ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยในผลิตภัณฑ์ Check Point Remote Access VPN และ Mobile Access ที่ใช้งานโปรโตคอล IKEv1 โดยพบว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีจริง (Active Exploitation) และมีความเชื่อมโยงกับกลุ่มผู้โจมตีที่เกี่ยวข้องกับ Qilin Ransomware ส่งผลให้ผู้โจมตีสามารถข้ามกระบวนการยืนยันตัวตนและเชื่อมต่อเข้าสู่ระบบ VPN ได้โดยไม่ได้รับอนุญาต จึงขอให้ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบดำเนินการตรวจสอบและติดตั้งแพตช์แก้ไขโดยเร็วที่สุด
1. รายละเอียดช่องโหว่ [1]
ช่องโหว่ CVE-2026-50751 (CVSS 3.1: 9.3) [2] เป็นช่องโหว่ประเภท Authentication Bypass ที่ส่งผลกระทบต่อระบบ Remote Access VPN และ Mobile Access ของ Check Point ที่กำหนดค่าใช้งานโปรโตคอล IKEv1 ซึ่งเป็นโปรโตคอลที่ผู้ผลิตยกเลิกการสนับสนุนแล้ว (Deprecated) ช่องโหว่ดังกล่าวเกิดจากข้อบกพร่องในกระบวนการตรวจสอบใบรับรองดิจิทัล (Certificate Validation) ทำให้ผู้โจมตีจากภายนอกสามารถข้ามกระบวนการยืนยันตัวตนและสร้างการเชื่อมต่อ VPN ได้โดยไม่ต้องใช้รหัสผ่านที่ถูกต้อง ส่งผลให้สามารถเข้าถึงระบบผ่าน VPN ได้โดยไม่ได้รับอนุญาต ทั้งนี้ ผู้โจมตียังต้องดำเนินกิจกรรมเพิ่มเติมภายหลังการเข้าถึง (Post-Compromise Activities) เพื่อเข้าถึงทรัพยากรภายในหรือยกระดับสิทธิ์ในระบบ
นอกจากนี้ Check Point ยังเปิดเผยช่องโหว่ CVE-2026-50752 (CVSS 3.1: 7.4) [3] ซึ่งเกิดจากข้อบกพร่องในกระบวนการตรวจสอบใบรับรองดิจิทัล (Certificate Validation) ของโปรโตคอล IKEv1 โดยอาจเปิดโอกาสให้ผู้โจมตีดำเนินการโจมตีแบบ Man-in-the-Middle (MitM) ต่อการเชื่อมต่อ VPN Site-to-Site ภายใต้เงื่อนไขเฉพาะ ส่งผลให้ข้อมูลที่รับส่งระหว่างปลายทางอาจถูกดักรับหรือแก้ไขได้ ทั้งนี้ ยังไม่พบหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงในปัจจุบัน
2. สถานการณ์การโจมตี
จากข้อมูลของ Check Point พบว่าช่องโหว่ CVE-2026-50751 ถูกนำไปใช้ในการโจมตีจริง (Active Exploitation) ต่อองค์กรเป้าหมายหลายแห่งทั่วโลก โดยพบร่องรอยการโจมตีตั้งแต่วันที่ 7 พฤษภาคม 2569 และมีแนวโน้มเพิ่มขึ้นในช่วงต้นเดือนมิถุนายน 2569
Check Point ประเมินด้วยระดับความเชื่อมั่นปานกลาง (Medium Confidence) ระบุว่าผู้โจมตีมีแรงจูงใจทางการเงิน (Financially Motivated) และมีความเชื่อมโยงกับกลุ่มผู้โจมตีที่เกี่ยวข้องกับ Qilin Ransomware โดยพบกิจกรรมภายหลังการบุกรุกที่สอดคล้องกับพฤติกรรมของกลุ่มดังกล่าว รวมถึงความพยายามในการดาวน์โหลดไฟล์ ELF อันตรายเข้าสู่ระบบเป้าหมาย นอกจากนี้ ผู้โจมตียังใช้โครงสร้างพื้นฐานเซิร์ฟเวอร์เสมือน (Virtual Private Server) จากผู้ให้บริการหลายรายเพื่อดำเนินการโจมตีและปกปิดแหล่งที่มา
3. IoCs ที่เกี่ยวข้อง
3.1 IP Addresses
- 45.77.149[.]152
- 209.182.225[.]136
- 38.60.157[.]139
- 162.33.177[.]101
- 45.76.26[.]42
- 144.208.127[.]155
- 38.54.88[.]201
- 38.54.107[.]167
- 66.42.99[.]200
3.2 File Hashes (MD5)
- 52fda5c1b9704544f32ee98d9060e689
- 51d39aa39478beeac94f2d12f682ecce
ทั้งนี้ IoCs ข้างต้นเป็นข้อมูลที่เกี่ยวข้องกับการโจมตีที่ตรวจพบในปัจจุบัน ผู้ดูแลระบบควรใช้ประกอบการตรวจสอบ Log และกิจกรรมที่อาจเกี่ยวข้องกับเหตุการณ์ดังกล่าว
4. ผลิตภัณฑ์ที่ได้รับผลกระทบ
ช่องโหว่นี้ส่งผลกระทบต่อผลิตภัณฑ์ Check Point Remote Access VPN และ Mobile Access รวมถึง Spark Firewall ในเวอร์ชันดังต่อไปนี้
- R80.20.X (EOS)
- R80.40 (EOS)
- R81 (EOS)
- R81.10 (EOS)
- R81.10.X
- R81.20
- R82
- R82.00.X
- R82.10
ทั้งนี้ ระบบจะได้รับผลกระทบเฉพาะกรณีที่มีการกำหนดค่าให้ใช้งาน IKEv1 ซึ่งเป็นโปรโตคอลที่ผู้ผลิตยุติการแนะนำให้ใช้งาน (Deprecated) ร่วมกับการอนุญาตให้ Legacy Remote Access Clients เชื่อมต่อได้ และไม่มีการกำหนดให้ Machine Certificate Authentication เป็นข้อบังคับสำหรับการเชื่อมต่อ VPN
อย่างไรก็ตาม ผู้ดูแลระบบที่กำหนดให้ใช้งาน IKEv2 เท่านั้น หรือบังคับใช้ Machine Certificate Authentication สำหรับการเชื่อมต่อ VPN จะไม่ได้รับผลกระทบจากช่องโหว่นี้
5. แนวทางการแก้ไข
Check Point ได้เผยแพร่ Security Hotfix สำหรับแก้ไขช่องโหว่ CVE-2026-50751[4] และ CVE-2026-50752[5] แล้ว โดยผู้ดูแลระบบควรดำเนินการติดตั้ง Hotfix ล่าสุดสำหรับผลิตภัณฑ์ที่ได้รับผลกระทบ หากยังไม่สามารถติดตั้งแพตช์ได้ในทันที ควรดำเนินการดังนี้
- ปิดการใช้งาน IKEv1 Key Exchange และเปลี่ยนไปใช้งาน IKEv2
- ตรวจสอบและปรับปรุงการตั้งค่า Remote Access VPN และ Mobile Access
- จำกัดการเข้าถึง VPN จากเครือข่ายหรือพื้นที่ที่ไม่เกี่ยวข้องกับการดำเนินงาน
- ทบทวนความจำเป็นของระบบที่ยังคงใช้งาน IKEv1 และวางแผนยกเลิกการใช้งานโดยเร็ว
6. คำแนะนำด้านความปลอดภัยเพิ่มเติม
6.1 ตรวจสอบ Log ย้อนหลังเพื่อค้นหากิจกรรมที่อาจเกี่ยวข้องกับการโจมตี
6.2 เฝ้าระวังการเชื่อมต่อจาก IP Address ที่ระบุในรายการ IoCs
6.3 ตรวจสอบบัญชีผู้ใช้งาน VPN ที่มีการเข้าสู่ระบบผิดปกติ
6.4 ตรวจสอบการเปลี่ยนแปลงสิทธิ์ หรือกิจกรรมที่อาจบ่งชี้ถึงการยกระดับสิทธิ์ภายในระบบ
6.5 สแกนระบบเพื่อค้นหาไฟล์อันตรายหรือไฟล์ ELF ที่ไม่รู้จัก โดยเฉพาะบนระบบ Linux
6.6 เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับการเข้าถึง VPN
แหล่งอ้างอิง
[1] https://dg.th/9bqevdlc5h
[2] https://dg.th/6fvqj4opcz
[3] https://dg.th/6pfgm9qlz4
[4] https://dg.th/wes81k45m7
[5] https://dg.th/8ofpad9iqr