SonicWall ออกคำเตือนให้ลูกค้ารีบอัปเดตแพตช์โดยทันที เพื่อแก้ไขช่องโหว่ 3 รายการที่พบในอุปกรณ์ Secure Mobile Access (SMA) โดยหนึ่งในช่องโหว่ดังกล่าวมีรายงานว่ากำลังถูกใช้ในการโจมตีแล้ว ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-32819, CVE-2025-32820 และ CVE-2025-32821 ซึ่งถูกค้นพบโดย Ryan Emmons นักวิจัยจากบริษัท Rapid7 ซึ่งระบุว่า ผู้ไม่หวังดีสามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อเข้าควบคุมอุปกรณ์จากระยะไกลด้วยสิทธิ์ระดับ root ได้ (more…)
SonicWall เปิดเผยว่าช่องโหว่ด้านความปลอดภัยที่ได้รับการแก้ไขไปแล้วสองรายการ ที่ส่งผลกระทบต่ออุปกรณ์ SMA100 Secure Mobile Access (SMA) ของบริษัท กำลังถูกนำไปใช้ในการโจมตีจริงแล้วในปัจจุบัน (more…)
เมื่อวันพุธที่ผ่านมา (16 เมษายน 2025) หน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกคำเตือนให้หน่วยงานรัฐบาลกลางดำเนินการป้องกันอุปกรณ์ SonicWall Secure Mobile Access (SMA) 100 series จากการโจมตีด้วยช่องโหว่ระดับ High ซึ่งสามารถทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้
ช่องโหว่นี้มีหมายเลข CVE-2021-20035 โดยส่งผลกระทบต่ออุปกรณ์รุ่น SMA 200, SMA 210, SMA 400, SMA 410 และ SMA 500v (บนแพลตฟอร์ม ESX, KVM, AWS และ Azure) ซึ่งหากสามารถโจมตีได้ความสำเร็จ อาจทำให้ผู้ไม่หวังดีจากภายนอกที่มีสิทธิ์เข้าถึงเพียงแค่ในระดับต่ำสามารถเรียกใช้รันโค้ดใด ๆ ก็ได้ ด้วยเทคนิคการโจมตีที่ไม่ซับซ้อน
SonicWall ได้อธิบายในคำแนะนำด้านความปลอดภัยที่มีการอัปเดตในสัปดาห์นี้ว่า:
“การจัดการ special elements ที่ไม่เหมาะสมใน management interface ของ SMA100 อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถแทรกคำสั่งใด ๆ ได้ในฐานะผู้ใช้งาน 'nobody' ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายบนอุปกรณ์ได้”
SonicWall ได้แก้ไขช่องโหว่นี้ตั้งแต่เดือนกันยายน 2021 หรือเกือบสี่ปีที่ผ่านมา โดยในขณะนั้นบริษัทระบุว่าช่องโหว่ดังกล่าวสามารถใช้เพียงเพื่อก่อให้เกิดการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service หรือ DoS) เท่านั้น
อย่างไรก็ตาม เมื่อวันจันทร์ที่ผ่านมา (14 เมษายน 2025) SonicWall ได้อัปเดตคำแนะนำเกี่ยวกับช่องโหว่นี้โดยระบุว่า ขณะนี้ช่องโหว่กำลังถูกใช้ในการโจมตีจริง พร้อมทั้งปรับระดับความรุนแรง CVSS จากระดับปานกลางเป็นระดับสูง และขยายขอบเขตของผลกระทบให้รวมถึง code execution
SonicWall ระบุว่า “ช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง เพื่อเป็นมาตรการเชิงป้องกัน ทีม PSIRT ของ SonicWall ได้ปรับปรุงข้อมูลสรุป และปรับระดับความรุนแรง CVSS เป็น 7.2”
CISA ได้ยืนยันว่าช่องโหว่ดังกล่าวถูกใช้ในการโจมตีจริงแล้ว โดยเพิ่มช่องโหว่นี้เข้าไปในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities catalog) ซึ่งเป็นรายการช่องโหว่ที่หน่วยงานฯ ยืนยันว่ามีการใช้งานในการโจมตีทางไซเบอร์
ภายใต้คำสั่ง Binding Operational Directive (BOD) 22-01 ซึ่งออกเมื่อเดือนพฤศจิกายน 2021 หน่วยงานในสังกัดฝ่ายบริหารพลเรือนของรัฐบาลกลางสหรัฐฯ (Federal Civilian Executive Branch – FCEB) จะต้องดำเนินการแก้ไขช่องโหว่นี้ภายในเวลาสามสัปดาห์ หรือภายในวันที่ 7 พฤษภาคม 2025
แม้ว่าคำสั่ง BOD 22-01 จะใช้บังคับกับหน่วยงานของรัฐบาลกลางสหรัฐฯ เท่านั้น แต่ CISA ก็แนะนำให้ผู้ดูแลระบบเครือข่ายทุกแห่งเร่งดำเนินการแก้ไขช่องโหว่นี้ทันที เพื่อป้องกันความพยายามในการเจาะระบบ
CISA เตือนว่า “ช่องโหว่ประเภทนี้มักถูกใช้เป็นช่องทางหลักในการโจมตีของผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อโครงสร้างพื้นฐานของหน่วยงานรัฐบาล”
เมื่อเดือนกุมภาพันธ์ที่ผ่านมา SonicWall ยังได้แจ้งเตือนถึงช่องโหว่ Authentication Bypass ที่กำลังถูกใช้ในการโจมตีจริงในไฟร์วอลล์รุ่น Gen 6 และ Gen 7 ซึ่งอาจทำให้แฮ็กเกอร์สามารถเข้าถึง VPN sessions ได้
ก่อนหน้านั้นหนึ่งเดือน บริษัทได้แนะนำให้ลูกค้ารีบติดตั้งแพตช์เพื่อแก้ไขช่องโหว่ระดับ Critical ในอุปกรณ์ SMA1000 secure access gateways หลังจากมีรายงานว่าช่องโหว่นั้นถูกใช้ในเหตุการณ์โจมตีแบบ zero-day แล้ว
ที่มา : bleepingcomputer
ผู้ไม่หวังดีกำลังใช้ช่องโหว่ Authentication Bypass ที่ส่งผลกระทบต่อไฟร์วอลล์ของ SonicWall หลังจากมีการปล่อย proof-of-concept (PoC) ออกมาในเวลาไม่นาน (more…)
ชุดของช่องโหว่ที่ถูกเรียกว่า "NachoVPN" ช่วยให้เซิร์ฟเวอร์ VPN ปลอมสามารถติดตั้งการอัปเดตที่เป็นอันตรายได้ โดยจะเกิดขึ้นเมื่อไคลเอนต์ SSL-VPN ของ Palo Alto และ SonicWall ที่ยังไม่ได้รับการแก้ไขช่องโหว่เชื่อมต่อกับเซิร์ฟเวอร์เหล่านี้ (more…)
Sophos เปิดเผยรายงานที่เรียกว่า "Pacific Rim" ซึ่งให้รายละเอียดว่า Sophos ได้ติดตาม และป้องกันการโจมตีของกลุ่ม Hacker ชาวจีน มาเป็นเวลากว่า 5 ปีแล้ว โดยกลุ่ม Hacker ได้กำหนดเป้าหมายการโจมตีไปยังอุปกรณ์เครือข่ายทั่วโลกเพิ่มมากขึ้น รวมถึงอุปกรณ์จาก Sophos ด้วย
ทั้งนี้ Sophos ได้แจ้งเตือนบริษัทต่าง ๆ ว่า กลุ่ม Hacker ชาวจีน ได้ใช้ช่องโหว่ในอุปกรณ์เครือข่าย เพื่อติดตั้งมัลแวร์ที่ปรับแต่งมาโดยเฉพาะ ซึ่งทำให้สามารถติดตามการสื่อสารบนเครือข่าย, ขโมยข้อมูล credentials หรือทำหน้าที่เป็น proxy server สำหรับการโจมตีแบบ Relay Attack (more…)
นักวิจัยด้านความปลอดภัยของ Arctic Wolf ได้เผยแพร่การพบกลุ่ม Fog และ Akira ransomware กำลังมุ่งเป้าหมายการโจมตีเพื่อเข้าถึงเครือข่ายโดยใช้ SonicWall VPN account จากช่องโหว่ SSL VPN access control (CVE-2024-40766)
โดย SonicWall ได้แก้ไขช่องโหว่ SonicOS ดังกล่าว ในช่วงปลายเดือนสิงหาคม 2024 และประมาณหนึ่งสัปดาห์ต่อมา ก็ได้แจ้งเตือนว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีแล้ว
Fog ransomware เปิดตัวในเดือนพฤษภาคม 2024 และเป็นกลุ่มที่กำลังเติบโตอย่างต่อเนื่อง และมีพันธมิตรเป็นกลุ่มอื่น ๆ ที่มักจะใช้ข้อมูล VPN credentials ที่ถูกขโมยมาใช้เพื่อเข้าถึงระบบ
Akira ransomware เป็นกลุ่มที่มีชื่อเสียงในวงการ ransomware ซึ่งได้ประสบปัญหาในการเข้าถึงเว็บไซต์ Tor เมื่อไม่นานนี้ แต่ปัจจุบันได้กลับมาออนไลน์อีกครั้งแล้ว
นักวิจัยรายงานว่ากลุ่ม Fog และ Akira ransomware ได้ดำเนินการโจมตีเป้าหมายอย่างน้อย 30 ครั้ง โดยทั้งหมดเริ่มต้นจากการเข้าถึงเครือข่ายจากระยะไกลผ่าน VPN account ของ SonicWall ในจำนวนนี้ 75% เชื่อมโยงกับกลุ่ม Akira ส่วนที่เหลือเชื่อมโยงกับกลุ่ม Akira ransomware ทั้งนี้สิ่งที่น่าสนใจคือ กลุ่ม ransomware ทั้ง 2 กลุ่มนี้มีการใช้ infrastructure ร่วมกันแสดงถึงความร่วมมืออย่างไม่เป็นทางการ ตามที่ Sophos ได้เคยเผยพร่ไปก่อนหน้านี้
แม้ว่านักวิจัยจะไม่แน่ใจ 100% ว่าช่องโหว่ดังกล่าวสามารถถูกใช้ได้ในทุกกรณี แต่ระบบที่ถูกโจมตีทั้งหมดก็มีความเสี่ยงต่อช่องโหว่ดังกล่าว เนื่องจากใช้เวอร์ชันเก่าที่มีช่องโหว่ และไม่ได้รับการแก้ไข
ในกรณีส่วนใหญ่ เวลาตั้งแต่เกิดการโจมตีจนถึงการเข้ารหัสข้อมูลนั้นใช้เวลาสั้นมาก ประมาณ 10 ชั่วโมง และเวลาที่เร็วที่สุดคือ 1.5-2 ชั่วโมง โดยในการโจมตี Hacker จะใช้วิธีการ Obfuscating เพื่อซ่อน IP addresses ที่แท้จริง
Arctic Wolf ระบุว่า นอกเหนือจากการโจมตีผ่านอุปกรณ์ที่มีช่องโหว่แล้ว พบว่าองค์กรที่ถูกโจมตีไม่ได้เปิดใช้งาน multi-factor authentication (MFA) บน SSL VPN account ที่ถูกโจมตี และไม่ได้ถูกใช้งานผ่าน default port 4433 อีกด้วย
ทั้งนี้ Artic Wolf อธิบายว่า ในกรณีที่ถูกโจมตี สามารถดูได้ผ่าน firewall log ซึ่งจะตรวจพบ event ID 238 (WAN zone remote user login allowed) หรือ event ID 1080 (SSL VPN zone remote user login allowed) หลังจากนั้นก็จะตามมาด้วยข้อความ SSL VPN INFO log หลายรายการ (event ID 1079) ที่ระบุว่าการเข้าสู่ระบบ และการกำหนด IP เสร็จสมบูรณ์แล้ว
ในขั้นตอนต่อมา Hacker จะทำการโจมตีแบบเข้ารหัสอย่างรวดเร็ว โดยมุ่งเป้าไปที่ virtual machine และ backup server เป็นหลัก รวมถึงทำการขโมยข้อมูลที่เกี่ยวข้องกับเอกสาร และซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แต่จะยกเว้นไฟล์ที่มีอายุมากกว่า 6 เดือน หรือ 30 เดือน ในส่วนของ sensitive files
ที่มา : bleepingcomputer
SonicWall ออกมาแจ้งเตือนว่าช่องโหว่ access control ใน SonicOS กำลังถูกนำไปใช้ในการโจมตี โดย SonicWall มีการออกแพตช์แก้ไขช่องโหว่ไปแล้วก่อนหน้านี้ ซึ่งช่องโหว่ดังกล่าวมี (more…)
SonicOS ของ SonicWall มีความเสี่ยงต่อช่องโหว่เกี่ยวกับ access control ระดับ Critical ที่อาจทำให้ Hacker สามารถเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต หรือทำให้ไฟร์วอลล์หยุดการทำงานได้ (more…)
SonicOS ของ SonicWall มีความเสี่ยงต่อช่องโหว่เกี่ยวกับ access control ระดับ Critical ที่อาจทำให้ Hacker สามารถเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต หรือทำให้ไฟร์วอลล์หยุดการทำงานได้
CVE-2024-40766 (คะแนน CVSS 9.3/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ Hacker สามารถเข้าถึงเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และในบางกรณีอาจส่งผลให้ไฟร์วอลล์หยุดการทำงาน โดยช่องโหว่ดังกล่าวมีความซับซ้อนต่ำ ไม่ต้องมีการยืนยันตัวตน และไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้
(more…)