SolarWinds ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical 4 รายการในซอฟต์แวร์ Serv-U file transfer โดยช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ได้ หากการโจมตีประสบความสำเร็จ (more…)

SolarWinds ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ authentication bypass และ remote command execution ระดับ Critical ในซอฟต์แวร์ Web Help Desk IT help desk

ช่องโหว่ authentication bypass ดังกล่าวมีหมายเลข CVE-2025-40552 และ CVE-2025-40554 โดยช่องโหว่ที่ SolarWinds ได้แก้ไขในครั้งนี้ ได้รับการรายงานโดย Piotr Bazydlo จาก watchTowr และสามารถถูกโจมตีโดยผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน ด้วยวิธีการโจมตีที่มีความซับซ้อน

Bazydlo ยังพบ และรายงานช่องโหว่ระดับ Critical ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) หมายเลข CVE-2025-40553 ซึ่งเกิดจาก Data Deserialization ที่ไม่เหมาะสม ซึ่งสามารถทำให้ Hacker ที่ไม่มีสิทธิ์สามารถเรียกใช้คำสั่งบนโฮสต์ที่มีช่องโหว่ได้

ช่องโหว่ RCE อีกรายการหมายเลข CVE-2025-40551 ที่สามารถทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ ถูกรายงานโดย Jimi Sebree นักวิจัยด้านความปลอดภัยของ Horizon3.ai

รวมถึงทาง SolarWinds ยังได้แก้ไขช่องโหว่การเข้าถึงข้อมูล hardcoded credentials ที่มีระดับความรุนแรงสูง (CVE-2025-40537) ที่ทำให้ Hacker ที่มีสิทธิ์ต่ำสามารถเข้าถึง administrative functions ได้โดยไม่ได้รับอนุญาต ซึ่งถูกรายงานโดย Sebree

SolarWinds ได้ให้คำแนะนำโดยละเอียดสำหรับการอัปเกรดเซิร์ฟเวอร์ที่มีช่องโหว่เป็น Web Help Desk 2026.1 ซึ่งแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้แล้ว และได้แนะนำให้ผู้ดูแลระบบอัปเดตอุปกรณ์ของตนโดยเร็วที่สุด เนื่องจาก Hacker มักใช้ช่องโหว่ด้านความปลอดภัยของ Web Help Desk ในการโจมตี

ตัวอย่างเช่น ในเดือนกันยายน 2025 ทาง SolarWinds ได้แก้ไขช่องโหว่ Patch Bypass ครั้งที่สอง (CVE-2025-26399) สำหรับช่องโหว่ RCE ของ WHD ซึ่ง CISA ได้ระบุว่าถูกใช้ในการโจมตีมานานกว่าหนึ่งปีแล้ว โดยเพิ่มช่องโหว่นี้ลงในรายการของช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตี และสั่งให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัยระบบของตนภายในสามสัปดาห์

ในขณะนั้น SolarWinds ระบุว่าช่องโหว่นี้เป็น "ช่องโหว่ Patch Bypass ของ CVE-2024-28988 ซึ่งเป็นช่องโหว่ Patch Bypass ของ CVE-2024-28986 อีกที"

นอกจากนี้ CISA ยังได้ระบุช่องโหว่สำคัญเกี่ยวกับข้อมูล credentials ที่ถูกกำหนดไว้ในโค้ดของ Web Help Desk ว่ากำลังถูกใช้ในการโจมตีอย่างแพร่หลายในเดือนตุลาคม 2024 และขอให้หน่วยงานของรัฐบาลทำการแก้ไขอุปกรณ์ของตนอีกครั้ง
**

Web Help Desk (WHD) ถูกใช้งานอย่างแพร่หลายโดยบริษัทขนาดใหญ่ องค์กรด้านการดูแลสุขภาพ สถาบันการศึกษา และหน่วยงานของรัฐบาลสำหรับการจัดการฝ่ายช่วยเหลือ SolarWinds กล่าวว่าผลิตภัณฑ์การจัดการไอทีของบริษัทมีลูกค้าใช้งานมากกว่า 300,000 รายทั่วโลก

 

ที่มา : bleepingcomputer.

SolarWinds ได้เผยแพร่ Hotfix เพื่อแก้ไขช่องโหว่ระดับ Critical บน Web Help Desk ที่ทำให้สามารถรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) ได้โดยไม่ต้องผ่านการยืนยันตัวตน

(more…)

CISA ได้เพิ่มช่องโหว่ 3 รายการลงใน Known Exploited Vulnerabilities catalog (KEV) ซึ่งเป็นรายการช่องโหว่ที่พบว่าถูกนำไปใช้ในการโจมตีแล้ว ซึ่งเป็นช่องโหว่ hardcoded credentials ใน SolarWinds Web Help Desk (WHD) ระดับ Critical โดยทาง SolarWinds ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่แล้วในเดือนสิงหาคม 2024 (more…)

ADT ผู้ให้บริการด้านความปลอดภัยสำหรับที่อยู่อาศัย และธุรกิจขนาดเล็ก ได้เปิดเผยถึงการถูกโจมตีทางไซเบอร์ หลังจากที่ผู้ไม่หวังดีเข้าถึงระบบของตนโดยใช้ข้อมูล Credentials ** ที่ถูกโจมตีมาจากพันธมิตรทางธุรกิจของตน ในเอกสาร Form 8-K ที่ยื่นต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ (SEC) ในวันจันทร์ ADT ยืนยันว่ามีการโจมตีทางไซเบอร์เกิดขึ้น ซึ่งนำไปสู่การขโมยข้อมูลบัญชีพนักงานที่เข้ารหัสไว้ (more…)

SolarWinds ออกแพตช์อัปเดตเร่งด่วนระดับ critical สำหรับช่องโหว่ของ Web Help Desk ซึ่งเป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถเข้าสู่ระบบที่มีช่องโหว่ได้โดยใช้ hardcoded credentials

โดย Web Help Desk (WHD) เป็นซอฟต์แวร์ช่วยเหลือทางด้านไอทีที่ได้รับความนิยมจากหน่วยงานของรัฐ, บริษัทขนาดใหญ่, องค์กรด้านการดูแลสุขภาพ และการศึกษา เพื่อนำมาช่วยให้งานบริหารจัดการเป็นรูปแบบอัตโนมัติ และมีประสิทธิภาพมากขึ้น ทั้งนี้ระบบ IT management ของ SolarWind มีลูกค้าใช้งานมากกว่า 300,000 รายทั่วโลก

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-28987 ได้รับการแก้ไขไปเมื่อวันพุธที่ 21 สิงหาคม 2024 ที่ผ่านมา โดยเป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนเข้าถึงฟังก์ชันภายใน และแก้ไขข้อมูลบนอุปกรณ์ที่ถูกโจมตีได้หลังจากการโจมตีสำเร็จ ช่องโหว่นี้ถูกค้นพบ และรายงานโดย Zach Hanley นักวิจัยด้านความปลอดภัยจาก Horizon3.ai

(more…)

SolarWinds แก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM)

SolarWinds ได้ทำการแก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM) โดยที่ 6 จาก 8 ช่องโหว่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนอุปกรณ์ของเป้าหมายได้

(more…)

SolarWinds เผยแพร่อัปเดตการแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการใน Serv-U และ SolarWinds Platform รวมถึงช่องโหว่ที่ถูกรายงานจาก NATO Pentester

SolarWinds ออกแพตซ์อัปเดต SolarWinds Platform เวอร์ชัน 2024.2 ที่ได้แก้ไขช่องโหว่ใหม่ 3 รายการ และช่องโหว่จาก third-party components

ช่องโหว่แรกมีหมายเลข CVE-2024-28996 (คะแนน CVSS 7.5/10 ความรุนแรงระดับ High) ช่องโหว่ SWQL injection ซึ่งเป็น subset ที่เป็นสิทธิ์ read-only ของ SQL, SWQL ที่อนุญาตให้ผู้ใช้งาน query ฐานข้อมูล SolarWinds สำหรับข้อมูลเครือข่าย ซึ่งถูกรายงานโดย Pentester Nils Putnins ของ NATO Communications and Information Agency

ช่องโหว่อีก 2 รายการที่ส่งผลกระทบต่อ web console ได้แก่ CVE-2024-28999 (คะแนน CVSS 6.4/10 ความรุนแรงระดับ Medium) ช่องโหว่ race condition และ CVE-2024-29004 (คะแนน CVSS 7.1/10 ความรุนแรงระดับ High) ช่องโหว่ cross-site scripting (XSS) ที่จำเป็นต้องใช้สิทธิ์สูง และการโต้ตอบของผู้ใช้จึงจะทำให้สามารถโจมตีได้สำเร็จ โดยส่งผลกระทบต่อแพลตฟอร์ม SolarWinds 2024.1 SR 1 และเวอร์ชันก่อนหน้า

และช่องโหว่ที่พึ่งถูกเปิดเผยล่าสุด CVE-2024-28995 (คะแนน CVSS 8.6/10 ความรุนแรงระดับ High) ช่องโหว่ directory traversal ใน Serv-U ที่อาจทำ Hacker สามารถอ่านไฟล์ที่มีความสำคัญบนเครื่องโฮสต์ได้ โดยส่งผลต่อ Serv-U 15.4.2 hotfix 1 และเวอร์ชันก่อนหน้า รวมถึง Serv-U FTP Server, Serv-U Gateway และ Serv-U MFT Server.

นักวิจัยด้านความปลอดภัยพบช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลระดับ Critical 3 รายการในผลิตภัณฑ์ SolarWinds Access Rights Manager (ARM) ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM ได้

SolarWinds Access Rights Manager (ARM) เป็นเครื่องมือที่ช่วยให้องค์กรสามารถจัดการ และตรวจสอบสิทธิ์การเข้าถึงของผู้ใช้งานใน IT environment ของตน รวมถึงสามารถทำงานร่วมกับระบบอื่น ๆ ได้ เช่น Microsoft Active Directory, Role-based access control, Visual feedback และอื่น ๆ อีกมากมาย

นักวิจัยได้รายงานช่องโหว่ที่พบ 8 รายการในโซลูชัน SolarWinds เมื่อวันที่ 22 มิถุนายน 2023 ผ่าน Zero Day Initiative (ZDI) ของ Trend Micro โดยมีช่องโหว่ 3 รายการที่มีความรุนแรงระดับ Critical ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล remote code execution (RCE)

CVE-2023-3518 (คะแนน CVSS 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM ผ่าน deserialization data ที่ไม่น่าเชื่อถือด้วย ‘createGlobalServerChannelInternal’ method

CVE-2023-35185 (คะแนน CVSS 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM เนื่องจากความบกพร่องจากการตรวจสอบ user-supplied paths ใน ‘OpenFile’ method

CVE-2023-35187 (คะแนน CVSS 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM เนื่องจากความบกพร่องจากการตรวจสอบ user-supplied paths ใน ‘OpenClientUpdateFile’ method

การเรียกใช้คำสั่งด้วย “SYSTEM” บน Windows computer หมายความว่าคำสั่งนั้นจะทำงานด้วยสิทธิ์สูงสุดบนเครื่อง โดย SYSTEM เป็นบัญชีภายในที่สงวนไว้สำหรับระบบปฏิบัติการ และบริการต่าง ๆ โดย Hacker ที่ได้รับสิทธิ์ในระดับ SYSTEM จะสามารถควบคุมไฟล์ทั้งหมดในเครื่องของเหยื่อได้อย่างสมบูรณ์

รวมไปถึงยังพบว่าช่องโหว่ที่เหลือที่ SolarWinds ที่ถูกระบุใน Access Right Manager นั้นมีระดับความรุนแรงสูง ซึ่ง Hacker สามารถโจมตีช่องโหว่เพื่อเพิ่ม permissions หรือเรียกใช้คำสั่งอันตรายบนโฮสต์ภายหลังจากการผ่านการตรวจสอบสิทธิ์

SolarWinds ออกแพตซ์อัปเดตเพื่อแก้ช่องโหว่ดังกล่าวแล้ว ในวันที่ 18 ตุลาคม 2023 ในเวอร์ชัน 2023.2.1 ของ Access Rights Manager จึงแจ้งเตือนไปยังผู้ดูแลระบบให้ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยด่วน

ที่มา : bleepingcomputer

RomCom RAT ยังคงพัฒนาแคมเปญการโจมตีอย่างต่อเนื่องด้วยซอฟต์แวร์ปลอม เช่น SolarWinds Network Performance Monitor, KeePass password manager และ PDF Reader Pro

เป้าหมายของแฮ็กเกอร์คือหน่วยงานในประเทศยูเครน และประเทศที่ใช้ภาษาอังกฤษเป็นหลักอย่างเช่น สหราชอาณาจักร

การค้นพบล่าสุดเกิดขึ้นหนึ่งสัปดาห์หลังจากที่บริษัทรักษาความปลอดภัยทางไซเบอร์ของแคนาดาเปิดเผยแคมเปญ spear-phishing ที่มุ่งเป้าไปที่หน่วยงานในประเทศยูเครนเพื่อแพร่กระจายโทรจันที่ชื่อว่า RomCom RAT นอกจากนี้ยังการใช้ซอฟต์แวร์ปลอมของ Advanced IP Scanner และ pdfFiller เพื่อแพร่กระจายโทรจันด้วยเช่นเดียวกัน

โดยแคมเปญดังกล่าวมีการตั้งชื่อเว็ปไซต์ที่มีชื่อโดเมนคล้ายกันกับซอฟต์แวร์จริง แต่ไฟล์ติดตั้งจะเป็นซอฟแวร์ที่มีมัลแวร์ฝังอยู่ ซึ่งจะถูกส่งไปพร้อมกับอีเมลฟิชชิ่งไปยังเป้าหมาย

แม้ว่าจะดาวน์โหลดรุ่นทดลองใช้ฟรีจากเว็ปไซต์ของ SolarWinds ปลอม แต่ก็จะมีแบบฟอร์มสำหรับการลงทะเบียนขอใช้งานที่ถูกต้อง ซึ่งหากกรอกข้อมูลครบถ้วนก็อาจจะมีพนักงานของ SolarWinds จริง ๆ ติดต่อเหยื่อกลับไปเพื่อติดตามการทดลองใช้ผลิตภัณฑ์ ซึ่งเทคนิคนี้จะยิ่งทำให้เหยื่อหลงเชื่อว่าแอปพลิเคชันที่เพิ่งดาวน์โหลด และติดตั้งนี้เป็นเวอร์ชันจริง

การใช้ RomCom RAT ยังเชื่อมโยงกับการโจมตีที่เกี่ยวข้องกับกลุ่ม Cuba ransomware และ Industrial Spy ตามรายงานจาก Palo Alto Networks Unit 42 ซึ่งกำลังติดตามการปฏิบัติการของกลุ่ม ransomware ภายใต้ชื่อกลุ่ม Tropical Scorpuis

Palo Alto Networks Unit 42 ระบุว่าตัวอย่างของ RomCom RAT ที่เป็นตัวติดตั้งสำหรับซอฟต์แวร์ Veeam Backup & Replication ที่โฮสต์อยู่บนโดเมนที่เป็นอันตรายชื่อ "wveeam[.]com" เช่นเดียวกับในกรณีของ SolarWinds หลังจากการดาวน์โหลดไฟล์ติดตั้ง ผู้ใช้งานจะถูกเปลี่ยนเส้นทางไปยังแบบฟอร์มที่ให้เหยื่อป้อนรายละเอียดข้อมูลสำหรับการลงทะเบียน และขนาดของไฟล์ติดตั้งที่ใหญ่ถึงกว่า 10GB ทำให้สามารถหลบเลี่ยงการตรวจสอบจากอุปกรณ์ด้านความปลอดภัยบางอย่างได้โดยอัตโนมัติ

 

ที่มา : thehackernews