เมื่อวันพุธที่ผ่านมา (16 เมษายน 2025) หน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ (CISA) ได้ออกคำเตือนเกี่ยวกับความเสี่ยงจากการถูกเจาะระบบที่เพิ่มสูงขึ้น อันเป็นผลจากเหตุการณ์การถูกโจมตีเซิร์ฟเวอร์ Oracle Cloud ที่ Oracle ระบุว่าเป็นระบบเก่าในช่วงต้นปีที่ผ่านมา พร้อมเน้นย้ำว่าเหตุการณ์ดังกล่าวก่อให้เกิดภัยคุกคามที่สำคัญต่อเครือข่ายขององค์กรต่าง ๆ
CISA ระบุว่า “ลักษณะของกิจกรรมที่ถูกรายงานในครั้งนี้ก่อให้เกิดความเสี่ยงต่อองค์กร และบุคคล โดยเฉพาะอย่างยิ่งในกรณีที่ข้อมูล credentials ถูกเปิดเผย ซึ่งอาจถูกนำไปใช้ซ้ำในระบบอื่นที่ไม่เกี่ยวข้องกัน หรือถูกฝังอยู่ภายในระบบ (เช่น ถูกเขียนฝังไว้ในสคริปต์, แอปพลิเคชัน, เทมเพลตโครงสร้างพื้นฐาน หรือเครื่องมืออัตโนมัติ) แม้ว่าจะยังไม่สามารถยืนยันขอบเขต และผลกระทบของเหตุการณ์นี้ได้อย่างชัดเจนก็ตาม"
เมื่อข้อมูล credentials ถูกฝังอยู่ในระบบ จะเป็นเรื่องยากที่จะตรวจสอบพบ และหากถูกเปิดเผย อาจนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาตในระยะยาว การรั่วไหลของข้อมูล credentials เช่น ชื่อผู้ใช้งาน, อีเมล, รหัสผ่าน, authentication tokens และ encryption keys อาจก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อสภาพแวดล้อมขององค์กร”
หน่วยงานฯ ยังได้เผยแพร่แนวทางในการลดความเสี่ยงที่เกิดจากการรั่วไหลของข้อมูล credentials โดยแนะนำให้ผู้ดูแลระบบเครือข่ายดำเนินการดังนี้:
- รีเซ็ตรหัสผ่านของผู้ใช้งานที่ได้รับผลกระทบ
- เปลี่ยนข้อมูล credentials ที่ฝังอยู่ในระบบให้เป็นวิธีการยืนยันตัวตนที่ปลอดภัย
- บังคับใช้ระบบยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่ป้องกันฟิชชิงได้ ในทุกกรณีที่เป็นไปได้
- เฝ้าระวัง Logs การยืนยันตัวตน (authentication logs) เพื่อระวังพฤติกรรมที่น่าสงสัย
คำเตือนนี้มีขึ้นภายหลังจากที่ Oracle ได้ยืนยันผ่านทางอีเมลแจ้งลูกค้าว่ามีผู้ไม่หวังดีนำข้อมูล credentials ที่ถูกขโมยจาก “เซิร์ฟเวอร์ที่เป็นระบบเก่าสองเครื่อง” ออกมาเปิดเผย
อย่างไรก็ตาม Oracle ระบุว่า เซิร์ฟเวอร์ Oracle Cloud ของบริษัทไม่ได้ถูกเจาะระบบ และเหตุการณ์นี้ไม่ส่งผลกระทบต่อบริการคลาวด์ หรือข้อมูลของลูกค้าแต่อย่างใด
นอกจากนี้ Oracle ยังยอมรับเป็นการภายในระหว่างการสื่อสารกับลูกค้าบางรายว่า ผู้โจมตีได้ขโมยข้อมูล credentials เก่าของลูกค้าภายหลังจากการเจาะระบบใน "legacy environment" ซึ่งเลิกใช้งานมาตั้งแต่ปี 2017 อย่างไรก็ดี แฮ็กเกอร์ผู้อยู่เบื้องหลังเหตุการณ์ได้นำข้อมูลใหม่จากปี 2025 ไปเผยแพร่บนเว็บไซต์ BreachForums และยังได้ส่งข้อมูลจากช่วงปลายปี 2024 ให้กับ BleepingComputer ด้วย
ทาง BleepingComputer ได้ตรวจสอบ และยืนยันข้อมูลจากลูกค้า Oracle หลายรายว่า ตัวอย่างข้อมูลที่รั่วไหล (รวมถึงชื่อที่แสดงใน LDAP, อีเมล, ชื่อจริง และข้อมูลระบุตัวตนอื่น ๆ) ที่ได้รับจากผู้โจมตีนั้นเป็นข้อมูลจริง
ในช่วงปลายเดือนมีนาคม บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ CybelAngel ยังเปิดเผยว่า Oracle แจ้งลูกค้าว่า มีผู้โจมตีนำเว็บเชลล์ และมัลแวร์อื่น ๆ มาติดตั้งบนเซิร์ฟเวอร์รุ่นแรก (ที่รู้จักกันในชื่อ Oracle Cloud Classic) ตั้งแต่เดือนมกราคม 2025
ก่อนที่เหตุการณ์การรั่วไหลจะถูกตรวจพบในช่วงปลายเดือนกุมภาพันธ์ ผู้โจมตีได้ขโมยข้อมูลจากฐานข้อมูล Oracle Identity Manager (IDM) ซึ่งรวมถึงรหัสผ่านที่ถูกแฮชแล้ว, ชื่อผู้ใช้งาน และอีเมลของผู้ใช้
เมื่อเดือนที่ผ่านมา BleepingComputer ได้รายงานว่า Oracle ได้แจ้งลูกค้าเป็นการส่วนตัวเกี่ยวกับเหตุการณ์การเจาะระบบอีกครั้งในเดือนมกราคม ซึ่งส่งผลกระทบต่อข้อมูลผู้ป่วยในองค์กรด้านการดูแลสุขภาพหลายแห่งในสหรัฐฯ โดยเหตุการณ์ดังกล่าวเกิดขึ้นกับ Oracle Health ซึ่งเป็นบริษัทซอฟต์แวร์แบบ SaaS ที่เคยใช้ชื่อว่า Cerner
ที่มา : bleepingcomputer
You must be logged in to post a comment.