510/68 (IT) ประจำวันจันทร์ที่ 8 ธันวาคม 2568
นักวิจัยความปลอดภัยไซเบอร์เผยว่า ช่องโหว่ร้ายแรง React2Shell (CVE-2025-55182) ส่งผลให้ระบบที่ใช้งาน React Server Components และเฟรมเวิร์กที่เกี่ยวข้องอย่าง Next.js เสี่ยงถูกสั่งรันโค้ดจากระยะไกลโดยไม่ต้องยืนยันตัวตน เพียงส่งคำขอ HTTP เพียงครั้งเดียว ล่าสุดมีการยืนยันแล้วว่ากว่า 30 องค์กรทั่วโลกถูกเจาะระบบ และพบจำนวน IP ที่เปิดสู่สาธารณะและยังไม่ได้อัปเดตแพตช์มากกว่า 77,000 รายการ ทั้งนี้ นักพัฒนาได้รับคำแนะนำให้เร่งอัปเดตเวอร์ชัน React ล่าสุด พร้อมทำการ Rebuild และ Redeploy แอปพลิเคชันทันที
หลังจากการเปิดเผยช่องโหว่เมื่อวันที่ 3 ธันวาคมที่ผ่านมา การสแกนหาช่องโหว่เพิ่มสูงขึ้นอย่างรวดเร็ว โดยพบความพยายามโจมตีมากกว่า 180 IP ภายใน 24 ชั่วโมง โดยมีต้นทางหลักจากประเทศเนเธอร์แลนด์ จีน สหรัฐอเมริกา และฮ่องกง โดยกลุ่มผู้โจมตีได้ทำการรันคำสั่ง PowerShell เพื่อทดสอบความเสี่ยงและดาวน์โหลดสคริปต์เพิ่มเติมเข้าสู่หน่วยความจำโดยตรง ซึ่งบางกรณีพบการปิดระบบ AMSI เพื่อลัดผ่านการตรวจจับด้านความปลอดภัย ตลอดจนการติดตั้ง Cobalt Strike สำหรับยึดระบบเป็นฐานโจมตี โดยหน่วยข่าวกรองของ Palo Alto Networks และ AWS ระบุว่ามีความเชื่อมโยงกับกลุ่มผู้โจมตีที่เกี่ยวข้องกับรัฐบาลจีน และพบการใช้มัลแวร์ Snowlight และ Vshell เพื่อเปิดช่องทางควบคุมระบบจากภายนอกและเคลื่อนย้ายภายในเครือข่ายองค์กรที่ถูกเจาะ
หน่วยงานด้านความมั่นคงไซเบอร์ระบุว่า การโจมตีอยู่ในระดับแพร่หลาย ขณะที่ Cloudflare ได้ออกมาตรการป้องกันฉุกเฉินผ่าน Web Application Firewall แม้ในช่วงแรกจะส่งผลให้บางเว็บไซต์ล่มก่อนแก้ไขกฎเรียบร้อยแล้ว นอกจากนี้ CISA ยังบรรจุช่องโหว่นี้ในรายการช่องโหว่เสี่ยงสูงที่ถูกใช้งานจริง (KEV) และกำหนดให้หน่วยงานรัฐกลางสหรัฐต้องปิดช่องโหว่ภายใน 26 ธันวาคม 2025 องค์กรที่ใช้ React Server Components จึงควรเร่งดำเนินการอัปเดตระบบ ตรวจทบทวนบันทึกการรันคำสั่ง PowerShell และคำสั่งเชลล์ รวมถึงเพิ่มการเฝ้าระวังความผิดปกติบนเซิร์ฟเวอร์เพื่อป้องกันการโจมตีซ้ำในระยะยาว
