CISA ได้เพิ่มช่องโหว่ระดับ Critical ของ Trend Micro Apex One ลงในรายการช่องโหว่ที่กำลังถูกนำไปใช้ในการโจมตีจริง (KEV) พร้อมแจ้งเตือนองค์กรต่าง ๆ ถึงความเสี่ยงจากการถูกโจมตีที่กำลังเกิดขึ้น
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-34926 ส่งผลกระทบต่อระบบ Trend Micro Apex One ที่ติดตั้งใช้งานภายในองค์กร (On-premises) และอาจทำให้ผู้โจมตีสามารถเข้าไปแก้ไขดัดแปลงระบบรักษาความปลอดภัยของ Endpoint ได้
CVE-2026-34926 ถูกจัดประเภทเป็นช่องโหว่แบบ Directory Traversal (CWE-23) ซึ่งช่วยให้ผู้โจมตีในระดับ Local ที่ยังไม่ได้ผ่านการยืนยันตัวตน สามารถปรับเปลี่ยน File paths และเข้าถึง Directories ที่ถูกจำกัดสิทธิ์ภายในเซิร์ฟเวอร์ Apex One โดยไม่ได้รับอนุญาตได้
ตามคำแนะนำของ CISA และผู้พัฒนาซอฟต์แวร์ระบุว่า ช่องโหว่ดังกล่าวสามารถถูกนำไปใช้เพื่อแก้ไข key database table บนเซิร์ฟเวอร์ได้
การดัดแปลงแก้ไขดังกล่าวจะช่วยให้ผู้โจมตีสามารถแทรกโค้ดที่เป็นอันตรายเข้าไปในระบบ ซึ่งจากนั้นโค้ดดังกล่าวจะสามารถแพร่กระจายไปยัง Endpoint agents ที่เชื่อมต่ออยู่ทั้งหมดได้
การโจมตีผ่านช่องโหว่ของ Trend Micro Apex One
ช่องโหว่ดังกล่าวทำให้เกิดความเสี่ยงที่ส่งผลกระทบรุนแรง โดยอาจทำให้ผู้โจมตีสามารถทำการโจมตีระบบโครงสร้างพื้นฐานด้านความปลอดภัยแบบ Centralized ได้
ความเสี่ยงที่สำคัญ ประกอบด้วย
- การปรับเปลี่ยน หรือแก้ไของค์ประกอบของเซิร์ฟเวอร์ Apex One โดยไม่ได้รับอนุญาต
- การแทรก Payloads ที่เป็นอันตรายเข้าสู่ Endpoint agents
- โอกาสที่ผู้โจมตีจะขยายผลการโจมตี หรือ Lateral movement ภายในสภาพแวดล้อมเครือข่ายขององค์กร
- การทำลาย หรือเข้าแทรกแซงกลไกของ Endpoint Detection and Response (EDR)
เนื่องจาก Apex One ทำหน้าที่เป็นแพลตฟอร์ม Centralized management หากทำการโจมตีสำเร็จอาจส่งผลให้เกิดการเจาะระบบของ Endpoint เป็นวงกว้างทั่วทั้งองค์กรได้
CISA ยืนยันว่าช่องโหว่ CVE-2026-34926 กำลังถูกนำไปใช้ในการโจมตีจริงในขณะนี้ อย่างไรก็ตาม ปัจจุบันยังไม่มีหลักฐานที่เปิดเผยต่อสาธารณะว่ามีการเชื่อมโยงช่องโหว่ดังกล่าวกับแคมเปญ Ransomware หรือกลุ่มผู้ไม่หวังดีกลุ่มใดกลุ่มหนึ่งเป็นการเฉพาะ
การเพิ่มช่องโหว่ดังกล่าวลงในรายการ KEV แสดงให้เห็นว่ามีแนวโน้มสูงที่จะถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งในระบบที่ยังไม่ได้ติดตั้งแพตช์แก้ไข หรือมีมาตรการรักษาความปลอดภัยที่หละหลวม
CISA ได้ออกคำสั่งบังคับให้หน่วยงานของรัฐบาลกลางดำเนินการแก้ไขช่องโหว่ดังกล่าวให้แล้วเสร็จภายในวันที่ 4 มิถุนายน 2026
องค์กรที่ใช้งาน Trend Micro Apex One (รุ่นติดตั้งภายในองค์กร หรือ On-premises) ควรดำเนินการดังต่อไปนี้
- ดำเนินการติดตั้งแพตช์ และอัปเดตจากผู้พัฒนาโดยเร็วที่สุด
- ปฏิบัติตามแนวทางลดผลกระทบจาก Official ของ Trend Micro
- จำกัดการเข้าถึงเซิร์ฟเวอร์ Apex One จากภายในเท่าที่สามารถทำได้
- เฝ้าระวังระบบเพื่อตรวจสอบกิจกรรมที่น่าสงสัย หรือการเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
- พิจารณาระงับการใช้งานหากไม่สามารถติดตั้งแพตช์ได้
นอกจากนี้ องค์กรควรปฏิบัติตามแนวทาง Binding Operational Directive - BOD 22-01 สำหรับการแก้ไขช่องโหว่ดังกล่าว
ขอแนะนำให้ทีมรักษาความปลอดภัยดำเนินการตรวจสอบระบบ Apex One ที่ติดตั้งใช้งานอยู่อย่างละเอียด และตรวจสอบความสมบูรณ์ของระบบ อีกทั้งควรยกระดับการเก็บข้อมูล Log และการเฝ้าระวัง เพื่อตรวจจับความผิดปกติที่เกี่ยวข้องกับการเปลี่ยนแปลงข้อมูลในฐานข้อมูลหรือพฤติกรรมของ Agent
การนำมาตรการควบคุมการเข้าถึงแบบให้สิทธิ์เท่าที่จำเป็น (Least privilege access controls) มาใช้ รวมถึงการแยกเซิร์ฟเวอร์การจัดการด้านความปลอดภัย จะช่วยลดช่องทางการโจมตีให้ลดน้อยลงได้อีก การที่ช่องโหว่ CVE-2026-34926 กำลังถูกนำไปใช้ในการโจมตีจริงในขณะนี้นั้น แสดงให้เห็นว่าผู้โจมตีกำลังมุ่งเป้าไปที่แพลตฟอร์มรักษาความปลอดภัยของ Endpoint กันมากขึ้นเรื่อย ๆ
องค์กรที่ใช้งาน Trend Micro Apex One จะต้องให้ความสำคัญกับการติดตั้งแพตช์ และการเฝ้าระวังเป็นอันดับแรก เพื่อป้องกันการถูกโจมตีระบบเป็นวงกว้าง และรักษาความน่าเชื่อถือของระบบโครงสร้างพื้นฐานด้านความปลอดภัยเอาไว้
ที่มา : Cybersecuritynews
You must be logged in to post a comment.