148/68 (IT) ประจำวันอังคารที่ 22 เมษายน 2568
นักวิจัย Arctic Wolf เตือนว่ามีกลุ่มแฮกเกอร์ได้เริ่มโจมตีอุปกรณ์ SonicWall Secure Mobile Access (SMA) ตั้งแต่เดือนมกราคม 2025 โดยอาศัยช่องโหว่หมายเลข CVE-2021-20035 ซึ่งเป็นช่องโหว่ประเภท OS Command Injection บน SMA100 management interface ที่เปิดช่องให้ผู้โจมตีที่ login ได้สามารถรันคำสั่งในระบบด้วยสิทธิ์ของผู้ใช้ “nobody” และอาจนำไปสู่การ Remote Code Execution (RCE) ช่องโหว่นี้กระทบอุปกรณ์รุ่น SMA 200, 210, 400, 410 และ 500v แม้จะมี patch แก้ไขมาตั้งแต่ปี 2021 แต่ปัจจุบันกลับถูกนำมาใช้โจมตีอีกครั้ง
หน่วยงาน CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่นี้ลงใน Known Exploited Vulnerabilities (KEV) catalog พร้อมออกคำสั่งให้หน่วยงานรัฐ patch ให้เสร็จภายในวันที่ 7 พฤษภาคม 2025 ด้าน SonicWall ก็ได้อัปเดต advisory เพื่อยืนยันว่าช่องโหว่นี้ถูกใช้โจมตีจริง โดย Arctic Wolf ตรวจพบแคมเปญโจมตีที่เกิดขึ้นต่อเนื่องตั้งแต่มกราคมถึงเมษายน 2025 โดยมีเป้าหมายในการขโมย VPN credentials จากอุปกรณ์ SMA 100 series
Arctic Wolf ยังชี้ว่าผู้โจมตีมักใช้บัญชี super admin ภายในเครื่อง เช่น admin@LocalDomain ซึ่งยังใช้รหัสผ่านเริ่มต้น “password” ทำให้แม้อุปกรณ์จะได้รับการ patch แล้ว ก็ยังสามารถถูก compromise ได้จากพฤติกรรมการตั้งรหัสผ่านที่ไม่ปลอดภัย (poor password hygiene) จึงแนะนำให้องค์กรเร่งเปลี่ยนรหัสผ่าน ปิดบัญชีที่ไม่ได้ใช้งาน เปิดใช้ Multi-Factor Authentication (MFA) และจำกัดสิทธิ์ VPN access ทันทีเพื่อป้องกันการถูกโจมตีผ่านช่องโหว่นี้
