SolarWinds ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ authentication bypass และ remote command execution ระดับ Critical ในซอฟต์แวร์ Web Help Desk IT help desk

ช่องโหว่ authentication bypass ดังกล่าวมีหมายเลข CVE-2025-40552 และ CVE-2025-40554 โดยช่องโหว่ที่ SolarWinds ได้แก้ไขในครั้งนี้ ได้รับการรายงานโดย Piotr Bazydlo จาก watchTowr และสามารถถูกโจมตีโดยผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน ด้วยวิธีการโจมตีที่มีความซับซ้อน

Bazydlo ยังพบ และรายงานช่องโหว่ระดับ Critical ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) หมายเลข CVE-2025-40553 ซึ่งเกิดจาก Data Deserialization ที่ไม่เหมาะสม ซึ่งสามารถทำให้ Hacker ที่ไม่มีสิทธิ์สามารถเรียกใช้คำสั่งบนโฮสต์ที่มีช่องโหว่ได้

ช่องโหว่ RCE อีกรายการหมายเลข CVE-2025-40551 ที่สามารถทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ ถูกรายงานโดย Jimi Sebree นักวิจัยด้านความปลอดภัยของ Horizon3.ai

รวมถึงทาง SolarWinds ยังได้แก้ไขช่องโหว่การเข้าถึงข้อมูล hardcoded credentials ที่มีระดับความรุนแรงสูง (CVE-2025-40537) ที่ทำให้ Hacker ที่มีสิทธิ์ต่ำสามารถเข้าถึง administrative functions ได้โดยไม่ได้รับอนุญาต ซึ่งถูกรายงานโดย Sebree

SolarWinds ได้ให้คำแนะนำโดยละเอียดสำหรับการอัปเกรดเซิร์ฟเวอร์ที่มีช่องโหว่เป็น Web Help Desk 2026.1 ซึ่งแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้แล้ว และได้แนะนำให้ผู้ดูแลระบบอัปเดตอุปกรณ์ของตนโดยเร็วที่สุด เนื่องจาก Hacker มักใช้ช่องโหว่ด้านความปลอดภัยของ Web Help Desk ในการโจมตี

ตัวอย่างเช่น ในเดือนกันยายน 2025 ทาง SolarWinds ได้แก้ไขช่องโหว่ Patch Bypass ครั้งที่สอง (CVE-2025-26399) สำหรับช่องโหว่ RCE ของ WHD ซึ่ง CISA ได้ระบุว่าถูกใช้ในการโจมตีมานานกว่าหนึ่งปีแล้ว โดยเพิ่มช่องโหว่นี้ลงในรายการของช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตี และสั่งให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัยระบบของตนภายในสามสัปดาห์

ในขณะนั้น SolarWinds ระบุว่าช่องโหว่นี้เป็น "ช่องโหว่ Patch Bypass ของ CVE-2024-28988 ซึ่งเป็นช่องโหว่ Patch Bypass ของ CVE-2024-28986 อีกที"

นอกจากนี้ CISA ยังได้ระบุช่องโหว่สำคัญเกี่ยวกับข้อมูล credentials ที่ถูกกำหนดไว้ในโค้ดของ Web Help Desk ว่ากำลังถูกใช้ในการโจมตีอย่างแพร่หลายในเดือนตุลาคม 2024 และขอให้หน่วยงานของรัฐบาลทำการแก้ไขอุปกรณ์ของตนอีกครั้ง
**

Web Help Desk (WHD) ถูกใช้งานอย่างแพร่หลายโดยบริษัทขนาดใหญ่ องค์กรด้านการดูแลสุขภาพ สถาบันการศึกษา และหน่วยงานของรัฐบาลสำหรับการจัดการฝ่ายช่วยเหลือ SolarWinds กล่าวว่าผลิตภัณฑ์การจัดการไอทีของบริษัทมีลูกค้าใช้งานมากกว่า 300,000 รายทั่วโลก

 

ที่มา : bleepingcomputer.

มีการตรวจพบแคมเปญการโจมตีแบบ Coordinated ซึ่งมุ่งเป้าไปยังช่องโหว่ที่มีความรุนแรงระดับ Critical ที่เพิ่งได้รับการเปิดเผย โดยช่องโหว่ดังกล่าวอยู่ในเซิร์ฟเวอร์ GNU InetUtils telnetd มานานถึง 11 ปีแล้ว (more…)

ASUS ได้ปล่อย firmware ใหม่เพื่อแก้ไขช่องโหว่ authentication bypass ระดับ critical ที่ส่งผลกระทบต่อเราเตอร์รุ่น DSL หลายรุ่น

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-59367 ที่อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ผ่านการยืนยันตัวตน สามารถล็อกอินเข้าสู่อุปกรณ์ที่ยังไม่ได้รับการแพตช์แก้ไข และเชื่อมต่อกับอินเทอร์เน็ต โดยเป็นการโจมตีที่มีความซับซ้อนต่ำ และไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ (more…)

ผู้โจมตีกำลังมุ่งเป้าโจมตีช่องโหว่ระดับ Critical ใน JobMonster WordPress theme ซึ่งทำให้สามารถยึดบัญชีผู้ดูแลระบบได้ภายใต้เงื่อนไขบางประการ

(more…)

 

Click Studios ผู้พัฒนาโปรแกรมจัดการรหัสผ่านระดับองค์กร Passwordstate ออกคำเตือนให้ลูกค้ารีบอัปเดตแพตช์ช่องโหว่ Authentication Bypass ที่มีระดับความรุนแรงสูงโดยด่วน (more…)

วันนี้ (10 ธันวาคม 2024) Ivanti ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ใหม่ที่มีระดับความรุนแรงสูงสุดเกี่ยวกับการ authentication bypass ในโซลูชัน Cloud Services Appliance (CSA)

ช่องโหว่ด้านความปลอดภัย (CVE-2024-11639 และได้รับการรายงานโดยทีมวิจัยของ CrowdStrike) สามารถทำให้ผู้โจมตีจากภายนอกสามารถได้รับสิทธิ์ผู้ดูแลระบบในอุปกรณ์ที่มีช่องโหว่ที่ใช้ Ivanti CSA เวอร์ชัน 5.0.2 หรือเวอร์ชันก่อนหน้า โดยไม่ต้องผ่านการยืนยันตัวตน หรือการโต้ตอบจากผู้ใช้งาน ด้วยการหลีกเลี่ยงการยืนยันตัวตนด้วยช่องทาง หรือเส้นทางอื่น

(more…)

QNAP ผู้ผลิตอุปกรณ์ Network Attached Storage (NAS) ของไต้หวัน แจ้งเตือนช่องโหว่ 3 รายการในผลิตภัณฑ์ NAS software ซึ่งรวมถึง QTS, QuTS hero, QuTScloud และ myQNAPcloud ที่อาจทำให้ Hacker สามารถเข้าถึงอุปกรณ์ได้ ผ่านการ authentication bypass, command injection และ SQL injection (more…)

Ivanti แจ้งเตือนช่องโหว่ authentication bypass ใหม่ ที่ส่งผลกระทบต่อ Connect Secure, Policy Secure และ ZTA gateway โดยแนะนำให้ผู้ดูแลระบบทำการอัปเดตเพื่อป้องกันช่องโหว่ทันที

CVE-2024-22024 (คะแนน CVSS 8.3/10 ความรุนแรงระดับ High) เป็นช่องโหว่ XXE (XML eXternal Entities) ใน SAML component ของ gateway ที่ทำให้สามารถเข้าถึงทรัพยากรที่ถูกจำกัดบนอุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล และมีความซับซ้อนในการโจมตีต่ำ รวมถึงไม่ต้องการการโต้ตอบ หรือการยืนยันตัวตนจากผู้ใช้ โดย Ivanti ระบุว่าขณะนี้ยังไม่พบหลักฐานการโจมตีโดยใช้ช่องโหว่ดังกล่าว (more…)

VMware ได้แก้ไขช่องโหว่ authentication bypass ความรุนแรงระดับ Critical ในอุปกรณ์ Cloud Director หลังจากการออกแพตซ์อัปเดตเมื่อวันที่ 14 พฤศจิกายน 2023 (more…)

ICBC ธนาคารพาณิชย์ยักษ์ใหญ่จากประเทศจีน ออกประกาศยืนยันการถูกโจมตีด้วยแรนซัมแวร์ที่ส่งผลกระทบทำให้ระบบหยุดชะงักในวันพุธที่ 8 พฤศจิกายน 2023

The Industrial & Commercial Bank of China (ICBC) เป็นธนาคารที่ใหญ่ที่สุดของจีน และเป็นธนาคารพาณิชย์ที่ใหญ่ที่สุดในโลกเมื่อวัดตามรายรับ โดยมีรายได้ 214.7 พันล้านดอลลาร์สหรัฐ และผลกำไร 53.5 พันล้านดอลลาร์จากรายงานในปี 2022 ตามรายงานของ Fortune ธนาคาร ICBC มีลูกค้าระดับองค์กร 10.7 ล้านราย และลูกค้ารายบุคคล 720 ล้านราย โดยมีสาขาในประเทศจำนวน 17,000 แห่ง และมีสาขาใน 41 ประเทศ รวมถึง 13 สาขาทั่วชายฝั่งตะวันออก และตะวันตกของสหรัฐอเมริกา

อัปเดต 10 พฤศจิกายน 2023

ICBC ประกาศยืนยันข้อมูลว่า ในวันที่ 8 พฤศจิกายน 2023 U.S. Eastern Time (9 พฤศจิกายน 2023 ตามเวลาปักกิ่ง) ICBC Financial Services (FS) ได้ถูกโจมตีด้วยแรนซัมแวร์ ซึ่งส่งผลให้ระบบ FS บางระบบหยุดชะงัก ทันทีที่พบเหตุการณ์ ICBC FS ก็ตัดการเชื่อมต่อทั้งหมด และแยกระบบที่ถูกโจมตีออกเพื่อควบคุมเหตุการณ์

โดย ICBC FS ได้ดำเนินการสอบสวนอย่างละเอียด และกำลังดำเนินการกู้คืนระบบด้วยการสนับสนุนจากทีมงานผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ICBC FS ยังได้รายงานเหตุการณ์นี้ต่อหน่วยงานบังคับใช้กฎหมายด้วย รวมถึงได้ดำเนินการเคลียร์การซื้อขายในกระทรวงการคลังของสหรัฐฯ ที่ดำเนินการเมื่อวันพุธ (08/11/23) และ Repo financing trades เสร็จสิ้นในวันพฤหัสบดี (09/11/23)

นอกจากนี้ทาง ICBC ระบุว่าระบบธุรกิจ และอีเมลของบริษัททำงานโดยอัตโนมัติจากกลุ่ม ICBC และเหตุการณ์ดังกล่าวไม่ได้ส่งผลกระทบต่อระบบของ ICBC สาขานิวยอร์ก, สำนักงานใหญ่ของ ICBC และสถาบันในเครืออื่น ๆ ทั้งใน และต่างประเทศ

การโจมตีได้รับการยืนยันแหล่งข่าว

ก่อนที่ทาง ICBC จะออกมาประกาศยืนยันว่าได้ถูกโจมตีด้วยแรนซัมแวร์นั้น ทาง BleepingComputer ได้รับข้อมูลยืนยันจากแหล่งข่าวหลายแห่งว่า ICBC ตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์

โดยผู้เชี่ยวชาญด้านความปลอดภัย Kevin Beaumont ระบุว่าพบ ICBC Citrix server ที่มีช่องโหว่ครั้งล่าสุดเมื่อวันจันทร์ที่ผ่านมา (06/11/23) และยังไม่ได้มีการอัปเดตเพื่อแก้ไขช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องที่มีชื่อว่า 'Citrix Bleed' ซึ่งช่องโหว่ดังกล่าวทำให้สามารถหลีกเลี่ยงการ authentication ทุกรูปแบบได้อย่างสมบูรณ์ และง่ายดาย และกำลังถูกกลุ่มแรนซัมแวร์ใช้ในการโจมตีอย่างต่อเนื่อง รวมทั้งสามารถใช้งาน Remote Desktop PC ได้อย่างสมบูรณ์ไปยัง Citrix server ที่มีช่องโหว่

ที่มา : bleepingcomputer