ผู้ไม่หวังดีกำลังใช้ช่องโหว่ Authentication Bypass ที่ส่งผลกระทบต่อไฟร์วอลล์ของ SonicWall หลังจากมีการปล่อย proof-of-concept (PoC) ออกมาในเวลาไม่นาน
ช่องโหว่ด้านความปลอดภัย (CVE-2024-53704) ความรุนแรงระดับ Critical ถูกพบในกลไกการยืนยันตัวตนของ SSLVPN ซึ่งส่งผลกระทบต่อ SonicOS เวอร์ชัน 7.1.x (ถึงเวอร์ชัน 7.1.1-7058), 7.1.2-7019 และ 8.0.0-8035 ซึ่งใช้งานโดยไฟร์วอลล์ Gen 6 และ Gen 7 หลายรุ่น รวมถึงอุปกรณ์ในซีรีส์ SOHO
การโจมตีที่ประสบความสำเร็จช่วยให้ผู้ไม่หวังดีจากภายนอก สามารถยึดเซสชัน SSL VPN ที่กำลังใช้งานได้ โดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งจะทำให้สามารถเข้าถึงเครือข่ายของเป้าหมายได้โดยไม่ได้รับอนุญาต
SonicWall ได้ส่งอีเมลแจ้งเตือนให้ลูกค้าดำเนินการอัปเกรดเฟิร์มแวร์ SonicOS ของไฟร์วอลล์โดยทันที เพื่อป้องกันการถูกโจมตีก่อนที่จะแจ้งช่องโหว่ต่อสาธารณะ และปล่อยอัปเดตความปลอดภัยในวันที่ 7 มกราคม 2025
บริษัทยังได้แนะนำมาตรการลดผลกระทบสำหรับผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตซ์ความปลอดภัยให้กับอุปกรณ์ได้ทันที เช่น การจำกัดการเข้าถึงเฉพาะต้นทางที่เชื่อถือได้ และการปิดกั้นการเข้าถึงจากอินเทอร์เน็ตทั้งหมดหากไม่มีความจำเป็น
เมื่อวันพฤหัสบดีที่ผ่านมา (13 กุมภาพันธ์ 2025) บริษัทด้านความปลอดภัยทางไซเบอร์ Arctic Wolf เปิดเผยว่า พวกเขาเริ่มตรวจพบความพยายามในการโจมตีช่องโหว่นี้ไม่นานหลังจากที่ PoC ถูกเผยแพร่ออกสู่สาธารณะ ซึ่งยืนยันถึงความกังวลของ SonicWall เกี่ยวกับความเป็นไปได้ที่ช่องโหว่นี้จะถูกโจมตีมากขึ้น
Arctic Wolf ระบุว่า "PoC exploit ที่ถูกเผยแพร่นั้นช่วยให้ผู้ไม่หวังดีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถ bypass MFA, เปิดเผยข้อมูลส่วนตัว และเข้าถึงเซสชัน VPN ที่กำลังทำงานอยู่ได้"
"เนื่องจากความง่ายในการโจมตี และข้อมูลภัยคุกคามที่มีอยู่ Arctic Wolf จึงแนะนำให้ทำการอัปเกรดเป็นเฟิร์มแวร์เวอร์ชันที่ได้รับการแก้ไข เพื่อจัดการกับช่องโหว่นี้"
PoC exploit ถูกเผยแพร่ในหนึ่งเดือนหลังจากที่มีการปล่อยแพตช์อัปเดต
นักวิจัยด้านความปลอดภัยที่ Bishop Fox ได้เผยแพร่ PoC exploit เมื่อวันที่ 10 กุมภาพันธ์ 2025 ซึ่งเป็นเวลาประมาณหนึ่งเดือนหลังจากที่มีการปล่อยอัปเดตแพตช์
Bishop Fox ระบุเพิ่มเติมว่า จากการสแกนอินเทอร์เน็ตเมื่อวันที่ 7 กุมภาพันธ์ 2025 พบว่าเซิร์ฟเวอร์ SonicWall SSL VPN ที่ยังไม่ได้รับการแพตช์มีจำนวนกว่า 4,500 เครื่อง
SonicWall แจ้งเตือนภายหลังจากที่โค้ด exploit ถูกปล่อยออกมาว่า "Proof-of-Concept (PoC) สำหรับช่องโหว่ Authentication Bypass SSLVPN ของ SonicOS (CVE-2024-53704) ได้ถูกเผยแพร่สู่สาธารณะแล้ว"
"ขากเหตุการณ์นี้ทำให้ความเสี่ยงจากการถูกโจมตีเพิ่มขึ้นอย่างมาก ผุ้ใช้งานควรอัปเดตไฟร์วอลล์ที่ยังไม่ได้รับการแพตช์ทั้งหมด (7.1.x และ 8.0.0) ทันที หากไม่สามารถอัปเดตเฟิร์มแวร์ได้ ควรปิดการใช้งาน SSLVPN"
ในอดีต กลุ่มแรนซัมแวร์อย่างกลุ่ม Akira และ Fog เคยโจมตีไฟร์วอลล์ของ SonicWall ด้วยเช่นกัน Arctic Wolf เคยแจ้งเตือนเมื่อเดือนตุลาคมว่ามีการโจมตีอย่างน้อย 30 ครั้ง โดยการโจมตีเริ่มด้วยการเข้าถึงเครือข่ายจากระยะไกลผ่านบัญชี SonicWall VPN
ที่มา : bleepingcomputer
You must be logged in to post a comment.