523/68 (IT) ประจำวันจันทร์ที่ 15 ธันวาคม 2568
สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ความรุนแรงสูงหมายเลข CVE-2018-4063 ซึ่งส่งผลกระทบต่อเราเตอร์ Sierra Wireless AirLink ALEOS ลงในบัญชี Known Exploited Vulnerabilities (KEV) หลังพบว่าช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีจริง โดยเป็นช่องโหว่ประเภทการอัปโหลดไฟล์โดยไม่มีการจำกัด (Unrestricted File Upload) ซึ่งสามารถถูกใช้เพื่อดำเนินการโจมตีแบบ Remote Code Execution (RCE) ผ่านคำขอ HTTP ที่ถูกออกแบบมาเป็นพิเศษ ส่งผลให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถอัปโหลดไฟล์โค้ดอันตรายเข้าสู่เว็บเซิร์ฟเวอร์ของอุปกรณ์ได้
ช่องโหว่ดังกล่าวถูกเปิดเผยต่อสาธารณะครั้งแรกโดย Cisco Talos ในปี 2019 โดยพบในฟังก์ชัน “upload.cgi” ของระบบ ACEManager บนเฟิร์มแวร์ Sierra Wireless AirLink ES450 เวอร์ชัน 4.9.3 การออกแบบที่ขาดกลไกป้องกันที่เหมาะสม ทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ที่มีชื่อซ้ำกับไฟล์ระบบที่มีสิทธิ์รันคำสั่งอยู่แล้ว เช่น “fw_upload_init.cgi” ส่งผลให้สามารถเรียกใช้โค้ดได้ทันที ทั้งนี้ ระบบ ACEManager ทำงานภายใต้สิทธิ์ระดับ root ทำให้การโจมตีสามารถยกระดับสิทธิ์และควบคุมอุปกรณ์ได้อย่างสมบูรณ์
การตัดสินใจของ CISA สอดคล้องกับรายงานการเฝ้าระวังของ Forescout ที่พบว่าเราเตอร์อุตสาหกรรมเป็นหนึ่งในอุปกรณ์ที่ถูกโจมตีมากที่สุดใน OT และเคยมีการตรวจพบกลุ่มภัยคุกคาม Chaya_005 นำช่องโหว่นี้ไปใช้โจมตีในช่วงต้นปี 2024 จากสถานการณ์ดังกล่าว CISA แนะนำให้หน่วยงานภาครัฐสหรัฐในกลุ่ม FCEB เร่งอัปเดตอุปกรณ์ไปยังเวอร์ชันที่ยังได้รับการสนับสนุน หรือยุติการใช้งานผลิตภัณฑ์ดังกล่าวภายในวันที่ 2 มกราคม 2026 เนื่องจากอุปกรณ์ได้สิ้นสุดการสนับสนุนและมีความเสี่ยงสูงต่อความมั่นคงปลอดภัย
แหล่งข่าว https://thehackernews.com/2025/12/cisa-adds-actively-exploited-sierra.html
