ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานจาก CISA เกี่ยวกับช่องโหว่ร้ายแรงในผลิตภัณฑ์ Ubiquiti UniFi OS ซึ่งเป็นระบบปฏิบัติการและแพลตฟอร์มสำหรับบริหารจัดการอุปกรณ์เครือข่ายของ Ubiquiti เช่น UniFi Gateway, Switch, Access Point และอุปกรณ์เครือข่ายที่ใช้งานในองค์กรหรือหน่วยงาน โดยช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีจริงแล้ว ประกอบด้วย CVE-2026-34908, CVE-2026-34909 และ CVE-2026-34910 และถูกเพิ่มเข้าในบัญชี Known Exploited Vulnerabilities (KEV) [1]
ช่องโหว่ดังกล่าวมีความเสี่ยงสูง เนื่องจากอาจทำให้ผู้โจมตีสามารถแก้ไขค่าระบบโดยไม่ได้รับอนุญาต เข้าถึงไฟล์สำคัญบนระบบ หรือสั่งรันคำสั่งบนระบบที่มีช่องโหว่ได้ หากถูกโจมตีสำเร็จ อาจนำไปสู่การเข้าควบคุมอุปกรณ์ UniFi OS และใช้เป็นจุดเริ่มต้นในการโจมตีเครือข่ายภายในองค์กรต่อไป
1. รายละเอียดช่องโหว่[2]
1.1 CVE-2026-34908 (มีคะแนน cvss v 3.1:10.0) [3] เป็นช่องโหว่ประเภท Improper Access Control หรือการควบคุมสิทธิ์เข้าถึงไม่เหมาะสม อาจทำให้ผู้โจมตีสามารถข้ามผ่านการตรวจสอบสิทธิ์ และเข้าไปแก้ไขค่าการตั้งค่าของระบบเครือข่ายได้โดยไม่ได้รับอนุญาต
1.2 CVE-2026-34909 (มีคะแนน cvss v 3.1:10.0) [4] เป็นช่องโหว่ประเภท Path Traversal หรือ Directory Traversal อาจทำให้ผู้โจมตีสามารถเข้าถึงไฟล์สำคัญบนระบบปฏิบัติการ เช่น ไฟล์ตั้งค่า (Configuration), ไฟล์เก็บรหัสผ่าน (Credential) หรือข้อมูลสำคัญอื่น ๆ ซึ่งอาจถูกนำไปใช้ต่อยอดเพื่อยึดบัญชีหรือเข้าควบคุมระบบ
1.3 CVE-2026-34910 (มีคะแนน cvss v 3.1:10.0) [5] เป็นช่องโหว่ประเภท Improper Input Validation ที่เปิดโอกาสให้ผู้โจมตีสามารถแทรกและสั่งรันคำสั่งอันตรายบนระบบปฏิบัติการ ซึ่งอาจนำไปสู่การโจมตีแบบ Remote Code Execution หรือการเข้าควบคุมและสั่งการระบบได้
2. เวอร์ชันที่ได้รับผลกระทบ[6]
2.1 UniFi OS Server เวอร์ชันต่ำกว่า 5.0.8
2.2 UniFi Express เวอร์ชันต่ำกว่า 4.0.14
2.3 อุปกรณ์กลุ่ม UniFi OS เช่น UDM, UDM-Pro, UDM-SE, UDM-Pro-Max, EFG, UDW, UDR, UDR7, UDR-5G และ Express 7 เวอร์ชันต่ำกว่า 5.1.12
2.4 UDM-Beast เวอร์ชันต่ำกว่า 5.1.11
2.5 อุปกรณ์หรือระบบ UniFi OS ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต หรือยังไม่ได้ติดตั้ง Security Update ตามประกาศของผู้พัฒนา
3. แนวทางการแก้ไข
3.1 อัปเดต Ubiquiti UniFi OS เป็นเวอร์ชันล่าสุดทันที
3.2 ตรวจสอบว่าอุปกรณ์ UniFi OS มีการเปิด Management Interface ให้เข้าถึงจากอินเทอร์เน็ตหรือไม่
3.3 จำกัดการเข้าถึงหน้า Management Interface เฉพาะ IP Address หรือเครือข่ายที่เชื่อถือได้
3.4 ตรวจสอบบัญชีผู้ใช้งานและสิทธิ์ผู้ดูแลระบบว่ามีบัญชีผิดปกติหรือไม่ทราบที่มาหรือไม่
3.5 ตรวจสอบ Configuration ของระบบว่ามีการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตหรือไม่
3.6 ตรวจสอบ Log การเข้าถึงระบบ การเปลี่ยนแปลงค่า Configuration และพฤติกรรมผิดปกติภายในเครือข่าย
3.7 หากพบพฤติกรรมต้องสงสัย ควรแยกระบบออกจากเครือข่ายชั่วคราว และดำเนินการ Incident Response ตามขั้นตอนของหน่วยงาน
4. มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
4.1 ปิดการเข้าถึง Management Interface จากอินเทอร์เน็ต
4.2 จำกัดการเข้าถึงระบบผ่าน VPN หรือเครือข่ายภายในที่เชื่อถือได้เท่านั้น
4.3 สำรอง Configuration ปัจจุบัน และตรวจสอบความถูกต้องก่อนนำไปใช้งานต่อ
4.4 เฝ้าระวัง Traffic ที่ผิดปกติจากอุปกรณ์ UniFi OS ไปยังปลายทางภายนอก
4.5 ใช้ Firewall หรือ Access Control List เพื่อจำกัดการเชื่อมต่อที่ไม่จำเป็น
4.6 หากสงสัยว่าอุปกรณ์ถูกบุกรุก ควรเก็บ Log และหลักฐานที่เกี่ยวข้องก่อนดำเนินการกู้คืนระบบ
แหล่งอ้างอิง