ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบรายงานการโจมตีผ่านช่องโหว่หมายเลข CVE-2026-28318 ในซอฟต์แวร์รับส่งไฟล์ SolarWinds Serv-U ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถส่งคำขอพิเศษเพื่อทำให้เซิร์ฟเวอร์หยุดทำงาน (Denial of Service: DoS) ได้โดยไม่ต้องล็อกอินเข้าสู่ระบบ ซึ่งปัญหาดังกล่าวจะส่งผลกระทบโดยตรงต่อความพร้อมใช้งานของระบบรับส่งไฟล์ ทำให้การแลกเปลี่ยนข้อมูลขององค์กรต้องหยุดชะงัก ดังนั้น องค์กรที่มีการใช้งาน SolarWinds Serv-U เวอร์ชัน 15.5.4 หรือต่ำกว่า โดยเฉพาะระบบที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ตสาธารณะ จึงมีความเสี่ยงสูงและได้รับผลกระทบโดยตรง [1]
1. รายละเอียดช่องโหว่
ช่องโหว่ CVE-2026-28318 (ความรุนแรงระดับสูง CVSS: 7.5) [2] ซึ่งเป็นช่องโหว่ประเภท Uncontrolled Resource Consumption (CWE-400) โดยผู้โจมตีสามารถส่งคำขอ HTTP POST ที่ถูกสร้างขึ้นเป็นพิเศษ และมีการใช้งานส่วนหัว Content-Encoding: deflate เพื่อทำให้บริการ Serv-U หยุดทำงานได้โดยไม่ต้องผ่านการยืนยันตัวตน [3], [4], [5]
ช่องโหว่นี้สามารถถูกใช้โจมตีผ่านเครือข่าย มีความซับซ้อนในการโจมตีต่ำ ไม่จำเป็นต้องมีสิทธิ์ผู้ใช้งาน และไม่ต้องอาศัยการโต้ตอบจากผู้ใช้ โดยผลกระทบหลักอยู่ที่ด้านความพร้อมใช้งานของระบบ (Availability)
SolarWinds Serv-U เป็นซอฟต์แวร์สำหรับรับส่งไฟล์ที่รองรับการใช้งานแบบ Managed File Transfer (MFT) และ FTP Server บนระบบ Windows และ Linux โดยสามารถให้บริการผ่านโปรโตคอล HTTP/HTTPS, FTP, FTPS และ SFTP จึงมักถูกใช้งานในระบบที่เกี่ยวข้องกับการแลกเปลี่ยนไฟล์ระหว่างองค์กรหรือกับคู่ค้า
2. ลักษณะการโจมตี [3]
การโจมตีอาศัยการส่งคำขอไปยังบริการ Serv-U ที่ได้รับผลกระทบ เพื่อทำให้บริการล่มหรือหยุดตอบสนอง ส่งผลให้ผู้ใช้งานไม่สามารถใช้บริการรับส่งไฟล์ได้ตามปกติ ทั้งนี้ ยังไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับกลุ่มผู้โจมตี วิธีการโจมตีในสภาพแวดล้อมจริง หรือจำนวนระบบที่ถูกโจมตี จุดที่น่ากังวลคือ การโจมตีนี้สามารถทำได้ทันทีผ่านเครือข่ายอินเทอร์เน็ต โดยไม่ต้องอาศัยการคลิกหรือการโต้ตอบจากผู้ใช้งาน (User interaction) และไม่ต้องใช้สิทธิ์การเข้าสู่ระบบ (Authentication) ซึ่งปัจจุบัน หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้นำช่องโหว่นี้ขึ้นทะเบียนในรายการช่องโหว่ที่มีการใช้โจมตีจริง (KEV Catalog) เป็นที่เรียบร้อยแล้ว [1]
3. ผลกระทบ
3.1 ผู้โจมตีอาจทำให้บริการ SolarWinds Serv-U หยุดทำงานหรือไม่สามารถให้บริการได้
3.2 อาจกระทบต่อการรับส่งไฟล์ผ่าน HTTP/HTTPS, FTP, FTPS และ SFTP
3.3 อาจทำให้กระบวนการแลกเปลี่ยนข้อมูลระหว่างหน่วยงาน คู่ค้า หรือระบบภายในหน่วยงานหยุดชะงัก
3.4 อาจถูกใช้เป็นส่วนหนึ่งของการโจมตีเพื่อสร้างความเสียหายต่อความพร้อมใช้งานของระบบ หรือเบี่ยงเบนความสนใจจากกิจกรรมผิดปกติอื่นในเครือข่าย
3.5 มีความเสี่ยงสูงขึ้นสำหรับระบบ Serv-U ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต หรือไม่ได้จำกัดการเข้าถึงจากแหล่งที่เชื่อถือได้
4. ผลิตภัณฑ์ที่ได้รับผลกระทบ [4]
4.1 SolarWinds Serv-U เวอร์ชัน 15.5.4 และต่ำกว่า
4.2 ระบบ SolarWinds Serv-U Managed File Transfer
4.3 ระบบ SolarWinds Serv-U FTP Server
5. แนวทางการแก้ไขและป้องกัน
5.1 อัปเดต SolarWinds Serv-U เป็นเวอร์ชัน 15.5.4 Hotfix 1 โดยเร็ว [5]
5.2 ตรวจสอบว่าระบบที่เคยอัปเดตเป็น Serv-U 15.5.4 แล้ว ได้ติดตั้ง Hotfix 1 เพิ่มเติมเรียบร้อยแล้ว เนื่องจาก SolarWinds ระบุให้ผู้ใช้งานเวอร์ชัน 15.5.4 ติดตั้ง Hotfix 1 ด้วย
5.3 จำกัดการเข้าถึงบริการ Serv-U ให้เฉพาะที่อยู่ที่รู้จักและเชื่อถือได้ (known addresses) เท่านั้น
5.4 หากยังไม่สามารถติดตั้งแพตช์ได้ทันที ให้กำหนดมาตรการบน Web Application Firewall (WAF), Reverse Proxy หรืออุปกรณ์ควบคุมการเข้าถึง เพื่อบล็อกคำขอ HTTP POST ที่มีส่วนหัว content-encoding ตามคำแนะนำของ SolarWinds
5.5 ตรวจสอบ log ของ Serv-U, WAF, Reverse Proxy และระบบเครือข่าย เพื่อค้นหาความผิดปกติ เช่น การหยุดทำงานของบริการโดยไม่ทราบสาเหตุ การใช้ทรัพยากรสูงผิดปกติ หรือคำขอที่มีลักษณะสอดคล้องกับช่องโหว่ดังกล่าว
5.6 สำรวจระบบ Serv-U ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต และเร่งดำเนินการแพตช์ระบบที่มีความเสี่ยงสูงก่อน
5.7 จัดทำหรือทบทวนแผนสำรองและกู้คืนบริการรับส่งไฟล์ เพื่อให้สามารถกลับมาให้บริการได้รวดเร็วหากเกิดเหตุขัดข้อง
แหล่งอ้างอิง