CISA เตือนช่องโหว่ Critical บน SolarWinds Web Help Desk ถูกใช้โจมตีจริงแล้ว

CISA ประกาศเพิ่มช่องโหว่ Critical บน SolarWinds Web Help Desk เข้าสู่ Known Exploited Vulnerabilities Catalog พร้อมสั่งให้หน่วยงานรัฐบาลกลางแพตช์ระบบภายใน 3 วัน

ช่องโหว่ดังกล่าวมีรหัส CVE-2025-40551 เป็นปัญหาด้าน untrusted data deserialization ที่ค้นพบโดยทีมวิจัยจาก Horizon3.ai ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถรันคำสั่งบนระบบได้โดยไม่ต้องมี authentication โดย SolarWinds ได้ปล่อย Web Help Desk 2026.1 เพื่อแก้ไขช่องโหว่นี้เมื่อวันที่ 28 มกราคมที่ผ่านมา นอกจากนี้ยังมีการแพตช์ช่องโหว่ hardcoded-credentials ระดับ High (CVE-2025-40537) และช่องโหว่ authentication bypass อีก 2 รายการ (CVE-2025-40552 และ CVE-2025-40554) ในวันเดียวกัน

CISA ได้เพิ่ม CVE-2025-40551 เข้าสู่ Known Exploited Vulnerabilities Catalog และกำหนดให้หน่วยงาน Federal Civilian Executive Branch (FCEB) ต้องอัปเดตระบบภายใน 3 วัน ตามข้อกำหนดใน Binding Operational Directive (BOD) 22-01 แม้ว่าข้อบังคับนี้จะมุ่งเป้าไปที่หน่วยงานรัฐบาลกลาง แต่ CISA ยังเรียกร้องให้องค์กรภาคเอกชนดำเนินการแพตช์โดยเร็วที่สุดเช่นกัน

ผู้ดูแลระบบควรแพตช์โดยด่วน เนื่องจากช่องโหว่บน Web Help Desk มีประวัติถูกใช้โจมตีจริงหลายครั้ง รวมถึงช่องโหว่ hardcoded credentials ที่ถูก CISA ระบุว่าถูกโจมตีจริงเมื่อเดือนตุลาคม 2024 และช่องโหว่ RCE ที่ SolarWinds ต้องปล่อยแพตช์แก้ไขถึง 3 ครั้งในเดือนกันยายน 2025 ทั้งนี้ Web Help Desk เป็นซอฟต์แวร์จัดการ help desk ที่ได้รับความนิยมอย่างแพร่หลายในหน่วยงานรัฐบาล องค์กรขนาดใหญ่ สถานพยาบาล และสถาบันการศึกษา โดย SolarWinds ระบุว่ามีลูกค้ากว่า 300,000 รายทั่วโลกที่ใช้ผลิตภัณฑ์ IT management ของบริษัท

ที่มา: https://www.bleepingcomputer.com/news/security/cisa-flags-critical-solarwinds-rce-flaw-as-actively-exploited/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …