วันที่ 20 พฤศจิกายนที่ผ่านมา SonicWall บริษัทด้านความปลอดภัยทางไซเบอร์สัญชาติอเมริกัน ได้แจ้งเตือนให้ลูกค้าให้เร่งทำการแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงในระบบ SonicOS SSLVPN ที่อาจทำให้แฮ็กเกอร์สามารถโจมตี Firewall จนหยุดการทำงานได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-40601 เป็นช่องโหว่ประเภท Denial-of-Service (DoS) ที่เกิดจากช่องโหว่ Stack-based Buffer Overflow โดยส่งผลกระทบต่อ firewall รุ่น Gen8 และ Gen7 (ทั้งแบบ Hardware และ Virtual)

SonicWall ระบุว่า "ช่องโหว่ Stack-based Buffer Overflow ในบริการ SonicOS SSLVPN จะทำให้ผู้โจมตีจากภายนอก สามารถเรียกใช้การโจมตีแบบ Denial of Service (DoS) ได้โดยไม่ต้องยืนยันตัวตน ซึ่งอาจส่งผลให้ Firewall ที่ได้รับผลกระทบหยุดการทำงานไปทันที

"ทางทีม PSIRT ของ SonicWall ระบุว่า ยังไม่พบการนำช่องโหว่ดังกล่าวไปใช้ในการโจมตีจริงในขณะนี้ อีกทั้งยังไม่มีการเปิดเผยโค้ด PoC สู่สาธารณะ และยังไม่ได้รับรายงานว่ามีการนำช่องโหว่ดังกล่าวไปใช้ในทางที่เป็นอันตรายแต่อย่างใด"

"อย่างไรก็ตาม ทางบริษัทได้แจ้งเพิ่มเติมว่า Firewall รุ่น Gen6 รวมถึงผลิตภัณฑ์ SSL VPN ในตระกูล SMA 1000 และ SMA 100 นั้นไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว"

"แม้ SonicWall จะยังไม่พบหลักฐานว่ามีการนำ CVE-2025-40601 ไปใช้ในการโจมตีจริง แต่ทางบริษัทก็ได้เน้นย้ำให้ผู้ดูแลระบบ Network ปฏิบัติตามแนวทางแก้ไขที่ได้ระบุไว้ในประกาศแจ้งเตือนความปลอดภัยของวันที่ 20 พฤศจิกายนที่ผ่านมา"

"สำหรับผู้ดูแลระบบที่ไม่สามารถติดตั้งอัปเดตความปลอดภัยได้ทันที แนะนำให้ทำการ ปิดการใช้งานบริการ SonicOS SSLVPN หรือ ปรับปรุง Rules เพื่อจำกัดสิทธิ์การเข้าถึงอุปกรณ์ Firewall ของ SonicWall ให้เหลือเฉพาะจากต้นทางที่เชื่อถือได้เท่านั้น

นอกจากนี้ ทางบริษัทยังได้ออกแพตช์แก้ไขอีก 2 ช่องโหว่ ที่ส่งผลกระทบต่ออุปกรณ์ Email Security (รุ่น ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare และ Hyper-V) ซึ่งอาจทำให้ผู้โจมตีจากภายนอก สามารถเรียกใช้โค้ดอันตรายเพื่อแฝงตัวอยู่บนระบบได้ (CVE-2025-40604) และสามารถเข้าถึงข้อมูลที่มีการจำกัดสิทธิ์ได้ (CVE-2025-40605)

โดย SonicWall ได้ระบุในประกาศแจ้งเตือนแยกอีกฉบับว่า "ขอแนะนำให้ผู้ใช้งานผลิตภัณฑ์ Email Security (รุ่น ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare และ Hyper-V) ทำการอัปเกรดระบบทันที"

เมื่อช่วงต้นเดือนที่ผ่านมา SonicWall ได้ยืนยันว่า กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล คือผู้อยู่เบื้องหลังเหตุการณ์ความปลอดภัยเมื่อเดือนกันยายน ซึ่งส่งผลให้ไฟล์สำรองการตั้งค่าของ Firewall ลูกค้าเกิดการรั่วไหล โดยเหตุการณ์นี้เกิดขึ้นราวหนึ่งเดือนหลังจากที่นักวิจัยได้แจ้งเตือนว่า ผู้ไม่หวังดีได้เข้าควบคุมบัญชี SonicWall SSLVPN ไปกว่า 100 บัญชี ด้วยการใช้ข้อมูล Credential ที่ขโมยมา

นอกจากนี้ ในเดือนกันยายน บริษัทยังได้ปล่อยอัปเดต Firmware เพื่อช่วยให้ผู้ดูแลระบบ IT สามารถกำจัดมัลแวร์ Rootkit ที่ชื่อ OVERSTEP ซึ่งถูกฝังเข้ามาในการโจมตีที่มุ่งเป้าไปยังอุปกรณ์รุ่น SMA 100 อีกด้วย

ที่มา : bleepingcomputer