ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์พบการประกาศของ Splunk ออกแพตช์เพื่อแก้ไขช่องโหว่ระดับวิกฤต (Critical) และระดับสูง (High) ซึ่งอาจเปิดโอกาสให้ผู้ไม่หวังดีเข้าควบคุมระบบ สร้างไฟล์อันตราย หรือเข้าถึงข้อมูลโครงสร้างพื้นฐานที่สำคัญได้ [1]
1. รายละเอียดช่องโหว่
1.1 Splunk Enterprise ช่องโหว่ CVE-2026-20253 (CVSS v3.1: 9.8 )[2] ความรุนแรงระดับ Critical เป็นช่องโหว่ประเภท Unauthenticated Arbitrary File Creation and Truncation ใน PostgreSQL sidecar service endpoint ของ Splunk Enterprise โดยเกิดจากการขาดกลไกยืนยันตัวตนที่เหมาะสม ทำให้ผู้โจมตีสามารถเข้าถึงบริการผ่านเครือข่าย อาจสร้างไฟล์ใหม่หรือตัดทอนเนื้อหาของไฟล์บนระบบได้โดยไม่ต้องยืนยันตัวตน
1.2 ช่องโหว่ระดับสูงอื่น ๆ (High-Severity Flaws) กลุ่มช่องโหว่ที่ส่งผลให้เกิดความเสี่ยงในลักษณะ Remote Code Execution (RCE), Server-Side Request Forgery (SSRF) และ Cross-Site Scripting (XSS) รวมถึงช่องโหว่ในโมดูลของซอฟต์แวร์บุคคลที่สาม (Third-party packages) ที่ใช้งานร่วมกับ Splunk Enterprise และ Splunk SOAR
2. รูปแบบการโจมตี
การโจมตีผ่าน PostgreSQL Sidecar ผู้โจมตีที่สามารถเชื่อมต่อเครือข่ายไปยังพอร์ตบริการดังกล่าว (Network Reachable) โดยไม่จำเป็นต้องผ่านกระบวนการล็อกอิน (Unauthenticated) สามารถส่งคำสั่งเพื่อสร้างไฟล์ใหม่ (Create) หรือตัดทอนทำลายเนื้อหาภายในไฟล์ที่มีอยู่เดิม (Truncate) บนเซิร์ฟเวอร์ Splunk Enterprise ได้ ซึ่งอาจนำไปสู่การฝังมัลแวร์หรือทำลายระบบฐานข้อมูล
3. ผลิตภัณฑ์ที่ได้รับผลกระทบ[3]
3.1 Splunk Enterprise 10.2.0 ถึง 10.2.3
3.2 Splunk Enterprise 10.0.0 ถึง 10.0.6
4. แนวทางการแก้ไข
4.1 ตรวจสอบเวอร์ชันของ Splunk Enterprise ที่เกี่ยวข้องภายในองค์กร เพื่อระบุระบบที่อยู่ในเวอร์ชันที่ได้รับผลกระทบ
4.2 ดำเนินการอัปเดต Splunk Enterprise เป็นเวอร์ชันที่ได้รับการแก้ไขแล้วโดยเร็ว เนื่องจากช่องโหว่ดังกล่าวมีผลกระทบต่อความลับ ความถูกต้อง และความพร้อมใช้งานของระบบ
4.3 จำกัดการเข้าถึงบริการบริหารจัดการของ Splunk ให้เฉพาะเครือข่ายหรือ IP Address ที่ได้รับอนุญาตเท่านั้น
4.4 ตรวจสอบบันทึกเหตุการณ์ย้อนหลัง การเข้าถึงจาก IP ที่ไม่คุ้นเคย การสร้างหรือแก้ไขไฟล์ผิดปกติ และการเข้าถึงทรัพยากรที่ควรถูกจำกัดสิทธิ์
4.5 หากพบข้อบ่งชี้ว่าระบบอาจถูกโจมตี ควรดำเนินการตามกระบวนการ Incident Response ทันที แยกระบบที่ได้รับผลกระทบ เก็บหลักฐาน ตรวจสอบขอบเขตความเสียหาย และเปลี่ยนข้อมูลยืนยันตัวตนที่เกี่ยวข้อง
แหล่งอ้างอิง