CrowdStrike ได้ออกประกาศแจ้งเตือนด้านความปลอดภัยอย่างเร่งด่วนเกี่ยวกับช่องโหว่ระดับ Critical ประเภท unauthenticated path traversal CVE-2026-40050 ที่ส่งผลกระทบต่อแพลตฟอร์ม CrowdStrike LogScale โดยระบุว่า ผู้โจมตีจากภายนอก สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่ออ่านไฟล์ใด ๆ จากระบบไฟล์ของเซิร์ฟเวอร์ได้โดยไม่ต้องผ่านการยืนยันตัวตน
ช่องโหว่นี้อยู่ใน Cluster API endpoint ของระบบคลัสเตอร์ภายใน CrowdStrike LogScale ซึ่งหาก endpoint ดังกล่าวถูกเปิดให้เข้าถึงได้จากภายนอก ผู้โจมตีสามารถใช้เทคนิค path traversal เพื่อเข้าถึงโครงสร้างไดเรกทอรีของเซิร์ฟเวอร์ และดึงข้อมูลไฟล์ที่มีความสำคัญออกมาได้โดยไม่ต้องใช้ข้อมูล Credentials
ช่องโหว่นี้มีคะแนนความรุนแรงตามมาตรฐาน CVSS v3.1 อยู่ที่ 9.8 ซึ่งสะท้อนถึงผลกระทบที่รุนแรงต่อ confidentiality, integrity และ availability
ช่องโหว่นี้มีสาเหตุหลักมาจากช่องโหว่ 2 ประเภท ได้แก่
- CWE-306 – Missing Authentication for Critical Function ไม่มีการยืนยันตัวตนสำหรับฟังก์ชันที่มีความสำคัญ
- CWE-22 – Improper Limitation of a Pathname to a Restricted Directory การจำกัดเส้นทางไฟล์ไปยังไดเรกทอรีที่กำหนดทำได้ไม่เหมาะสม
ช่องโหว่นี้ส่งผลกระทบต่อ CrowdStrike LogScale แบบ Self-Hosted ในเวอร์ชัน GA ตั้งแต่ 1.224.0 ถึง 1.234.0 รวมถึงเวอร์ชัน LTS ได้แก่ 1.228.0 และ 1.228.1 อย่างไรก็ตาม ลูกค้าที่ใช้งาน Next-Gen SIEM ไม่ได้รับผลกระทบ และไม่จำเป็นต้องดำเนินการใด ๆ
สำหรับลูกค้า LogScale แบบ SaaS ทาง CrowdStrike ได้ดำเนินการติดตั้งมาตรการป้องกันในระดับ network-layer ครอบคลุมทุกคลัสเตอร์ตั้งแต่วันที่ 7 เมษายน 2026 ซึ่งช่วยลดความเสี่ยงได้ในระดับโครงสร้างพื้นฐาน
นอกจากนี้ บริษัทยังได้ทำการตรวจสอบข้อมูล log ทั้งหมดเชิงรุก และไม่พบหลักฐานของการถูกนำช่องโหว่นี้ไปใช้โจมตีจริง
CrowdStrike ยืนยันว่า ณ ปัจจุบันยังไม่พบสัญญาณของการนำช่องโหว่นี้ไปใช้ในการโจมตีจริงโดยช่องโหว่นี้ถูกค้นพบจากกระบวนการทดสอบผลิตภัณฑ์อย่างต่อเนื่องภายในบริษัทเอง ไม่ได้มาจากการรายงานของนักวิจัยภายนอก หรือการตรวจพบจากเหตุการณ์โจมตีจริง
มาตรการลดความเสี่ยง
ลูกค้าที่ใช้งาน CrowdStrike LogScale แบบ Self-Hosted ควรดำเนินการอัปเกรดระบบโดยทันทีไปยังเวอร์ชันที่มีการแก้ไขช่องโหว่แล้ว ดังต่อไปนี้:
- 1.235.1 or later
- 1.234.1 or later
- 1.233.1 or later
- 1.228.2 (LTS) or later
ทาง CrowdStrike ยืนยันว่าเวอร์ชันที่ได้รับการแก้ไขแล้วไม่มีผลกระทบต่อประสิทธิภาพการทำงานของระบบ LogScale ทั้งทางตรง และทางอ้อม
นอกจากนี้ องค์กรที่ใช้งานระบบแบบ Self-Hosted ควรดำเนินการตามขั้นตอนมาตรฐานด้านการตอบสนองต่อเหตุการณ์ เพื่อเฝ้าระวัง และตรวจสอบว่ามีสัญญาณของการเข้าถึงโดยไม่ได้รับอนุญาต หรือการลักลอบนำข้อมูลออกจากระบบที่อาจเกิดขึ้นก่อนหน้านี้หรือไม่
ที่มา : cybersecuritynews
You must be logged in to post a comment.