SonicWall ออกคำเตือนให้ลูกค้ารีบอัปเดตแพตช์โดยทันที เพื่อแก้ไขช่องโหว่ 3 รายการที่พบในอุปกรณ์ Secure Mobile Access (SMA) โดยหนึ่งในช่องโหว่ดังกล่าวมีรายงานว่ากำลังถูกใช้ในการโจมตีแล้ว ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-32819, CVE-2025-32820 และ CVE-2025-32821 ซึ่งถูกค้นพบโดย Ryan Emmons นักวิจัยจากบริษัท Rapid7 ซึ่งระบุว่า ผู้ไม่หวังดีสามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อเข้าควบคุมอุปกรณ์จากระยะไกลด้วยสิทธิ์ระดับ root ได้
ช่องโหว่ดังกล่าวส่งผลกระทบต่ออุปกรณ์รุ่น SMA 200, SMA 210, SMA 400, SMA 410 และ SMA 500v ซึ่งได้รับการแก้ไขแล้วในเฟิร์มแวร์เวอร์ชัน 10.2.1.15-81sv ขึ้นไป
SonicWall แนะนำให้ผู้ใช้ผลิตภัณฑ์ SMA 100 รุ่น (SMA 200, 210, 400, 410 และ 500v) อัปเกรดเป็นเวอร์ชันที่ได้รับการแก้ไขช่องโหว่ตามประกาศเมื่อวันพุธที่ผ่านมา
ช่องโหว่ CVE-2025-32819 ช่วยให้ผู้โจมตีสามารถลบ primary SQLite database และรีเซ็ตรหัสผ่าน default ของบัญชีผู้ดูแลระบบของ SMA ทำให้สามารถล็อกอินในฐานะผู้ดูแลระบบผ่านเว็บอินเทอร์เฟซได้ หลังจากนั้น ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ CVE-2025-32820 (path traversal) เพื่อทำให้โฟลเดอร์ /bin สามารถเขียนไฟล์ได้ และใช้ช่องโหว่ CVE-2025-32821 เพื่อสั่งรันโค้ดจากระยะไกลด้วยสิทธิ์ระดับ root ได้
Rapid7 ระบุว่า ผู้โจมตีที่เข้าถึงบัญชีผู้ใช้ SMA SSLVPN สามารถใช้ประโยชน์จากช่องโหว่หลายรายการเพื่อแก้ไขไดเรกทอรีสำคัญของระบบ ทำให้สามารถยกระดับสิทธิ์ผู้ใช้เป็นผู้ดูแลระบบ SMA และเขียนไฟล์ executable ลงใน system ไดเรกทอรีได้
การโจมตีที่เชื่อมโยงช่องโหว่หลายรายการนี้จะส่งผลให้สามารถรันโค้ดที่เป็นอันตรายจากระยะไกลด้วยสิทธิ์ระดับ root ได้ นอกจากนี้ Rapid7 ยังเชื่อว่าช่องโหว่นี้อาจกำลังถูกใช้ในการโจมตีจริง
SonicWall แนะนำให้ผู้ดูแลระบบตรวจสอบ Logs การใช้งาน SMA เพื่อตรวจสอบการเข้าสู่ระบบที่ไม่ได้รับอนุญาต และเพิ่มความปลอดภัยให้ SMA100 โดยเปิดใช้งาน Web Application Firewall (WAF) และ Multi-Factor Authentication (MFA)
เมื่อสัปดาห์ที่แล้ว SonicWall แจ้งเตือนลูกค้าถึงช่องโหว่อื่น ๆ อีก 2 รายการ (CVE-2023-44221 และ CVE-2024-38475) ในอุปกรณ์ SMA ซึ่งขณะนี้กำลังถูกใช้ในการโจมตีเพื่อ inject commands และรันโค้ดจากระยะไกล
บริษัทได้ระบุช่องโหว่อีกหนึ่งรายการที่มีระดับความรุนแรงสูง (CVE-2021-20035) ซึ่งกำลังถูกใช้ในการโจมตีเพื่อรันโค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลกระทบต่ออุปกรณ์ SMA100 VPN เมื่อเดือนเมษายน โดยหนึ่งวันหลังจากนั้น Arctic Wolf บริษัทด้านความปลอดภัยไซเบอร์ได้เปิดเผยว่า ช่องโหว่นี้กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องมาตั้งแต่เดือนมกราคม 2025
ในเดือนมกราคม SonicWall เตือนผู้ดูแลระบบให้รีบอัปเดตแพตช์ช่องโหว่ระดับ Critical ใน SMA1000 secure access gateways ซึ่งกำลังถูกใช้ในการโจมตีแบบ zero-day และในเดือนถัดมาบริษัทได้เตือนถึงช่องโหว่ที่ถูกใช้ในการ bypass การยืนยันตัวตนที่ส่งผลกระทบต่อไฟร์วอลล์ Gen 6 และ Gen 7 ซึ่งทำให้แฮ็กเกอร์สามารถแฮ็ก VPN sessions ได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.