีสามารถส่งคำขอเพียงครั้งเดียวเพื่อรับ Session Token ที่ถูกต้องแล้วเริ่มการโจมตีได้ทันที โดยข้อมูลจากการสแกนของ Censys เบื้องต้นพบอินสแตนซ์ของ Langflow ที่เปิดเผยสู่สาธารณะราว 7,000 ระบบ ซึ่งการโจมตีครั้งนี้เกิดขึ้นต่อเนื่องจากการพยายามเจาะช่องโหว่อื่น ๆ ของแพลตฟอร์มนี้ในช่วงที่ผ่านมา รวมถึงช่องโหว่ในอดีตที่มีรายงานความเชื่อมโยงกับกลุ่มภัยคุกคาม MuddyWater
เพื่อเป็นการป้องกันและลดความเสี่ยงจากภัยคุกคามดังกล่าว ขอแนะนำให้ผู้ดูแลระบบและทีมนักพัฒนาตรวจสอบเวอร์ชันของแพลตฟอร์ม Langflow ที่ใช้งานอยู่ โดยหากพบว่ายังเป็นเวอร์ชันเก่า ควรกระทำการอัปเดตระบบให้เป็นเวอร์ชันล่าสุดคือ 1.10.0 หรืออย่างน้อยต้องเป็นเวอร์ชัน 1.9.0 ขึ้นไป รวมถึงอัปเดตแพ็กเกจ langflow-base เป็นเวอร์ชัน 0.8.3 ขึ้นไป ซึ่งได้รับการแก้ไขช่องโหว่นี้เรียบร้อยแล้ว ควบคู่กันนี้ ควรปรับปรุงการตั้งค่าระบบโดยปิดการใช้งานฟังก์ชันล็อกอินอัตโนมัติ และจำกัดการเข้าถึงเซิร์ฟเวอร์ Langflow จากอินเทอร์เน็ตสาธารณะ โดยให้เข้าถึงได้เฉพาะผ่านเครือข่ายภายในหรือระบบ VPN ที่ปลอดภัยเท่านั้น เพื่อสกัดกั้นการพยายามเข้าถึงเอนด์พอยต์ที่เป็นอันตรายจากภายนอกองค์กร