TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ผู้เชี่ยวชาญจาก Huntress Security และ Microsoft ได้ติดตามการโจมตีช่องโหว่ SolarWinds Web Help Desk โดยคนร้ายอาศัยเครื่องมือปกติสำหรับปฏิบัติการ อย่างเครื่องมือจาก Zoho ManageEngine, Cloudflare tunnel และ Velociraptor
ขั้นตอนการปฏิบัติการ
จากการติดตามของ Huntress Security พวกเขาเชื่อว่าคนร้ายได้เริ่มกระทำการราว 16 มกราคมของปีนี้ ผ่านช่องโหว่ของ SolarWinds หมายเลขอ้างอิง CVE-2025-40551 และ CVE-2025-26399 ซึ่งช่วยในการทำ Remote Code Execution บนโฮสต์ได้โดยไม่ต้องผ่านการพิสูจน์ตัวตน ความน่าสนใจของปฏิบัติการคือคนร้ายได้อาศัยเครื่องมือที่ดูเหมือนปกติทั่วไป ดังนี้
- มีการเรียก MSI เพื่อติดตั้ง Zoho ManageEngine Assist agent(RMM) จากแพลตฟอร์มฝากไฟล์ Catbox สืบค้น Domain Joined ใน AD หาเหยื่อต่อ และมีการลงทะเบียนโฮสต์ที่ถูกแทรกแซงไปยังบัญชี Zoho Assist ด้วยอีเมล Proton
- ใช้เครื่องมือด้าน Digital Forensic ที่ชื่อ Velociraptor ด้วยการติดตั้งไฟล์ MSI จาก Supabase bucket เพื่อทำ C2C กับคนร้ายผ่าน Cloudflare Worker ข้อสังเกตคือมีการใช้ Velociraptor เวอร์ชันเก่า 0.73.4 ที่มีช่องโหว่ยกระดับสิทธิ์ได้ ซึ่งมีรายงานจากหลาย Vendor ว่าพบเห็นเวอร์ชันนี้ในแคมเปญการโจมตีก่อนหน้าแล้ว
- มีการติดตั้ง Cloudflare Tunnel client ที่แจกใน Cloudflare GitHub เพื่อใช้เป็นช่องทางเข้าสำรองให้ระบบควบคุม
- มีการปิด Windows Defender และ Firewall ผ่านการแก้ไข Registry เพื่อให้สามารถเรียก Payload เพิ่มเติมได้โดยไม่ถูกบล็อก ซึ่งผู้เชี่ยวชาญพบการดาวน์โหลด VS Code Binary
- ในบางกรณีนี้เพื่อให้กระทำการได้ยาวนานจะมีการเปิด SSH backdoor ผ่าน QEMU ซึ่งถูกเรียกผ่าน Task แบบเนียนๆที่ชื่อว่า TPMProfiler
ทีมงาน Huntress ได้แชร์ IOC และ Sigma Rule เพื่อใช้ตรวจสอบการโจมตีได้ ติดตามเพิ่มเติมได้ที่ https://www.huntress.com/blog/active-exploitation-solarwinds-web-help-desk-cve-2025-26399
การแก้ไข
เพียงแค่ผู้ใช้งานอัปเกรตผลิตภัณฑ์ SolarWinds Web Help Desk เป็นเวอร์ชัน 2026.1 หรือใหม่กว่าก็ปลอดภัยจากช่องโหว่ ถ้าจะให้ดีก็ตัดการเข้าถึงผ่านอินเทอร์เน็ตสำหรับหน้า WHD admin และเปลี่ยนรหัสผ่านเดิมเสียด้วย
