ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์พบการประกาศของ Palo Alto Networks ออกแพตช์เพื่อแก้ไขช่องโหว่ระดับสูง (High) ซึ่งอาจเปิดโอกาสให้ผู้ไม่หวังดีเข้าควบคุมระบบ สร้างไฟล์อันตราย หรือเข้าถึงข้อมูลโครงสร้างพื้นฐานที่สำคัญได้ [1]
1. รายละเอียดช่องโหว่
1.1 Palo Alto Networks Cortex XSOAR / Cortex XSIAM ช่องโหว่ CVE-2026-0274 (CVSS V4.0: 8.1)[2] ความรุนแรงระดับ High เป็นช่องโหว่ Improper Validation of Credentials ใน CommvaultSecurityIQ integration สำหรับ Cortex XSOAR และ Cortex XSIAM ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้ยืนยันตัวตนสามารถเข้าถึงหรือแก้ไขทรัพยากรที่ได้รับการป้องกันได้ ทั้งนี้ Palo Alto Networks ระบุว่ายังไม่พบการนำช่องโหว่ไปใช้โจมตีจริงในขณะนี้
1.2 ช่องโหว่ระดับปานกลางและต่ำอื่น ๆ (Medium/Low Severity): ตรวจพบช่องโหว่อีก 8 จุดในระบบปฏิบัติการ PAN-OS, Prisma Access Agent, Cortex XSOAR และ GlobalProtect App
2. รูปแบบการโจมตี
การข้ามผ่านการควบคุมสิทธิ์เพื่อเข้าถึงทรัพยากร โดยผู้โจมตีไม่จำเป็นต้องอาศัยการตั้งค่าระบบในรูปแบบพิเศษ (No Special Configuration Required) เพียงส่งชุดข้อมูลที่ออกแบบมาเป็นพิเศษไปยังจุดเชื่อมต่อระบบ Commvault เพื่อหลอกลวงสิทธิ์ ส่งผลให้สามารถเข้าไปอ่าน เขียน หรือแก้ไขทรัพยากรข้อมูลที่ถูกจำกัดสิทธิ์ (Protected Resources)
3. ผลิตภัณฑ์ที่ได้รับผลกระทบ[3]
3.1 Cortex XSOAR ที่ใช้งาน CommvaultSecurityIQ Marketplace integration เวอร์ชัน 1.1.0 ถึง 1.1.9
3.2 Cortex XSIAM ที่ใช้งาน CommvaultSecurityIQ Marketplace integration เวอร์ชัน 1.1.0 ถึง 1.1.9
4. แนวทางการแก้ไขและ
4.1 ตรวจสอบเวอร์ชันของ Cortex XSOAR และ Cortex XSIAM รวมถึง integration ที่เกี่ยวข้องภายในองค์กร เพื่อระบุระบบที่อยู่ในเวอร์ชันที่ได้รับผลกระทบ
4.2 ดำเนินการอัปเดต CommvaultSecurityIQ integration เป็นเวอร์ชันที่ได้รับการแก้ไขแล้วโดยเร็ว เนื่องจากช่องโหว่ดังกล่าวมีผลกระทบต่อความลับ ความถูกต้อง และความพร้อมใช้งานของระบบ
4.3 จำกัดการเข้าถึงบริการบริหารจัดการของ Cortex XSOAR และ Cortex XSIAM ให้เฉพาะเครือข่ายหรือ IP Address ที่ได้รับอนุญาตเท่านั้น
4.4 ตรวจสอบบันทึกเหตุการณ์ย้อนหลัง การเข้าถึงจาก IP ที่ไม่คุ้นเคย การสร้างหรือแก้ไขไฟล์ผิดปกติ และการเข้าถึงทรัพยากรที่ควรถูกจำกัดสิทธิ์
4.5 หากพบข้อบ่งชี้ว่าระบบอาจถูกโจมตี ควรดำเนินการตามกระบวนการ Incident Response ทันที แยกระบบที่ได้รับผลกระทบ เก็บหลักฐาน ตรวจสอบขอบเขตความเสียหาย และเปลี่ยนข้อมูลยืนยันตัวตนที่เกี่ยวข้อง
แหล่งอ้างอิง