353/68 (IT) ประจำวันศุกร์ที่ 19 กันยายน 2568
SonicWall ประกาศเตือนลูกค้ารีเซ็ตรหัสผ่านและโทเคนยืนยันตัวตน หลังตรวจพบการเจาะระบบที่ทำให้ไฟล์สำรองการตั้งค่าไฟร์วอลล์ (firewall configuration backup) ของผู้ใช้งานบางส่วนในบัญชี MySonicWall ถูกเข้าถึงโดยไม่ได้รับอนุญาต เหตุการณ์นี้อาจเพิ่มความเสี่ยงที่ผู้โจมตีจะนำข้อมูลสำคัญ เช่น รหัสผ่าน คีย์ API และโทเคน ไปใช้ในการเจาะระบบไฟร์วอลล์ โดยบริษัทได้ตัดการเข้าถึงของผู้โจมตีทันที และอยู่ระหว่างการทำงานร่วมกับหน่วยงานด้านความปลอดภัยไซเบอร์และเจ้าหน้าที่บังคับใช้กฎหมายเพื่อตรวจสอบผลกระทบ
SonicWall ระบุว่าเหตุการณ์ดังกล่าวกระทบอุปกรณ์ไฟร์วอลล์น้อยกว่า 5% โดยผู้โจมตีใช้วิธี brute-force เจาะ API ของระบบสำรองข้อมูลบนคลาวด์ แม้ไฟล์จะมีการเข้ารหัสผ่าน แต่มีข้อมูลการตั้งค่าที่อาจเพิ่มโอกาสให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่ บริษัทแนะนำผู้ดูแลระบบรีเซ็ตรหัสผ่าน, คีย์ API และโทเคนที่เกี่ยวข้องทั้งหมด รวมถึงบริการที่เกี่ยวข้อง VPN และ LDAP/RADIUS ที่เชื่อมต่อกับอุปกรณ์ SonicWall พร้อมทั้งปิดหรือจำกัดการเข้าถึงบริการจากเครือข่ายภายนอก (WAN) ชั่วคราวเพื่อความปลอดภัย
แม้ SonicWall ยืนยันว่าไม่พบหลักฐานการนำไฟล์ออกเผยแพร่สู่สาธารณะหรือเกี่ยวข้องกับแรนซัมแวร์ แต่เหตุการณ์นี้เกิดขึ้นใกล้เคียงกับกรณีที่กลุ่ม Akira ransomware ได้รับการยืนยันว่าใช้ช่องโหว่ CVE-2024-40766 ใน SonicOS เพื่อโจมตีอุปกรณ์ที่ยังไม่ได้อัปเดต นักวิจัยเตือนให้องค์กรเร่งอัปเดตแพตช์ล่าสุด ตรวจสอบบันทึกการใช้งาน และเสริมมาตรการด้านความปลอดภัยอย่างเข้มงวด เพื่อป้องกันความเสี่ยงจากการถูกโจมตีซ้ำหรือการเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต
