CISA ได้ออกประกาศแจ้งเตือนเร่งด่วนเกี่ยวกับช่องโหว่ความปลอดภัยระดับ critical ประเภท SQL Injection ใน Drupal ภายใต้หมายเลข CVE-2026-9082 ซึ่งในขณะนี้กำลังถูกนำไปใช้โจมตีจริงอย่างแพร่หลาย
ช่องโหว่ดังกล่าว ซึ่งถูกจัดอยู่ในประเภท CWE-89 ส่งผลกระทบต่อ API การจัดการฐานข้อมูลของ Drupal และอาจทำให้ผู้โจมตีสามารถสั่งรันคำสั่ง SQL ที่เป็นอันตราย ผ่านการส่ง request ที่ถูกดัดแปลงขึ้นมาเป็นพิเศษได้
ตามข้อมูลจากสำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ระบุว่า หากผู้โจมตีสามารถเจาะระบบผ่านช่องโหว่นี้ได้สำเร็จ อาจนำไปสู่การยกระดับสิทธิ์ของผู้ใช้งาน และในกรณีที่ร้ายแรงที่สุด อาจถึงขั้นสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้
ทำให้ช่องโหว่ดังกล่าวมีความอันตรายเป็นพิเศษสำหรับองค์กรที่พึ่งพา หรือใช้งานระบบ Drupal ในการจัดการเนื้อหาเว็บไซต์ โดยเฉพาะอย่างยิ่งสำหรับองค์กรที่มีการเปิดให้บริการเว็บแอปพลิเคชันสู่เครือข่ายอินเทอร์เน็ตสาธารณะ
ช่องโหว่ดังกล่าวได้รับการขึ้นทะเบียนเข้าสู่บัญชีรายชื่อช่องโหว่ที่กำลังถูกใช้ในการโจมตีจริงของ CISA อย่างเป็นทางการเมื่อวันที่ 22 พฤษภาคม 2026 ซึ่งเป็นสิ่งยืนยันว่ามีการโจมตีเกิดขึ้นจริงในระบบเครือข่ายแล้ว
หน่วยงาน และองค์กรของรัฐบาลกลาง ถูกบังคับให้ดำเนินการแก้ไขปัญหาดังกล่าวภายในวันที่ 27 พฤษภาคม 2026 ภายใต้คำสั่งปฏิบัติตามข้อบังคับหมายเลข 22-01
ช่องโหว่การโจมตีด้วย SQL Injection ใน Drupal Core
ช่องโหว่นี้อยู่ในส่วนของ Database Queries ของ Drupal Core ผ่าน Abstraction Layer
การตรวจสอบ input validation ที่ไม่รัดกุม ทำให้ผู้โจมตีสามารถแทรกคำสั่ง SQL ที่เป็นอันตรายเข้ามาในระบบ ซึ่งอาจส่งผลให้สามารถ Bypass ระบบควบคุมการยืนยันตัวตน หรือเปลี่ยนแปลงการทำงานของฐานข้อมูลเบื้องหลังได้
ความเสี่ยงหลัก ๆ ที่ต้องระวัง ได้แก่:
- การเข้าถึงข้อมูลสำคัญที่จัดเก็บในฐานข้อมูล Drupal โดยไม่ได้รับอนุญาต
- การยกระดับสิทธิ์จากบัญชีผู้ใช้งานระดับทั่วไปขึ้นไปเป็นสิทธิ์ผู้ดูแลระบบสูงสุด
- การเรียกใช้โค้ดใด ๆ ตามต้องการบนเครื่องเซิร์ฟเวอร์หลักที่รองรับระบบ
เนื่องจาก Drupal เป็นระบบที่ใช้ในการสร้างเว็บไซต์ขององค์กรธุรกิจขนาดใหญ่ และหน่วยงานภาครัฐอยู่เป็นจำนวนมาก การถูกโจมตีในวงกว้างจึงอาจส่งผลกระทบรุนแรง และแพร่กระจายไปเป็นวงกว้างได้
แม้ว่า CISA จะยังไม่ได้ยืนยันว่าช่องโหว่นี้ถูกนำไปใช้ในแคมเปญโจมตีของ Ransomware แล้วหรือไม่ แต่ด้วยลักษณะของช่องโหว่ประเภท SQL Injection ทำให้ช่องโหว่ลักษณะนี้เป็นช่องทางยอดนิยมที่กลุ่มโบรกเกอร์ซื้อขายสิทธิ์การเข้าถึงระบบ และกลุ่มผู้โจมตี มักใช้เป็นขั้นตอนแรกในการเจาะเข้าสู่ระบบ
ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเจาะเข้าไปในระบบ ฝังเว็บเชลล์ หรือใช้เป็นจุดเพื่อเจาะเข้าไปในเครือข่ายภายในต่อไป
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์เตือนว่า ระบบ Drupal ที่เปิดให้บริการสู่สาธารณะ มีความเสี่ยงอยู่ในระดับสูงสุด โดยเฉพาะอย่างยิ่งระบบที่ยังคงใช้เวอร์ชันเก่า หรือยังไม่ได้ทำการอัปเดตแพตช์ของระบบหลัก
CISA จึงขอแนะนำอย่างยิ่งให้องค์กรต่าง ๆ เร่งดำเนินการในทันทีเพื่อลดความเสี่ยงดังกล่าว โดยมีขั้นตอนแนะนำที่ควรปฏิบัติ ดังนี้:
- ดำเนินการอัปเดตแพตช์ความปลอดภัยที่ออกโดยผู้พัฒนาโครงการ Drupal ทันที
- ตรวจสอบ และปฏิบัติตามแนวทางการลดความเสี่ยงที่ระบุโดยผู้พัฒนาซอฟต์แวร์
- เฝ้าระวัง และตรวจสอบไฟล์ Log การทำงานของเว็บเซิร์ฟเวอร์ เพื่อตรวจหาการส่งคำสั่ง SQL ที่มีลักษณะต้องสงสัย หรือผิดปกติ
- ติดตั้ง และใช้งานระบบเว็บแอปพลิเคชันไฟร์วอลล์ (WAF) เพื่อตรวจจับ และบล็อกความพยายามในการทำ Injection
- ปฏิบัติตามแนวทางของคำสั่ง BOD 22-01 สำหรับสภาพแวดล้อมระบบที่ทำงานบนคลาวด์
หากยังไม่สามารถดำเนินการอัปเดตแพตช์ได้ องค์กรต่าง ๆ ควรพิจารณาปิดให้บริการในส่วนของระบบ หรือบริการที่ได้รับผลกระทบชั่วคราว จนกว่าจะมีมาตรการแก้ไขปัญหาที่เหมาะสม
การที่ช่องโหว่ CVE-2026-9082 กำลังถูกผู้โจมตีนำไปใช้โจมตีจริงในขณะนี้ แสดงให้เห็นถึงความเสี่ยงที่ยังคงเกิดขึ้นอย่างต่อเนื่องจากช่องโหว่การโจมตีด้วย SQL injection ในแพลตฟอร์มที่มีการใช้งานกันอย่างแพร่หลายอย่าง Drupal
องค์กรต่าง ๆ จำเป็นต้องให้ความสำคัญกับการอัปเดตแพตช์ และการเฝ้าระวังเชิงรุกเป็นอันดับแรก เพื่อปกป้องระบบจากการถูกโจมตีที่อาจเกิดขึ้น
เนื่องจากทาง CISA ได้กำหนดเส้นตายในการแก้ไขปัญหาไว้ค่อนข้างสั้น การลงมือปฏิบัติการในทันทีจึงเป็นสิ่งจำเป็นอย่างยิ่ง เพื่อลดความเสี่ยง และป้องกันภัยคุกคามจากการถูกเจาะระบบที่อาจเกิดขึ้น
ที่มา : cybersecuritynews
You must be logged in to post a comment.