ผู้เชี่ยวชาญเตือนช่องโหว่บน SolarWinds Web Help Desk กำลังถูกโจมตี

ผู้เชี่ยวชาญจาก Huntress Security และ Microsoft ได้ติดตามการโจมตีช่องโหว่ SolarWinds Web Help Desk โดยคนร้ายอาศัยเครื่องมือปกติสำหรับปฏิบัติการ อย่างเครื่องมือจาก Zoho ManageEngine, Cloudflare tunnel และ Velociraptor

จากการติดตามของ Huntress Security พวกเขาเชื่อว่าคนร้ายได้เริ่มกระทำการราว 16 มกราคมของปีนี้ ผ่านช่องโหว่ของ SolarWinds หมายเลขอ้างอิง CVE-2025-40551 และ CVE-2025-26399 ซึ่งช่วยในการทำ Remote Code Execution บนโฮสต์ได้โดยไม่ต้องผ่านการพิสูจน์ตัวตน ความน่าสนใจของปฏิบัติการคือคนร้ายได้อาศัยเครื่องมือที่ดูเหมือนปกติทั่วไป ดังนี้

  • มีการเรียก MSI เพื่อติดตั้ง Zoho ManageEngine Assist agent(RMM) จากแพลตฟอร์มฝากไฟล์ Catbox สืบค้น Domain Joined ใน AD หาเหยื่อต่อ และมีการลงทะเบียนโฮสต์ที่ถูกแทรกแซงไปยังบัญชี Zoho Assist ด้วยอีเมล Proton
  • ใช้เครื่องมือด้าน Digital Forensic ที่ชื่อ Velociraptor ด้วยการติดตั้งไฟล์ MSI จาก Supabase bucket เพื่อทำ C2C กับคนร้ายผ่าน Cloudflare Worker ข้อสังเกตคือมีการใช้ Velociraptor เวอร์ชันเก่า 0.73.4 ที่มีช่องโหว่ยกระดับสิทธิ์ได้ ซึ่งมีรายงานจากหลาย Vendor ว่าพบเห็นเวอร์ชันนี้ในแคมเปญการโจมตีก่อนหน้าแล้ว
  • มีการติดตั้ง Cloudflare Tunnel client ที่แจกใน Cloudflare GitHub เพื่อใช้เป็นช่องทางเข้าสำรองให้ระบบควบคุม
  • มีการปิด Windows Defender และ Firewall ผ่านการแก้ไข Registry เพื่อให้สามารถเรียก Payload เพิ่มเติมได้โดยไม่ถูกบล็อก ซึ่งผู้เชี่ยวชาญพบการดาวน์โหลด VS Code Binary
  • ในบางกรณีนี้เพื่อให้กระทำการได้ยาวนานจะมีการเปิด SSH backdoor ผ่าน QEMU ซึ่งถูกเรียกผ่าน Task แบบเนียนๆที่ชื่อว่า TPMProfiler

ทีมงาน Huntress ได้แชร์ IOC และ Sigma Rule เพื่อใช้ตรวจสอบการโจมตีได้ ติดตามเพิ่มเติมได้ที่ https://www.huntress.com/blog/active-exploitation-solarwinds-web-help-desk-cve-2025-26399

เพียงแค่ผู้ใช้งานอัปเกรตผลิตภัณฑ์ SolarWinds Web Help Desk เป็นเวอร์ชัน 2026.1 หรือใหม่กว่าก็ปลอดภัยจากช่องโหว่ ถ้าจะให้ดีก็ตัดการเข้าถึงผ่านอินเทอร์เน็ตสำหรับหน้า WHD admin และเปลี่ยนรหัสผ่านเดิมเสียด้วย

ที่มา : https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้