Sophos และ SonicWall แจ้งเตือนผู้ใช้งานเกี่ยวกับช่องโหว่ด้านความปลอดภัยระดับ Critical ในอุปกรณ์ Sophos Firewall และ Secure Mobile Access (SMA) 100 Series ที่อาจถูกใช้โจมตีโดยผู้ไม่หวังดีเพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)
ช่องโหว่ทั้ง 2 รายการที่ส่งผลกระทบต่อ Sophos Firewall มีรายละเอียดดังต่อไปนี้ :
- CVE-2025-6704 (คะแนน CVSS: 9.8) - ช่องโหว่ Arbitrary File Writing ในฟีเจอร์ Secure PDF eXchange (SPX) ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน หากมีการเปิดใช้งานการตั้งค่า SPX แบบเฉพาะ ร่วมกับ Firewall ที่ทำงานในโหมด High Availability (HA)
- CVE-2025-7624 (คะแนน CVSS: 9.8) - ช่องโหว่ SQL injection ใน SMTP proxy แบบ legacy (transparent) ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ หากมีการเปิดใช้งาน Policy Quarantining สำหรับอีเมล และระบบปฏิบัติการ SFOS ได้รับการอัปเกรดมาจากเวอร์ชันที่เก่ากว่า 21.0 GA
Sophos ระบุว่า ช่องโหว่ CVE-2025-6704 ส่งผลกระทบต่ออุปกรณ์ประมาณ 0.05% ในขณะที่ช่องโหว่ CVE-2025-7624 ส่งผลกระทบต่ออุปกรณ์มากถึง 0.73% ของอุปกรณ์ทั้งหมด โดยช่องโหว่ทั้ง 2 รายการนี้ได้รับการแก้ไขแล้ว พร้อมกับช่องโหว่ Command Injection ที่มีระดับความรุนแรงสูงใน WebAdmin component (CVE-2025-7382, คะแนน CVSS: 8.8) ที่อาจนำไปสู่การเรียกใช้โค้ดได้โดยไม่ต้องผ่านการยืนยันตัวตนบนอุปกรณ์ High Availability (HA) แบบ auxiliary หากผู้ดูแลระบบเปิดใช้งานการยืนยันตัวตนแบบ OTP
นอกจากนี้ Sophos ยังได้แก้ไขช่องโหว่อีก 2 รายการ ได้แก่ :
- CVE-2024-13974 (คะแนน CVSS: 8.1) - ช่องโหว่ Business logic ใน Up2Date component ที่อาจทำให้ผู้ไม่หวังดีสามารถควบคุมสภาพแวดล้อม DNS ของ Firewall เพื่อสั่งเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้
- CVE-2024-13973 (คะแนน CVSS: 6.8) - ช่องโหว่ SQL Injection ใน WebAdmin ที่ต้องผ่านการยืนยันตัวตนก่อน อาจทำให้ผู้ดูแลระบบสามารถเรียกใช้โค้ดใด ๆ ก็ได้
ทั้ง 2 ช่องโหว่ดังกล่าวถูกค้นพบ และรายงานโดยศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (The U.K. National Cyber Security Centre - NCSC) โดยช่องโหว่ CVE-2024-13974 และ CVE-2024-13973 ส่งผลกระทบต่อเวอร์ชันดังต่อไปนี้ :
- CVE-2024-13974 - ส่งผลกระทบต่อ Sophos Firewall v21.0 GA (21.0.0) และเวอร์ชันเก่ากว่า
- CVE-2024-13973 - ส่งผลกระทบต่อ Sophos Firewall v21.0 GA (21.0.0) และเวอร์ชันเก่ากว่า
- CVE-2025-6704 - ส่งผลกระทบต่อ Sophos Firewall v21.5 GA (21.5.0) และเวอร์ชันเก่ากว่า
- CVE-2025-7624 - ส่งผลกระทบต่อ Sophos Firewall v21.5 GA (21.5.0) และเวอร์ชันเก่ากว่า
- CVE-2025-7382 - ส่งผลกระทบต่อ Sophos Firewall v21.5 GA (21.5.0) และเวอร์ชันเก่ากว่า
การเปิดเผยข้อมูลนี้เกิดขึ้นในขณะที่ SonicWall ได้ให้รายละเอียดเกี่ยวกับช่องโหว่ระดับ Critical ใน web management interface ของอุปกรณ์ SMA 100 Series (ช่องโหว่ หมายเลข CVE-2025-40599, คะแนน CVSS: 9.1) ที่อาจทำให้ผู้ไม่หวังดีจากระยะไกลที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถใช้เพื่ออัปโหลดไฟล์ใด ๆ ก็ได้ และอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้
ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ SMA 100 Series ได้แก่ รุ่น SMA 210, 410 และ 500v โดยได้รับการแก้ไขแล้วในเวอร์ชัน 10.2.2.1-90sv
นอกจากนี้ SonicWall ยังระบุเพิ่มเติมว่า แม้ช่องโหว่ดังกล่าวยังไม่ถูกนำไปใช้ในการโจมตีจริง แต่ก็ถือว่ามีความเสี่ยงที่อาจจะเกิดขึ้นได้ เมื่อพิจารณาจากรายงานล่าสุดของ Google Threat Intelligence Group (GTIG) ที่พบหลักฐานว่ามีกลุ่มผู้ไม่หวังดีที่ชื่อ UNC6148 กำลังใช้ประโยชน์จากอุปกรณ์ SMA 100 Series ที่ได้รับการอัปเดตแพตช์ล่าสุดแล้ว เพื่อติดตั้ง backdoor ที่ชื่อว่า OVERSTEP
นอกเหนือจากการติดตั้งแพตช์แก้ไขแล้ว ทางบริษัทฯ ขอแนะนำให้ลูกค้าที่ใช้งานอุปกรณ์ SMA 100 Series ดำเนินการตามขั้นตอนดังต่อไปนี้ :
- ปิดการเข้าถึง remote management บนอินเทอร์เฟซที่เชื่อมต่อกับภายนอก (X1) เพื่อลดความเสี่ยงต่อการถูกโจมตี
- รีเซ็ตรหัสผ่านทั้งหมด และเริ่มต้นการใช้บัญชีกับรหัสผ่านแบบ OTP (One-Time Password) ทั้งสำหรับผู้ใช้งาน และผู้ดูแลระบบบนอุปกรณ์
- บังคับใช้ Multi-Factor Authentication (MFA) สำหรับผู้ใช้งานทุกคน
- เปิดใช้งาน Web Application Firewall (WAF) บนอุปกรณ์ SMA 100
นอกจากนี้ องค์กรที่ใช้งานอุปกรณ์ SMA 100 Series ควรตรวจสอบ Log และประวัติการเชื่อมต่อของอุปกรณ์ เพื่อค้นหาความผิดปกติ และร่องรอยการเข้าถึงที่ไม่ได้รับอนุญาต
สำหรับองค์กรที่ใช้งานผลิตภัณฑ์ Virtual รุ่น SMA 500v จำเป็นต้องดำเนินการสำรองข้อมูลไฟล์ OVA, ส่งออกการตั้งค่า (export configuration), ลบ Virtual machine ที่มีอยู่เดิม พร้อมทั้ง Virtual disk และ Snapshot ที่เกี่ยวข้องทั้งหมด, จากนั้นทำการติดตั้ง OVA ใหม่จาก SonicWall โดยใช้ hypervisor และกู้คืนการตั้งค่าเดิมกลับมา (restore configuration)
ที่มา : thehackernews
You must be logged in to post a comment.