CISA ได้ออกคำเตือนว่า ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ระดับความรุนแรงสูงสุดใน Adobe Experience Manager เพื่อรันโค้ดบนระบบที่ยังไม่ได้อัปเดตแพตช์
ช่องโหว่นี้มีหมายเลข CVE-2025-54253 เป็นช่องโหว่ด้านความปลอดภัยระดับ critical ที่เกิดจากการตั้งค่าผิดพลาด ซึ่งส่งผลกระทบต่อ Adobe Experience Manager (AEM) Forms on JEE เวอร์ชัน 6.5.23 และก่อนหน้า
หากโจมตีช่องโหว่นี้ได้สำเร็จ ผู้โจมตีสามารถ bypass กลไกการรักษาความปลอดภัย และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ โดยการโจมตีนั้นมีความซับซ้อนต่ำ และไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้
ช่องโหว่นี้ถูกพบโดย Adam Kues และ Shubham Shah จาก Searchlight Cyber ซึ่งได้เปิดเผยข้อมูลต่อ Adobe เมื่อวันที่ 28 เมษายน พร้อมกับช่องโหว่อื่น ๆ อีกสองรายการ (CVE-2025-54254 และ CVE-2025-49533)
อย่างไรก็ตาม Adobe ได้แก้ไขเพียงช่องโหว่รายการหลังในเดือนเมษายน และปล่อยให้อีกสองรายการไม่ได้รับการแก้ไขนานกว่า 90 วัน จนกระทั่งนักวิจัยด้านความปลอดภัยทั้งสองได้เผยแพร่บทความทางเทคนิคในวันที่ 29 กรกฎาคม ซึ่งมีรายละเอียดเกี่ยวกับรายละเอียดของช่องโหว่ และวิธีการโจมตี
ในที่สุด Adobe ก็ได้เปิดตัวการอัปเดตความปลอดภัยในวันที่ 9 สิงหาคม เพื่อแก้ไขช่องโหว่ CVE-2025-54253 พร้อมยืนยันว่าโค้ด proof-of-concept ได้ถูกเผยแพร่ออกสู่สาธารณะแล้ว
ตามที่ Searchlight Cyber อธิบาย CVE-2025-54253 เป็นช่องโหว่ Authentication Bypass ซึ่งนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ผ่าน Struts DevMode นอกจากนี้นักวิจัยยังแนะนำให้ผู้ดูแลระบบจำกัดการเข้าถึง AEM Forms จากอินเทอร์เน็ต เมื่อใช้งานในรูปแบบแอปพลิเคชันเดี่ยว หากยังไม่สามารถติดตั้งแพตช์แก้ไขซอฟต์แวร์ได้ทันที
CISA ได้เพิ่มช่องโหว่นี้ลงในบัญชี Known Exploited Vulnerabilities Catalog และกำหนดให้หน่วยงานฝ่ายบริหารพลเมืองของรัฐบาลกลาง (FCEB) มีเวลาสามสัปดาห์ในการป้องกันระบบของตนภายในวันที่ 5 พฤศจิกายน ตามข้อบังคับ Binding Operational Directive (BOD) 22-01 ที่ประกาศใช้ในเดือนพฤศจิกายน 2021 แม้ว่าข้อบังคับ BOD 22-01 จะมุ่งเป้าไปที่หน่วยงานรัฐบาลกลางของสหรัฐฯ แต่ CISA ขอแนะนำให้ทุกองค์กร รวมถึงภาคเอกชน ให้ความสำคัญกับการติดตั้งแพตช์ เพื่อป้องกันการโจมตีที่กำลังเกิดขึ้นอย่างแพร่หลายนี้โดยเร็วที่สุด
CISA ระบุว่า "ให้ใช้มาตรการลดผลกระทบตามคำแนะนำของ vendor ปฏิบัติตามแนวทางของ BOD 22-01 ที่เกี่ยวข้องสำหรับบริการคลาวด์ หรือยุติการใช้งานผลิตภัณฑ์หากไม่มีมาตรการดังกล่าว" แถลงการณ์ระบุเพิ่มเติมว่า "ช่องโหว่ประเภทนี้มักเป็นช่องทางที่ผู้โจมตีทางไซเบอร์นิยมใช้ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อหน่วยงานของรัฐบาลกลาง"
ที่มา : bleepingcomputer
You must be logged in to post a comment.