TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
SonicWall แจ้งเตือนด่วนให้ผู้ดูแลระบบอัปเดต firmware อุปกรณ์ SMA 100 series หลังพบช่องโหว่ระดับ Critical ที่อนุญาตให้ผู้โจมตีอัปโหลดไฟล์ตามต้องการและควบคุมระบบจากระยะไกล
SonicWall ออกประกาศเร่งด่วนให้ลูกค้าที่ใช้งานอุปกรณ์ SMA 100 series รีบติดตั้งแพตช์เพื่อแก้ไขช่องโหว่ authenticated arbitrary file upload ระดับ Critical ที่สามารถทำให้ผู้โจมตีเข้าควบคุมระบบแบบ remote code execution ได้ ช่องโหว่นี้ติดตามด้วยหมายเลข CVE-2025-40599 เกิดจากจุดอ่อนในการอัปโหลดไฟล์ที่ไม่มีการจำกัดในหน้า web management interface ของอุปกรณ์ ทำให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบสามารถอัปโหลดไฟล์อะไรก็ได้เข้าสู่ระบบ
ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ SMA 210, SMA 410 และ SMA 500v เท่านั้น ไม่รวมผลิตภัณฑ์ SMA1000 series หรือ SSL-VPN ที่รันบน SonicWall firewall แม้ว่าการโจมตีจะต้องใช้สิทธิ์ admin และยังไม่พบหลักฐานการถูกใช้โจมตีในขณะนี้ แต่ SonicWall ยังคงเตือนให้รีบดำเนินการ เนื่องจากอุปกรณ์ SMA 100 กำลังเป็นเป้าหมายของการโจมตีที่ใช้ข้อมูล credential ที่ถูกขโมยมา
นักวิจัยจาก Google Threat Intelligence Group (GTIG) เปิดเผยเมื่อสัปดาห์ที่แล้วว่ามีกลุ่มผู้โจมตีที่ไม่ทราบชื่อ ติดตามในชื่อ UNC6148 กำลังติดตั้ง rootkit malware ชื่อ OVERSTEP บนอุปกรณ์ SonicWall SMA 100 Series ที่ได้รับการแพตช์อย่างสมบูรณ์แล้ว GTIG เชื่อว่า UNC6148 ทำการขโมยข้อมูลและขู่เรียกค่าไถ่ และอาจติดตั้ง Abyss ransomware (หรือที่รู้จักในชื่อ VSOCIETY) จากการสืบสวนพบว่าผู้โจมตีได้ขโมยข้อมูลรับรองตัวตนของอุปกรณ์เป้าหมายตั้งแต่เดือนมกราคมโดยใช้ช่องโหว่หลายตัว ได้แก่ CVE-2021-20038, CVE-2024-38475, CVE-2021-20035, CVE-2021-20039 และ CVE-2025-32819
SonicWall แนะนำอย่างหนักแน่นให้ผู้ใช้งานอุปกรณ์ SMA 100 ทั้งแบบ virtual และ physical ตรวจสอบ indicators of compromise (IoCs) จากรายงานของ GTIG โดยตรวจหาการเข้าถึงที่ไม่ได้รับอนุญาต ตรวจสอบ log ของอุปกรณ์และประวัติการเชื่อมต่อเพื่อหากิจกรรมที่น่าสงสัย หากพบหลักฐานการถูกบุกรุก ให้ติดต่อ SonicWall Support ทันที นอกจากนี้ควรจำกัดการเข้าถึง remote management บน external interface, รีเซ็ตรหัสผ่านทั้งหมด, ตั้งค่า OTP binding ใหม่สำหรับทั้ง user และ admin, บังคับใช้ multi-factor authentication (MFA) และเปิดใช้งาน Web Application Firewall (WAF)
