SonicWall แจ้งเตือนช่องโหว่ Zero-Day บนอุปกรณ์ SMA1000 แนะผู้ดูแลระบบเร่งอัปเดตแพตช์เพื่อความปลอดภัย

ยอดเข้าชม: 53 views

388/69 (IT) ประจำวันพฤหัสบดีที่ 16 กรกฎาคม 2569

SonicWall ประกาศแจ้งเตือนกรณีพบผู้ไม่หวังดีทำการโจมตีผ่านช่องโหว่ Zero-Day จำนวน 2 รายการบนอุปกรณ์ SonicWall SMA1000 โดยหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ดังกล่าวลงในรายการช่องโหว่ที่ถูกใช้โจมตีจริง (KEV) พร้อมกำหนดให้หน่วยงานภายใต้การกำกับดูแลเร่งจัดการระบบที่ได้รับผลกระทบภายในวันที่ 17 กรกฎาคม 2026 เหตุการณ์นี้มีความสำคัญและส่งผลกระทบโดยตรงต่อองค์กรที่ใช้งานอุปกรณ์รุ่นดังกล่าว ซึ่งมีความเสี่ยงสูงที่จะถูกเจาะระบบเครือข่ายภายในหากไม่มีการอัปเดตเพื่อแก้ไขปัญหาโดยเร็วที่สุด

ช่องโหว่ดังกล่าวประกอบด้วย ช่องโหว่หมายเลข CVE-2026-15409 ซึ่งเป็นช่องโหว่ระดับวิกฤต (CVSS 10.0) ประเภท Server-Side Request Forgery (SSRF) ในส่วนต่อประสานผู้ใช้งาน Work Place ส่งผลให้ผู้โจมตีที่ไม่ได้ยืนยันตัวตนสามารถสั่งการให้อุปกรณ์ส่งคำขอไปยังปลายทางที่ไม่ได้รับอนุญาตได้ และช่องโหว่หมายเลข CVE-2026-15410 ระดับความรุนแรงสูง (CVSS 7.2) ประเภท Code Injection ในส่วนการจัดการที่เปิดโอกาสให้ผู้ดูแลระบบที่ยืนยันตัวตนแล้วสามารถรันคำสั่งระบบปฏิบัติการได้ตามต้องการ แม้ช่องโหว่ที่ 2 จะต้องการสิทธิ์ผู้ดูแลระบบ แต่ทาง SonicWall ได้ประเมินความเสี่ยงรวมของเหตุการณ์นี้ไว้ที่ระดับสูงสุดคือ 10.0 โดยอุปกรณ์ที่ได้รับผลกระทบคือ SMA1000 รุ่น 6210, 7210 และ 8200v ที่ใช้งานแพลตฟอร์มบางเวอร์ชันในสาย 12.4.3 และ 12.5.0 ทั้งนี้ปัญหาดังกล่าวไม่ส่งผลกระทบต่อผลิตภัณฑ์ตระกูล SMA 100 Series หรือระบบ SSL-VPN บนไฟร์วอลล์แต่อย่างใด

ผู้ดูแลระบบควรเร่งอัปเดตระบบให้เป็นเวอร์ชัน 12.4.3-03453 หรือ 12.5.0-02835 ขึ้นไปทันที เนื่องจากไม่มีวิธีการบรรเทาผลกระทบอื่นนอกจากการติดตั้งแพตช์ นอกจากนี้ควรตรวจสอบร่องรอยการถูกเจาะระบบจากไฟล์บันทึกการทำงาน เช่น การพบสถานะการตอบกลับที่ผิดปกติจากการเรียกใช้งานระบบยืนยันตัวตนหรือพร็อกซีในไฟล์ extraweb_access.log การพบคำสั่งที่น่าสงสัยในไฟล์ ctrl-service.log ตลอดจนการตั้งค่าเส้นทางที่ไม่ถูกต้องในไฟล์ conf.json หากตรวจสอบพบว่าอุปกรณ์ถูกแทรกซึมแล้ว แนะนำให้ดำเนินการติดตั้งระบบปฏิบัติการใหม่สำหรับอุปกรณ์ฮาร์ดแวร์ หรือสร้างระบบขึ้นใหม่สำหรับอุปกรณ์เสมือน พร้อมทั้งเปลี่ยนรหัสผ่านของผู้ใช้งานและผู้ดูแลระบบทั้งหมด รวมถึงทำการรีเซ็ตระบบยืนยันตัวตนแบบ TOTP ใหม่ทั้งหมดเพื่อลดความเสี่ยงและยกระดับความปลอดภัยให้แก่องค์กร

แหล่งข่าว : https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-sma1000-flaws-exploited-in-zero-day-attacks-patch-now/