178/69 (IT) ประจำวันจันทร์ที่ 30 มีนาคม 2569
มีรายงานการตรวจพบกิจกรรมของกลุ่มผู้ไม่หวังดีที่กำลังเริ่มสแกนหาช่องโหว่ระดับวิกฤตใหม่ใน Citrix NetScaler ADC และ Gateway (CVE-2026-3055) ซึ่งมีคะแนนความรุนแรงสูงถึง 9.3 (Critical) โดยช่องโหว่ดังกล่าวเกิดจากการตรวจสอบข้อมูลนำเข้าที่ไม่รัดกุม นำไปสู่ปัญหาการอ่านข้อมูลนอกขอบเขตหน่วยความจำ (Out-of-bounds read) ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ยืนยันตัวตน สามารถเข้าถึงและดึงข้อมูลสำคัญที่ค้างอยู่ในหน่วยความจำของตัวอุปกรณ์ออกมาได้โดยตรง
จากการตรวจสอบพบว่าช่องโหว่นี้จะส่งผลกระทบเฉพาะระบบที่ถูกตั้งค่าให้เป็น SAML Identity Provider (SAML IDP) เท่านั้น ซึ่งเป็นการตั้งค่าที่นิยมใช้ในองค์กรขนาดใหญ่เพื่อทำระบบ Single Sign-On (SSO) ขณะนี้ผู้เชี่ยวชาญจากเครือข่าย Honeypot ของ Defused และ watchTowr เริ่มตรวจพบการสแกนหาเป้าหมาย (Reconnaissance) ผ่านเส้นทาง /cgi/GetAuthMethods เพื่อระบุตัวตนของอุปกรณ์ที่มีความเสี่ยง แม้ในปัจจุบันจะยังไม่มีโค้ดโจมตี (PoC) เผยแพร่สู่สาธารณะ แต่ลักษณะการทำงานของช่องโหว่ที่คล้ายกับ CitrixBleed (CVE-2023-4966) ในอดีต ทำให้เชื่อได้ว่าการโจมตีเต็มรูปแบบจะเกิดขึ้นในเวลาอันใกล้นี้
ผู้เชี่ยวชาญแนะนำให้ผู้ดูแลระบบตรวจสอบการตั้งค่าอุปกรณ์ NetScaler ทันที หากพบการใช้งานโปรไฟล์ add authentication samlIdPProfile แสดงว่าระบบของคุณอยู่ในข่ายอันตราย และควรรีบดำเนินการติดตั้งแพตช์ความปลอดภัยตามประกาศ CTX696300 ของ Citrix โดยด่วนที่สุด เนื่องจากการสแกนหาเป้าหมายที่เกิดขึ้นในวงกว้างขณะนี้ เป็นสัญญาณเตือนว่าระยะเวลาในการรับมือก่อนที่ช่องโหว่จะถูกใช้งานจริงกำลังจะหมดลง