ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์และพบรายงานเกี่ยวกับช่องโหว่ระดับวิกฤติใน Oracle PeopleSoft Enterprise PeopleTools ซึ่งเป็นแพลตฟอร์มสำคัญที่ใช้สนับสนุนการทำงานของระบบ Oracle PeopleSoft สำหรับการบริหารจัดการทรัพยากรบุคคล การเงิน และกระบวนการทางธุรกิจขององค์กร Oracle ได้เผยแพร่ Security Alert และแนวทางลดความเสี่ยงสำหรับช่องโหว่ดังกล่าวแล้ว ผู้ใช้งานควรเร่งดำเนินการตามคำแนะนำทันที เพื่อลดความเสี่ยงจากการถูกโจมตี[1]
1. รายละเอียดช่องโหว่[2]
CVE-2026-35273 (CVSS v3.1: 9.8 ) เป็นช่องโหว่ประเภท Remote Code Execution (RCE) ใน Oracle PeopleSoft Enterprise PeopleTools ซึ่งอาจเปิดโอกาสให้ผู้โจมตีจากภายนอกสามารถส่งคำขอที่ถูกสร้างขึ้นเป็นพิเศษมายังระบบ และสั่งรันโค้ดบนเซิร์ฟเวอร์เป้าหมายได้โดยไม่ต้องผ่านกระบวนการยืนยันตัวตน
2. ลักษณะการโจมตี
2.1 ผู้โจมตีสามารถใช้ช่องโหว่เพื่อเข้าถึงระบบ Oracle PeopleSoft ที่เปิดให้บริการผ่านเครือข่ายอินเทอร์เน็ต โดยไม่จำเป็นต้องมีบัญชีผู้ใช้งานหรือข้อมูลยืนยันตัวตน
2.2 หลังจากเข้าถึงระบบได้สำเร็จ ผู้โจมตีจะดำเนินการติดตั้งเครื่องมือสำหรับควบคุมระบบ สร้างช่องทางคงสิทธิ์การเข้าถึง (Persistence) และรวบรวมข้อมูลสำคัญจากระบบที่ถูกบุกรุก
2.3 ผู้โจมตีอาจใช้ระบบที่ถูกบุกรุกเป็นจุดเริ่มต้นในการเคลื่อนย้ายภายในเครือข่าย (Lateral Movement) เพื่อขยายผลการโจมตีไปยังระบบอื่นภายในองค์กร
2.4 จากข้อมูลของ Google Mandiant พบกลุ่มผู้โจมตี UNC6240 ซึ่งมีความเชื่อมโยงกับกลุ่ม ShinyHunters ใช้ช่องโหว่ในการบุกรุกองค์กรเป้าหมายหลายแห่งทั่วโลก
3. ผลกระทบที่อาจเกิดขึ้น
3.1 ผู้โจมตีอาจเข้าถึงฐานข้อมูลและข้อมูลสำคัญภายในระบบ เช่น ข้อมูลบุคลากร ข้อมูลทางการเงิน ข้อมูลเงินเดือน หรือข้อมูลที่มีความอ่อนไหวอื่น ๆ
3.3 ผู้โจมตีสามารถติดตั้งมัลแวร์ เครื่องมือควบคุมหรือ Backdoor เพื่อรักษาการเข้าถึงระบบ
3.4 อาจนำไปสู่การรั่วไหลของข้อมูล การเรียกค่าไถ่ข้อมูล (Data Extortion) หรือการเผยแพร่ข้อมูลสู่สาธารณะ
4. ผลิตภัณฑ์ที่ได้รับผลกระทบ[3]
4.1 Oracle PeopleSoft Enterprise PeopleTools เวอร์ชัน 8.61 และ 8.62
4.2 Oracle PeopleSoft Enterprise Applications อาจได้รับผลกระทบด้วย หากมีการใช้งานองค์ประกอบที่เกี่ยวข้องกับ PeopleTools
5. แนวทางการป้องกันและแก้ไข[4]
5.1 ดำเนินการตามแนวทางลดความเสี่ยง (Mitigation) ที่ Oracle เผยแพร่ผ่าน Security Alert
5.2 ตรวจสอบระบบ Oracle PeopleSoft ภายในองค์กร โดยเฉพาะเวอร์ชัน 8.61 และ 8.62 รวมถึงระบบที่เปิดให้เข้าถึงจากอินเทอร์เน็ต
5.3 จำกัดการเข้าถึงระบบบริหารจัดการและส่วนประกอบที่เกี่ยวข้องของ PeopleSoft ให้เฉพาะผู้ใช้งานหรือเครือข่ายที่มีความจำเป็น
5.4 ตรวจสอบบันทึกเหตุการณ์ (Logs) และกิจกรรมที่ผิดปกติย้อนหลัง เพื่อค้นหาความเป็นไปได้ว่าระบบอาจถูกบุกรุกแล้ว
5.5 ตรวจสอบการมีอยู่ของโปรแกรม บริการ หรือบัญชีผู้ใช้งานที่ไม่ได้รับอนุญาต รวมถึงเครื่องมือควบคุมระบบที่อาจถูกติดตั้งโดยผู้โจมตี
5.6 ตรวจสอบ Indicators of Compromise (IoCs) ที่เผยแพร่โดย Oracle และ Google Mandiant เพื่อประเมินผลกระทบและขอบเขตของการบุกรุก
5.7 หากพบข้อบ่งชี้ว่าระบบอาจถูกโจมตี ควรดำเนินการตามกระบวนการ Incident Response ทันที พร้อมทั้งเปลี่ยนรหัสผ่าน รีเซ็ตข้อมูลยืนยันตัวตน และตรวจสอบความถูกต้องของข้อมูลภายในระบบอย่างละเอียด
แหล่งอ้างอิง