ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ และพบรายงานเกี่ยวกับช่องโหว่ใน Ivanti Xtraction หมายเลข CVE-2026-8043 ให้ผู้ใช้งานเร่งตรวจสอบและอัปเดตระบบ หลัง Ivanti เผยแพร่อัปเดตเพื่อแก้ไขช่องโหว่
1. รายละเอียดช่องโหว่ [1]
ช่องโหว่ CVE-2026-8043 (CVSS v3.1: 9.6)[2] เกิดจากการควบคุมชื่อไฟล์หรือพาธไฟล์จากภายนอกไม่เหมาะสม หรือ External Control of File Name or Path (CWE-73) อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนในระบบแล้ว สามารถอ่านไฟล์สำคัญภายในระบบ และเขียนไฟล์ HTML ไปยัง Web Directory ได้ ส่งผลให้ข้อมูลสำคัญอาจถูกเปิดเผย และอาจถูกนำไปใช้ในการโจมตีผู้ใช้งานผ่านฝั่งเบราว์เซอร์ เช่น การสร้างหน้าเว็บหลอกลวง หรือการฝังเนื้อหาอันตรายบนหน้าเว็บที่ผู้ใช้เข้าถึง
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
– Ivanti Xtraction เวอร์ชัน 2026.1 และก่อนหน้า
3. แนวทางการป้องกันและแก้ไข
3.1 อัปเดต Ivanti Xtraction เป็นเวอร์ชัน 2026.2 หรือใหม่กว่า ตามคำแนะนำของ Ivanti
3.2 ตรวจสอบเวอร์ชันของ Ivanti Xtraction ที่ใช้งาน เพื่อประเมินว่าระบบอยู่ในเวอร์ชันที่ได้รับผลกระทบหรือไม่
3.3 ตรวจสอบบัญชีผู้ใช้งานภายในระบบ โดยเฉพาะบัญชีที่มีสิทธิ์เข้าถึงข้อมูลสำคัญหรือสามารถจัดการไฟล์ได้
3.4 ลดสิทธิ์ของบัญชีผู้ใช้งานให้เหลือเท่าที่จำเป็น ตามหลัก Least Privilege และยกเลิกบัญชีที่ไม่จำเป็นหรือไม่ได้ใช้งานแล้ว
3.5 ตรวจสอบ Log ที่เกี่ยวข้องกับการอ่านไฟล์ การสร้างไฟล์ และการแก้ไขไฟล์ใน Web Directory เพื่อค้นหาพฤติกรรมผิดปกติที่อาจเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่
3.6 เฝ้าระวังพฤติกรรมผิดปกติ เช่น การเข้าถึงไฟล์นอกขอบเขตปกติ การสร้างไฟล์ HTML ที่ไม่ทราบที่มา หรือการเข้าใช้งานจาก IP Address ที่ไม่คุ้นเคย
4. มาตรการลดความเสี่ยงหากยังไม่สามารถอัปเดตได้ทันที
4.1 จำกัดการเข้าถึง Ivanti Xtraction ให้เฉพาะผู้ใช้งานและเครือข่ายที่จำเป็นเท่านั้น
4.2 หากระบบเปิดให้เข้าถึงจากอินเทอร์เน็ต ควรจำกัดการเข้าถึงผ่าน VPN, เครือข่ายภายใน หรือระบบควบคุมการเข้าถึงที่เหมาะสม
4.3 บังคับใช้การยืนยันตัวตนหลายปัจจัย หรือ MFA สำหรับบัญชีที่เกี่ยวข้องกับระบบ
4.4 ตรวจสอบและลดสิทธิ์ของบัญชีผู้ใช้ที่ไม่จำเป็น หรือบัญชีที่มีสิทธิ์สูงเกินความจำเป็น
4.5 เฝ้าระวังการเข้าถึงไฟล์ การสร้างไฟล์ หรือการแก้ไขไฟล์ใน Web Directory อย่างใกล้ชิด
4.6 ตรวจสอบไฟล์ HTML หรือไฟล์เว็บที่ไม่ทราบที่มา หากพบควรตรวจสอบทันที
4.7 เก็บหลักฐาน Log ที่เกี่ยวข้อง เพื่อใช้ในการวิเคราะห์เหตุการณ์หากพบพฤติกรรมต้องสงสัย
แหล่งอ้างอิง