SonicWall เตือนช่องโหว่ Critical RCE บนอุปกรณ์ SMA 100 VPN

SonicWall แจ้งเตือนด่วนให้ผู้ดูแลระบบอัปเดต firmware อุปกรณ์ SMA 100 series หลังพบช่องโหว่ระดับ Critical ที่อนุญาตให้ผู้โจมตีอัปโหลดไฟล์ตามต้องการและควบคุมระบบจากระยะไกล

Credit: alexmillos/ShutterStock

SonicWall ออกประกาศเร่งด่วนให้ลูกค้าที่ใช้งานอุปกรณ์ SMA 100 series รีบติดตั้งแพตช์เพื่อแก้ไขช่องโหว่ authenticated arbitrary file upload ระดับ Critical ที่สามารถทำให้ผู้โจมตีเข้าควบคุมระบบแบบ remote code execution ได้ ช่องโหว่นี้ติดตามด้วยหมายเลข CVE-2025-40599 เกิดจากจุดอ่อนในการอัปโหลดไฟล์ที่ไม่มีการจำกัดในหน้า web management interface ของอุปกรณ์ ทำให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบสามารถอัปโหลดไฟล์อะไรก็ได้เข้าสู่ระบบ

ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ SMA 210, SMA 410 และ SMA 500v เท่านั้น ไม่รวมผลิตภัณฑ์ SMA1000 series หรือ SSL-VPN ที่รันบน SonicWall firewall แม้ว่าการโจมตีจะต้องใช้สิทธิ์ admin และยังไม่พบหลักฐานการถูกใช้โจมตีในขณะนี้ แต่ SonicWall ยังคงเตือนให้รีบดำเนินการ เนื่องจากอุปกรณ์ SMA 100 กำลังเป็นเป้าหมายของการโจมตีที่ใช้ข้อมูล credential ที่ถูกขโมยมา

นักวิจัยจาก Google Threat Intelligence Group (GTIG) เปิดเผยเมื่อสัปดาห์ที่แล้วว่ามีกลุ่มผู้โจมตีที่ไม่ทราบชื่อ ติดตามในชื่อ UNC6148 กำลังติดตั้ง rootkit malware ชื่อ OVERSTEP บนอุปกรณ์ SonicWall SMA 100 Series ที่ได้รับการแพตช์อย่างสมบูรณ์แล้ว GTIG เชื่อว่า UNC6148 ทำการขโมยข้อมูลและขู่เรียกค่าไถ่ และอาจติดตั้ง Abyss ransomware (หรือที่รู้จักในชื่อ VSOCIETY) จากการสืบสวนพบว่าผู้โจมตีได้ขโมยข้อมูลรับรองตัวตนของอุปกรณ์เป้าหมายตั้งแต่เดือนมกราคมโดยใช้ช่องโหว่หลายตัว ได้แก่ CVE-2021-20038, CVE-2024-38475, CVE-2021-20035, CVE-2021-20039 และ CVE-2025-32819

SonicWall แนะนำอย่างหนักแน่นให้ผู้ใช้งานอุปกรณ์ SMA 100 ทั้งแบบ virtual และ physical ตรวจสอบ indicators of compromise (IoCs) จากรายงานของ GTIG โดยตรวจหาการเข้าถึงที่ไม่ได้รับอนุญาต ตรวจสอบ log ของอุปกรณ์และประวัติการเชื่อมต่อเพื่อหากิจกรรมที่น่าสงสัย หากพบหลักฐานการถูกบุกรุก ให้ติดต่อ SonicWall Support ทันที นอกจากนี้ควรจำกัดการเข้าถึง remote management บน external interface, รีเซ็ตรหัสผ่านทั้งหมด, ตั้งค่า OTP binding ใหม่สำหรับทั้ง user และ admin, บังคับใช้ multi-factor authentication (MFA) และเปิดใช้งาน Web Application Firewall (WAF)

ที่มา: https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-critical-rce-flaw-in-sma-100-VPN-appliances/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

แคสเปอร์สกี้และสกมช. จับมือต่ออายุ MoU เสริมแกร่งความมั่นคงทางไซเบอร์ของไทย [PR]

แคสเปอร์สกี้ (Kaspersky) และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ต่ออายุและขยายบันทึกความเข้าใจ (Memorandum of Understanding) เพื่อกระชับความร่วมมือเชิงกลยุทธ์ในการเสริมสร้างความเข้มแข็งด้านความมั่นคงทางไซเบอร์ของประเทศไทย ข้อตกลงนี้สร้างขึ้นบนพื้นฐานของภัยคุกคามที่ซับซ้อนและมีเป้าหมายการโจมตีมากขึ้นในประเทศไทย และมุ่งสร้างกรอบการทำงานที่ครอบคลุมสำหรับการแบ่งปันข้อมูลภัยคุกคาม การสร้างขีดความสามารถด้านเทคโนโลยีในประเทศ และการสนับสนุนการฝึกอบรมด้านความมั่นคงทางไซเบอร์ภายใต้แนวคิด Kaspersky Global …

AskMe ตอกย้ำมาตรฐานการให้บริการระดับสากล ด้วย ISO/IEC 27001 และ ISO/IEC 20000-1 พร้อมยกระดับการให้บริการด้วย Enterprise Service Platform เพื่อธุรกิจยุคดิจิทัล [PR]

ในยุคที่องค์กรกำลังเร่งขับเคลื่อน Digital Transformation ความต้องการด้านเทคโนโลยีไม่ได้จำกัดอยู่เพียงแค่ “ระบบที่ใช้งานได้” อีกต่อไป แต่ยังรวมถึงความมั่นคงปลอดภัยของข้อมูล ความน่าเชื่อถือของบริการ และความสามารถในการรองรับการดำเนินงานทางธุรกิจได้อย่างต่อเนื่อง