SonicWall เตือนด่วน พบช่องโหว่ Zero-Day ใหม่ใน SMA1000 ทำลูกค้าเสี่ยงถูกแฮก
SonicWall ออกประกาศเตือนภัยฉุกเฉินถึงช่องโหว่ Zero-Day ตัวใหม่ล่าสุดที่ซ่อนตัวอยู่ในระบบจัดการของอุปกรณ์ SMA1000 Appliance Management Console (AMC) ซึ่งเป็นอุปกรณ์เกตเวย์สำหรับการเข้าถึงระยะไกลที่องค์กรขนาดใหญ่และหน่วยงานรัฐนิยมใช้งาน
ช่องโหว่นี้ได้รับรหัส CVE-2025-40602 เป็นช่องโหว่ระดับความรุนแรงปานกลางที่เปิดโอกาสให้ผู้โจมตีสามารถยกระดับสิทธิ์ภายในระบบได้ ความน่ากลัวของสถานการณ์นี้ไม่ใช่แค่ความรุนแรงของตัวช่องโหว่เอง แต่เป็นการที่มันถูกนำไปใช้ร่วมกับช่องโหว่อื่นในการโจมตีแบบลูกโซ่
ซึ่งทางทีม Google Threat Intelligence Group ได้เป็นผู้ค้นพบและรายงานปัญหานี้ โดยทาง SonicWall ยืนยันว่าการโจมตีนี้เกิดขึ้นจริงและแนะนำให้ผู้ใช้งานเร่งอัปเกรดระบบเป็นเวอร์ชัน Hotfix ล่าสุดทันทีเพื่อปิดประตูความเสี่ยงก่อนที่จะสายเกินไป
การประสานพลังมรณะ: เมื่อสองช่องโหว่ถูกมัดรวมเป็นอาวุธร้าย
สิ่งที่ทำให้การค้นพบครั้งนี้น่ากังวลเป็นพิเศษคือรูปแบบการโจมตีที่ซับซ้อนและแยบยล แฮกเกอร์ไม่ได้ใช้ช่องโหว่ CVE-2025-40602 เพียงอย่างเดียว แต่ได้นำมันไปผสานเข้ากับช่องโหว่ความรุนแรงระดับวิกฤตอีกตัวหนึ่งคือ CVE-2025-23006 ซึ่งเป็นข้อผิดพลาดในกระบวนการ Deserialization ที่ทำให้ผู้โจมตีสามารถเจาะเข้าระบบได้โดยไม่ต้องผ่านการยืนยันตัวตน
เมื่อนำทั้งสองช่องโหว่มาร้อยเรียงกัน แฮกเกอร์ที่อยู่ระยะไกลสามารถสั่งการระบบปฏิบัติการได้ตามอำเภอใจ และเลวร้ายที่สุดคือการไต่เต้าขึ้นไปยึดสิทธิ์ระดับสูงสุดหรือ Root ของเครื่องได้สำเร็จ
แม้ว่าช่องโหว่ตัวหลักจะได้รับการแก้ไขไปแล้วตั้งแต่เดือนมกราคม แต่การที่ยังมีองค์กรจำนวนมากใช้งานอุปกรณ์ SMA1000 กว่า 950 เครื่องที่เชื่อมต่อกับอินเทอร์เน็ตอยู่ ทำให้ความเสี่ยงยังคงมีอยู่สูง
เป้าหมายใหญ่และความเสี่ยงที่ไม่อาจมองข้าม
อุปกรณ์ SMA1000 ไม่ใช่อุปกรณ์เครือข่ายธรรมดา แต่เป็นหัวใจสำคัญในการให้บริการ VPN สำหรับองค์กรขนาดใหญ่ เพื่อให้พนักงานสามารถเข้าถึงเครือข่ายภายในได้อย่างปลอดภัย ดังนั้นการที่อุปกรณ์เหล่านี้ตกเป็นเป้าหมายจึงหมายถึงความเสี่ยงต่อข้อมูลความลับระดับองค์กร โครงสร้างพื้นฐานสำคัญ หรือแม้แต่ข้อมูลภาครัฐ
ประวัติการโจมตีที่ผ่านมาของ SonicWall ในช่วงหลายเดือนที่นี้สะท้อนให้เห็นว่าแฮกเกอร์ระดับรัฐบาลและกลุ่มอาชญากรไซเบอร์กำลังเพ่งเล็งอุปกรณ์ประเภทนี้อย่างหนัก ไม่ว่าจะเป็นเหตุการณ์ข้อมูลรั่วไหลเมื่อเดือนก่อน หรือการโจมตีด้วยมัลแวร์ Rootkit ในตระกูล SMA 100 series