ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) แบบ zero-day ใน Active! Mail กำลังถูกใช้ในการโจมตีองค์กรขนาดใหญ่ในประเทศญี่ปุ่น
Active! Mail เป็น web-based อีเมลที่พัฒนาขึ้นโดย TransWARE และภายหลังถูกซื้อกิจการโดย Qualitia ซึ่งเป็นบริษัทญี่ปุ่นทั้งคู่
แม้จะไม่ได้รับความนิยมในระดับโลกเท่ากับ Gmail หรือ Outlook แต่ Active! มักถูกใช้งานเป็นส่วนหนึ่งของระบบ groupware ในองค์กรที่ใช้ภาษาญี่ปุ่น เช่น องค์กรขนาดใหญ่, มหาวิทยาลัย, หน่วยงานรัฐบาล และธนาคาร
ตามข้อมูลจากผู้พัฒนา Active! มีการใช้งานในองค์กรมากกว่า 2,250 แห่ง และมีบัญชีผู้ใช้งานมากกว่า 11,000,000 บัญชี ทำให้ถือเป็นหนึ่งในระบบ webmail ทางธุรกิจที่มีความสำคัญในประเทศญี่ปุ่น
เมื่อปลายสัปดาห์ที่ผ่านมา Qualitia ได้แจ้งเตือนเกี่ยวกับช่องโหว่ stack-based buffer overflow ซึ่งมีหมายเลข CVE-2025-42599 (คะแนน CVSS v3: 9.8, ระดับ “Critical”) โดยช่องโหว่นี้ส่งผลกระทบต่อทุกเวอร์ชันของ Active! รวมถึงเวอร์ชัน ‘BuildInfo: 6.60.05008561’ บนระบบปฏิบัติการที่รองรับทั้งหมด
ตามข้อมูลในประกาศระบุว่า “หากมีการส่ง request ที่เป็นอันตรายจากภายนอก อาจนำไปสู่การรันโค้ดได้ตามที่ต้องการ หรือทำให้เกิดสถานะปฏิเสธการให้บริการ (DoS)”
แม้ว่า Qualitia จะระบุว่ากำลังอยู่ระหว่างการสืบสวนว่าช่องโหว่นี้ถูกนำไปใช้โจมตีแล้วหรือไม่ แต่ CERT ของญี่ปุ่นได้ยืนยันแล้วว่าช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง พร้อมทั้งแนะนำให้ผู้ใช้งานทุกคนรีบอัปเดตเป็นเวอร์ชัน Active! Mail 6 BuildInfo: 6.60.06008562 โดยเร็วที่สุด
ผู้ให้บริการเว็บโฮสติ้ง และบริการไอที (SMB) ในญี่ปุ่น อย่าง Kagoya รายงานว่า มีการโจมตีจากภายนอกหลายครั้งในช่วงสุดสัปดาห์ที่ผ่านมา ส่งผลให้ต้องระงับการให้บริการชั่วคราว
ตามประกาศของ Kagoya ที่เผยแพร่ก่อนหน้านี้ระบุว่า “เราสงสัยว่าปัญหานี้เกี่ยวข้องกับช่องโหว่ที่ถูกเปิดเผยโดย QUALITIA”
ผู้ให้บริการเว็บโฮสติ้ง และบริการไอทีรายอื่นอย่าง WADAX รายงานว่าพบปัญหาการหยุดให้บริการในลักษณะเดียวกันนี้ เนื่องจากเชื่อว่ามีการพยายามโจมตีระบบ
โดย WADAX ระบุในประกาศว่า “ในขณะนี้ ยังไม่สามารถรับประกันความปลอดภัยในการใช้งานบริการของลูกค้าได้ ดังนั้นเพื่อความปลอดภัยสูงสุดของลูกค้า เราจึงได้ระงับการให้บริการ Active! Mail ชั่วคราวเพื่อเป็นมาตรการป้องกันไว้ก่อน”
Yutaka Sejiyama นักวิจัยด้านความปลอดภัยจาก Macnica เปิดเผยกับ BleepingComputer ว่า มีเซิร์ฟเวอร์ Active! อย่างน้อย 227 เครื่องที่เชื่อมต่ออินเทอร์เน็ต และอาจตกเป็นเป้าการโจมตี โดยในจำนวนนี้มี 63 เครื่องที่ใช้งานในมหาวิทยาลัย
CERT ของญี่ปุ่นได้แนะนำแนวทางการลดความเสี่ยงสำหรับผู้ที่ไม่สามารถติดตั้งอัปเดตด้านความปลอดภัยได้ทันที เช่น การตั้งค่า Web Application Firewall (WAF) ให้สามารถตรวจสอบการโจมตีใน HTTP request และบล็อก multipart/form-data headers หากขนาดของข้อมูลเกินเกณฑ์ที่กำหนด
ที่มา : bleepingcomputer
You must be logged in to post a comment.