บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล Check Point ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อการใช้งาน Remote Access VPN และ cc ซึ่งกำลังถูกนำไปใช้ในการโจมตีแบบ Zero-day
ช่องโหว่นี้มีหมายเลข CVE-2026-50751 ทำให้ผู้โจมตีจากภายนอกที่ไม่ได้รับอนุญาตสามารถ bypass authentication สำหรับการเข้าถึงผ่าน Mobile Access, SSL VPNs, Remote Access VPNs หรือไฟร์วอลล์ที่ตกเป็นเป้าหมาย และสร้างการเชื่อมต่อ VPN ได้
ทางบริษัทระบุว่า ช่องโหว่นี้ส่งผลกระทบเฉพาะการใช้งานที่กำหนดค่าให้ใช้โปรโตคอลสำหรับการแลกเปลี่ยนคีย์ IKEv1 ที่เลิกใช้แล้ว กับ security gateways ที่ยอมรับ Remote Access clients แบบเดิม และไม่ต้องการ certificate ที่ตรวจสอบ machine ที่มีการเชื่อมต่อ
การโจมตีเริ่มขึ้นในวันที่ 7 พฤษภาคม และทวีความรุนแรงขึ้นอย่างรวดเร็วในช่วงต้นเดือนมิถุนายน และส่งผลกระทบต่อองค์กรเพียงไม่กี่สิบแห่งทั่วโลก โดยอย่างน้อยหนึ่งเหตุการณ์มีความเชื่อมโยงกับการปฏิบัติการของกลุ่ม Qilin Ransomware
บริษัทระบุว่า "นักวิจัยของ Check Point ได้ตรวจพบการโจมตีช่องโหว่ CVE-2026-50751 ซึ่งเป็นช่องโหว่ authentication bypass ระดับ Critical ที่ส่งผลกระทบต่อการใช้งาน Check Point Remote Access VPN และ Mobile Access ที่กำหนดค่าให้ใช้โปรโตคอลการแลกเปลี่ยนคีย์ IKEv1 ที่ล้าสมัย"
"จนถึงปัจจุบัน พบการโจมตีอยู่เพียงไม่กี่สิบองค์กรเป้าหมายทั่วโลก หนึ่งในนั้นเกี่ยวข้องกับกิจกรรมหลังการเจาะระบบที่ได้รับการยืนยันแล้วว่า เชื่อมโยงกับกลุ่มพันธมิตรของ Qilin Ransomware ลูกค้าที่ใช้โปรโตคอลการแลกเปลี่ยนคีย์ IKEv1 ควรติดตั้งการอัปเดตความปลอดภัยทันที"
Check Point ยังได้แชร์มาตรการลดผลกระทบสำหรับลูกค้าที่ไม่สามารถแก้ไขระบบที่มีช่องโหว่ได้ทันที โดยแนะนำให้ยกเลิกการรองรับซอฟต์แวร์ฝั่งไคลเอนต์รุ่นเก่า กำหนดคุณสมบัติสำหรับการตรวจสอบสิทธิ์ (Global Properties) ในการ VPN เป็น IKEv2 เท่านั้น บังคับตั้งค่าการตรวจสอบสิทธิ์ด้วย Machine Certificate รวมถึงเปิดใช้งาน IPS และดาวน์โหลด Signatures มาใช้งาน
ขณะตรวจสอบช่องโหว่ CVE-2026-50751 นั้นทาง Check Point ได้พบช่องโหว่ที่สองที่มีหมายเลข CVE-2026-50752 ที่ส่งผลกระทบต่อ certificate validation ในการแลกเปลี่ยนคีย์ IKEv1 ที่ล้าสมัย ซึ่งสามารถใช้ประโยชน์ในการโจมตีแบบ man-in-the-middle บน VPN site-to-site ได้
แม้ว่า Check Point ยังไม่พบหลักฐานการโจมตีจากช่องโหว่ CVE-2026-50752 แต่ทางบริษัทได้แนะนำให้ลูกค้าดำเนินการอัปเดตระบบเพื่อลดความเสี่ยงที่อาจเกิดขึ้น
สำหรับกลุ่ม Qilin Ransomware ถูกพบครั้งแรกเมื่อเดือนสิงหาคม 2022 ในรูปแบบ Ransomware-as-a-Service หรือ RaaS ภายใต้ชื่อ "Agenda" และนับตั้งแต่นั้นมา กลุ่มนี้ได้อ้างว่าเป็นผู้อยู่เบื้องหลังในการโจมตีเหยื่อ บนเว็บไซต์ที่เผยแพร่ข้อมูลรั่วไหลไปแล้วกว่า 400 ราย
รายชื่อของเหยื่อของกลุ่มดังกล่าวนี้ ยังรวมถึงองค์กรระดับโลกที่มีชื่อเสียง เช่น Yangfeng บริษัทด้านยานยนต์, Nissan, Asahi บริษัทเบียร์ของญี่ปุ่น, Lee Enterprises บริษัทด้านธุรกิจสิ่งพิมพ์, Synnovis ผู้ให้บริการด้านพยาธิวิทยา และ Court Services Victoria หน่วยงานบริการศาลของประเทศออสเตรเลีย
ที่มา: bleepingcomputer.com
You must be logged in to post a comment.