ช่องโหว่ Zero-Day ระดับ Critical ในผลิตภัณฑ์ Citrix NetScaler หมายเลข CVE-2025-6543 ซึ่งถูกผู้โจมตีนำไปใช้โจมตีจริงมาตั้งแต่พฤษภาคม 2025 หรือหลายเดือนก่อนที่แพตช์แก้ไขจะถูกปล่อยออกมา
แม้ว่าในตอนแรก Citrix จะพยายามลดระดับความรุนแรงของช่องโหว่นี้ โดยอธิบายว่าเป็นเพียง “ช่องโหว่ Memory Overflow ที่ทำให้เกิดการควบคุมลำดับคำสั่งผิดพลาด และ Denial of Service (DoS)” แต่ในภายหลังมีการยืนยันว่า ช่องโหว่นี้สามารถถูกใช้เพื่อทำ Unauthenticated Remote Code Execution (RCE) ได้ ซึ่งส่งผลให้เกิดการโจมตีในวงกว้างต่อหน่วยงานภาครัฐ และบริการด้านกฎหมายหลายแห่งทั่วโลก
ในช่วงปลายเดือนมิถุนายน 2025 Citrix ได้ออกแพตช์แก้ไขสำหรับ CVE-2025-6543 แต่ในเวลานั้นผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่นี้ไปแล้วเป็นเวลาหลายสัปดาห์
การโจมตีนี้ถูกใช้เพื่อเจาะเข้าสู่ระบบ NetScaler remote access เพื่อติดตั้ง Webshells เพื่อรักษาการเข้าถึงอย่างต่อเนื่องแม้หลังจากมีการแพตช์แล้ว และขโมยข้อมูล credentials ของผู้ใช้
ตามที่ Kevin Beaumont รายงาน จากหลักฐานแสดงให้เห็นว่า Citrix รับรู้ถึงความรุนแรง และการถูกโจมตีที่กำลังเกิดขึ้น แต่กลับไม่เปิดเผยขอบเขตของภัยคุกคามอย่างครบถ้วนต่อผู้ใช้งาน
ทางบริษัทได้จัดทำสคริปต์เพื่อตรวจสอบการถูก compromise ให้เฉพาะเมื่อมีการ request และอยู่ภายใต้เงื่อนไขที่จำกัด โดยไม่ได้อธิบายสถานการณ์ทั้งหมด หรือข้อจำกัดของสคริปต์ดังกล่าวอย่างชัดเจน
ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเนเธอร์แลนด์ (NCSC) มีบทบาทสำคัญในการเปิดเผยความจริงของการโจมตีครั้งนี้ การสืบสวนของพวกเขายืนยันว่าช่องโหว่นี้ถูกใช้งานเป็นช่องโหว่ Zero-day และผู้โจมตีได้พยายามลบหลักฐานเพื่อปกปิดร่องรอย ทำให้การดำเนินการ forensic analysis เป็นเรื่องยาก
รายงานของ NCSC ที่เผยแพร่ในเดือนสิงหาคม 2025 ระบุว่า “องค์กรสำคัญหลายแห่งในเนเธอร์แลนด์ถูกโจมตีสำเร็จ” และช่องโหว่นี้ถูกนำมาใช้โจมตีมาตั้งแต่ต้นเดือนพฤษภาคมเป็นอย่างน้อย
การทำงานของช่องโหว่
เชื่อกันว่าผู้โจมตีรายเดียวกันนี้ ยังอยู่เบื้องหลังการโจมตีช่องโหว่ Zero-day อื่น ๆ เช่น CVE-2025-5777 หรือที่รู้จักกันในชื่อ CitrixBleed 2 ซึ่งถูกใช้เพื่อขโมยเซสชันของผู้ใช้
ขณะนี้ยังมีการสืบสวนเพิ่มเติมเพื่อหาข้อเท็จจริงว่าผู้โจมตีรายนี้มีส่วนเกี่ยวข้องกับการโจมตีช่องโหว่ล่าสุด CVE-2025-7775 ด้วยหรือไม่
ช่องโหว่ CVE-2025-6543 ทำให้ผู้โจมตีสามารถ Overwrite System Memory ได้ โดยการส่ง Client Certificate ที่เป็นอันตราย ไปยัง endpoint /cgi/api/login บน NetScaler ที่มีช่องโหว่
เมื่อผู้โจมตีส่ง request หลายร้อยครั้งติดต่อกัน พวกเขาสามารถ Overwrite Memory ได้มากพอที่จะรันโค้ดตามต้องการบนระบบ วิธีการนี้ทำให้ผู้โจมตีสามารถสร้างฐานที่มั่นในเครือข่าย และใช้เพื่อ Lateral Movement เข้าสู่ Active Directory โดยอาศัยการนำข้อมูล credentials บัญชี LDAP ที่ถูกขโมยไปใช้ในทางที่ผิด
ผู้เชี่ยวชาญด้านความปลอดภัยได้เตือนให้องค์กรที่ใช้งาน Citrix NetScaler ที่เข้าถึงได้จากอินเทอร์เน็ต ดำเนินการแก้ไขอย่างเร่งด่วน
ผู้ดูแลระบบควรตรวจสอบสัญญาณการถูกบุกรุก เช่น การพบ POST requests จำนวนมากไปยัง /cgi/api/login ใน Logs การเข้าถึงเว็บที่เกิดขึ้นอย่างต่อเนื่อง
NetScaler log ที่มี error code 1245184 ซึ่งระบุว่าเป็น invalid client certificate ถือเป็นตัวบ่งชี้ที่แสดงให้เห็นว่ามีความพยายามโจมตีเกิดขึ้น
NCSC ได้เผยแพร่สคริปต์บน GitHub เพื่อช่วยให้องค์กรสามารถตรวจสอบการถูกโจมตีได้ ทั้งบนโฮสต์ที่กำลังทำงานจริง และในไฟล์ coredump
หากเชื่อว่าระบบถูกโจมตีแล้ว ขั้นตอนที่แนะนำคือ:
- นำอุปกรณ์ NetScaler ออกจากระบบทันที
- ทำการ Image ระบบเพื่อทำการ forensic
- เปลี่ยนข้อมูล credentials บัญชี LDAP service เพื่อป้องกันการ Lateral Movement
- ติดตั้ง NetScaler ใหม่ที่ผ่านการแพตช์แล้ว พร้อมกำหนดข้อมูล credentials ใหม่
สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่ม CVE-2025-6543 ลงใน Known Exploited Vulnerabilities (KEV) catalog ตอกย้ำถึงความเร่งด่วนที่ให้องค์กรต้องติดตั้งแพตช์ และตรวจสอบหาสัญญาณการโจมตีโดยทันที
ที่มา : cybersecuritynews
You must be logged in to post a comment.