ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนพบช่องโหว่ระดับวิกฤตในระบบ Ivanti Sentry ซึ่งเป็นระบบจัดการความปลอดภัยบนอุปกรณ์พกพาขององค์กร ช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถข้ามผ่านการตรวจสอบสิทธิ์ และเข้าควบคุมระบบได้โดยไม่ต้องใช้รหัสผ่าน ซึ่งอาจนำไปสู่การถูกขโมยข้อมูลสำคัญ หรือเข้าถึงเครือข่ายภายในองค์กรได้ทันที ทั้งนี้ หน่วยงานที่ใช้งานระบบ Ivanti Sentry เวอร์ชันต่ำกว่า R10.5.2, R10.6.2 และ R10.7.1 จะได้รับผลกระทบทั้งหมด [1]
1.รายละเอียดช่องโหว่
1.1 CVE-2026-10520 (ระดับความรุนแรง CVSS v3.1: 10.0): เป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถเรียกใช้คำสั่งอันตรายจากระยะไกล (Remote Code Execution) ผ่านระบบเครือข่ายอินเทอร์เน็ต เพื่อเข้าควบคุมระบบ Ivanti Sentry ได้โดยตรงด้วยสิทธิ์การใช้งานระดับสูงสุด (Root/Administrator) [2]
1.2 CVE-2026-10523 (ระดับความรุนแรง CVSS v3.1: 10.0): เป็นช่องโหว่การข้ามผ่านกระบวนการยืนยันตัวตน ทำให้ผู้ไม่หวังดีสามารถหลบเลี่ยงการเข้าสู่ระบบ (Log-in) และสร้างบัญชีผู้ดูแลระบบ (Administrator Account) ปลอมขึ้นมาเพื่อเข้าควบคุมและสั่งการระบบได้ทันที [3]
2.ผลิตภัณฑ์ที่ได้รับผลกระทบ
ระบบ Ivanti Sentry เวอร์ชันที่ต่ำกว่า R10.5.2, R10.6.2 และ R10.7.1
3.แนวทางปฏิบัติและแก้ไข [4]
3.1 ดำเนินการอัปเดตแพตช์ทันที ติดตั้งอัปเดต Ivanti Sentry เป็นเวอร์ชันล่าสุด (R10.5.2, R10.6.2, R10.7.1 หรือสูงกว่า) เพื่อปิดช่องโหว่โดยเร็วที่สุด
3.2 จำกัดสิทธิ์การเข้าถึงหน้าจัดการระบบ โดยตั้งค่าระบบป้องกัน (Firewall) ให้เฉพาะเครื่องคอมพิวเตอร์ภายในหน่วยงานหรือเลขไอพี (IP Address) ของเจ้าหน้าที่ที่เกี่ยวข้องเท่านั้นที่สามารถเข้าถึงหน้าต่างควบคุมระบบได้
3.3 ตรวจสอบความผิดปกติในระบบทั้งหมด หากพบบัญชีแปลกปลอมที่ไม่ได้สร้างขึ้นโดยหน่วยงาน หรือพบการเข้าใช้งานในเวลาที่ผิดปกติ ให้รีบสั่งระงับบัญชีดังกล่าวทันที
4.มาตรการลดความเสี่ยงเร่งด่วน(กรณีที่ยังไม่สามารถอัปเดตระบบได้ทันที)
เนื่องจากช่องโหว่นี้เป็นแบบ Zero-day ที่ยังไม่มีแพตช์แก้ไขอย่างเป็นทางการ และมีโค้ดการโจมตีเผยแพร่สู่สาธารณะแล้ว ผู้ดูแลระบบจึงจำเป็นต้องใช้มาตรการควบคุมและชดเชยความเสี่ยงในระดับเครือข่ายและระบบปฏิบัติการเป็นการเร่งด่วน ดังนี้: [1]
4.1 จำกัดการเข้าถึงหน้าต่างจัดการระบบ (Admin Portal) โดยปิดการเข้าถึงหน้าต่างควบคุมระบบจากภายนอกชั่วคราว และปรับมาใช้การเชื่อมต่อผ่านระบบ VPN ที่ปลอดภัย ควบคู่กับการยืนยันตัวตนหลายชั้น (MFA) ก่อนเข้าใช้งาน
4.2 เพิ่มการเฝ้าระวังและตรวจสอบบันทึกเหตุการณ์ (Logs) ของระบบอย่างใกล้ชิด โดยเฉพาะพฤติกรรมการเรียกใช้งานไฟล์หรือส่งคำสั่งแปลกปลอมที่มาจากภายนอกเครือข่าย
อ้างอิง