TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
CISA ออกคำสั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ แพตช์ช่องโหว่ระดับ Critical บน Dell RecoverPoint ภายใน 3 วัน หลังพบว่าถูกกลุ่มแฮกเกอร์จีนใช้โจมตีจริงมาตั้งแต่กลางปี 2024
ช่องโหว่ CVE-2026-22769 เป็นช่องโหว่ประเภท Hardcoded Credential ระดับความรุนแรงสูงสุดบน Dell RecoverPoint ซึ่งเป็นโซลูชันสำรองข้อมูลและกู้คืน VMware virtual machine โดยทีมวิจัยจาก Mandiant และ Google Threat Intelligence Group (GTIG) พบว่ากลุ่มแฮกเกอร์จีนที่ถูกติดตามในชื่อ UNC6201 ใช้ช่องโหว่นี้โจมตีมาตั้งแต่อย่างน้อยกลางปี 2024 เพื่อเคลื่อนตัวภายในเครือข่ายของเหยื่อ คงสถานะการเข้าถึงระบบ และติดตั้ง Malware หลายตัว รวมถึง Backdoor ตัวใหม่ที่มีชื่อว่า Grimbolt
กลุ่ม UNC6201 เปลี่ยนจากการใช้ Brickstorm backdoor มาเป็น Grimbolt ตั้งแต่เดือนกันยายน 2025 ซึ่ง Grimbolt ใช้เทคนิคการ compile แบบใหม่ที่ทำให้วิเคราะห์ได้ยากกว่ารุ่นก่อนหน้า นอกจากนี้ทีมวิจัยยังพบความเชื่อมโยงระหว่าง UNC6201 กับกลุ่ม Silk Typhoon ซึ่งเป็นกลุ่มจารกรรมไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ที่รู้จักกันดีในการใช้ช่องโหว่ Zero-day ของ Ivanti โจมตีหน่วยงานรัฐบาล โดย Silk Typhoon เคยเจาะระบบของหน่วยงานรัฐบาลสหรัฐฯ หลายแห่ง รวมถึง U.S. Treasury Department, Office of Foreign Assets Control (OFAC) และ Committee on Foreign Investment in the United States (CFIUS)
CISA ได้เพิ่มช่องโหว่นี้เข้าสู่ Known Exploited Vulnerabilities (KEV) catalog และสั่งให้หน่วยงาน Federal Civilian Executive Branch (FCEB) ดำเนินการแก้ไขให้แล้วเสร็จภายในวันเสาร์ที่ 21 กุมภาพันธ์ ตามข้อกำหนดของ Binding Operational Directive (BOD) 22-01 โดยหน่วยงานต้องดำเนินการตามคำแนะนำของผู้ผลิต หรือหยุดใช้งานผลิตภัณฑ์หากยังไม่มีวิธีแก้ไข ทั้งนี้เมื่อสัปดาห์ก่อน CISA ยังเคยออกคำสั่งลักษณะเดียวกันให้หน่วยงานรัฐบาลแพตช์ช่องโหว่ Remote Code Execution บน BeyondTrust Remote Support ภายใน 3 วันเช่นกัน
