SonicWall เปิดเผยว่าช่องโหว่ด้านความปลอดภัยที่ได้รับการแก้ไขไปแล้วสองรายการ ที่ส่งผลกระทบต่ออุปกรณ์ SMA100 Secure Mobile Access (SMA) ของบริษัท กำลังถูกนำไปใช้ในการโจมตีจริงแล้วในปัจจุบัน
โดยช่องโหว่ดังกล่าวมีรายละเอียดดังนี้ :
- CVE-2023-44221 (คะแนน CVSS: 7.2) – ช่องโหว่ Improper neutralization of special elements ของ SMA100 SSL-VPN ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนจากภายนอก และมีสิทธิ์ในระดับผู้ดูแลระบบสามารถ inject commands ตามที่ต้องการได้ในฐานะ 'nobody' user ซึ่งอาจนำไปสู่การโจมตีช่องโหว่แบบ OS Command Injection ได้
- CVE-2024-38475 (คะแนน CVSS: 9.8) - ช่องโหว่ Improper escaping of output ใน mod_rewrite ของ Apache HTTP Server เวอร์ชั่น 2.4.59 และก่อนหน้านั้น สามารถทำให้ผู้โจมตีสามารถ map URLs ไปยังตำแหน่งใน file system ที่เซิร์ฟเวอร์อนุญาตให้เข้าถึงได้
ช่องโหว่ทั้งสองรายการส่งผลกระทบต่ออุปกรณ์ในตระกูล SMA 100 Series รวมถึงรุ่น SMA 200, 210, 400, 410 และ 500v โดยได้รับการแก้ไขแล้วในเวอร์ชันดังต่อไปนี้ :
- CVE-2023-44221 - เวอร์ชัน 10.2.1.10-62sv และเวอร์ชันที่สูงกว่า (แก้ไขเมื่อวันที่ 4 ธันวาคม 2023)
- CVE-2024-38475 - เวอร์ชัน 10.2.1.14-75sv และเวอร์ชันที่สูงกว่า (แก้ไขเมื่อวันที่ 4 ธันวาคม 2024)
เมื่อวันที่ 29 เมษายน 2025 ทาง SonicWall ระบุว่า ช่องโหว่ดังกล่าวอาจกำลังถูกนำไปใช้ในการโจมตีจริง และแนะนำให้ลูกค้าตรวจสอบอุปกรณ์ SMA ของตน เพื่อให้แน่ใจว่าไม่มีการเข้าสู่ระบบโดยไม่ได้รับอนุญาต
SonicWall ระบุว่า "จากการวิเคราะห์เพิ่มเติม SonicWall และพันธมิตรด้านความปลอดภัยที่เชื่อถือได้ พบเทคนิคการโจมตีเพิ่มเติมที่ใช้ช่องโหว่ CVE-2024-38475 ซึ่งการเข้าถึงไฟล์บางรายการโดยไม่ได้รับอนุญาตอาจทำให้เกิดการขโมยเซสชันได้ (session hijacking)"
ปัจจุบันยังไม่มีรายละเอียดเกี่ยวกับวิธีการที่ช่องโหว่เหล่านี้ถูกนำไปใช้ในการโจมตี หรือองค์กรใดที่อาจเป็นเป้าหมาย และขอบเขตของการโจมตีมีมากน้อยเพียงใด
การเปิดเผยครั้งนี้เกิดขึ้นไม่กี่สัปดาห์หลังจากที่ CISA ได้เพิ่มช่องโหว่อีกหนึ่งรายการที่ส่งผลกระทบต่อเกตเวย์ SonicWall SMA 100 Series (CVE-2021-20035, คะแนน CVSS: 7.2) เข้าไปในรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตีจริง (Known Exploited Vulnerabilities - KEV)
ที่มา : thehackernews
You must be logged in to post a comment.