ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานจาก CISA เกี่ยวกับช่องโหว่ CVE-2025-67038 ในอุปกรณ์ Lantronix EDS5000 Series ที่ถูกนำไปใช้โจมตี โดยช่องโหว่ดังกล่าวมีความรุนแรงระดับ Critical และอาจทำให้ผู้โจมตีสามารถสั่งรันคำสั่งบนระบบด้วยสิทธิ์ระดับสูงได้ โดยอุปกรณ์ Lantronix EDS5000 เป็นอุปกรณ์ Serial-to-Ethernet/Industrial Connectivity ที่ถูกใช้เชื่อมต่ออุปกรณ์เดิมเข้ากับเครือข่าย IP ในองค์กรหรืออุตสาหกรรม หากถูกโจมตีสำเร็จ อาจกระทบต่อความพร้อมใช้งานของระบบ การควบคุมอุปกรณ์ หรือถูกใช้เป็นช่องทางในการเข้าถึงเครือข่ายภายในเพิ่มเติม[1]
1. รายละเอียดช่องโหว่[2]
ช่องโหว่ CVE-2025-67038 ( มีคะแนนความรุนแรง CVSS v3.1: 9.8 )[3]ระดับ Critical เป็นช่องโหว่ประเภท Code Injection หรือ OS Command Injection ที่เกิดขึ้นในโมดูล HTTP RPC ของอุปกรณ์ Lantronix EDS5000 โดยช่องโหว่นี้เกิดจากการนำค่าชื่อผู้ใช้งานไปประกอบเป็นคำสั่งของระบบเพื่อบันทึกเหตุการณ์การยืนยันตัวตนล้มเหลว โดยไม่มีการตรวจสอบหรือกรองข้อมูลอย่างเหมาะสม ส่งผลให้ผู้โจมตีสามารถแทรกคำสั่งระบบผ่านพารามิเตอร์ Username ได้ และคำสั่งที่ถูกแทรกอาจถูกประมวลผลด้วยสิทธิ์ระดับ Root และหากโจมตีสำเร็จ ผู้โจมตีอาจสามารถควบคุมอุปกรณ์ แก้ไขการตั้งค่า หรือนำอุปกรณ์ไปใช้เป็นจุดเริ่มต้นในการโจมตีระบบอื่นในเครือข่ายได้ โดยเฉพาะในระบบอุตสาหกรรม หรือระบบ OT/ICS ที่มีการเชื่อมต่ออุปกรณ์ดังกล่าวเข้ากับเครือข่ายภายใน
2. ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ[4]
2.1 Lantronix EDS5000 Series ที่ใช้งาน Firmware เวอร์ชัน 2.1.0.0R3
2.2 อุปกรณ์ Lantronix EDS5000 ที่ยังไม่ได้อัปเกรดเป็น Firmware เวอร์ชัน 2.2.0.0R1 หรือเวอร์ชันล่าสุด
2.3 อุปกรณ์ที่เปิด Web Management Interface ให้เข้าถึงจากเครือข่ายที่ไม่เชื่อถือหรือจากอินเทอร์เน็ต
3. แนวทางการแก้ไข
3.1 อัปเดต Firmware ของ Lantronix EDS5000 เป็นเวอร์ชัน 2.2.0.0R1 หรือเวอร์ชันล่าสุดที่ผู้พัฒนาแนะนำทันที
3.2 ตรวจสอบว่าอุปกรณ์ Lantronix EDS5000 เปิดให้เข้าถึง Web Management Interface จากอินเทอร์เน็ตหรือไม่
3.3 จำกัดการเข้าถึง Web Management Interface เฉพาะ IP Address หรือเครือข่ายที่เชื่อถือได้
3.4 ตรวจสอบ Log การยืนยันตัวตนที่ล้มเหลว โดยเฉพาะ Username ที่มีอักขระหรือรูปแบบผิดปกติ
3.5 ตรวจสอบการตั้งค่าอุปกรณ์ว่ามีการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตหรือไม่
3.6 แยกอุปกรณ์ที่เกี่ยวข้องกับระบบ OT/ICS ออกจากเครือข่ายทั่วไป
4. มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
4.1 ปิดการเข้าถึง Web Management Interface จากอินเทอร์เน็ต
4.2 จำกัดการเข้าถึงอุปกรณ์ผ่าน VPN หรือเครือข่ายบริหารจัดการภายในเท่านั้น
4.3 ใช้ Firewall หรือ Access Control List เพื่อจำกัดการเชื่อมต่อไปยังอุปกรณ์
4.4 เฝ้าระวังคำขอ HTTP ที่ผิดปกติ โดยเฉพาะคำขอที่เกี่ยวข้องกับการยืนยันตัวตน
4.5 ตรวจสอบบัญชีผู้ใช้งานและการตั้งค่าบนอุปกรณ์ว่ามีความผิดปกติหรือไม่
แหล่งอ้างอิง