Google เผยช่องโหว่ Zero-Day ร้ายแรงใน Oracle อาจทำให้องค์กรถูกโจมตีมากกว่า 100 แห่ง

Google เปิดเผยว่ามีการโจมตีทางไซเบอร์ครั้งใหญ่ที่มุ่งเป้าไปที่ซอฟต์แวร์ระดับองค์กรของ Oracle ซึ่งส่งผลกระทบต่อองค์กรต่างๆ ทั่วโลกหลายสิบแห่งและอาจมากถึงกว่า 100 แห่ง นับเป็นการละเมิดข้อมูลองค์กรครั้งใหญ่ที่สุดครั้งหนึ่งของปี 2025 กลุ่มแรนซัมแวร์ CL0P ที่เชื่อมโยงกับรัสเซีย ได้ใช้ประโยชน์จากช่องโหว่ที่ยังไม่เคยถูกค้นพบมาก่อน (zero-day) เพื่อขโมยข้อมูลทางธุรกิจที่ละเอียดอ่อน และเรียกค่าไถ่เป็นเงินมูลค่าสูงถึง 50 ล้านดอลลาร์

แคมเปญการโจมตีครั้งนี้เริ่มต้นขึ้นตั้งแต่เดือนกรกฎาคม 2025 โดยมุ่งเป้าไปที่ Oracle E-Business Suite ซึ่งเป็นซอฟต์แวร์สำคัญที่องค์กรหลายพันแห่งใช้ในการจัดการด้านการเงิน, การประมวลผลเงินเดือน และการดำเนินงานของซัพพลายเชน Austin Larsen นักวิเคราะห์จาก Google กล่าวกับสื่อว่า “เราพบเหยื่อแล้วหลายสิบราย แต่คาดว่าจะมีอีกจำนวนมาก เมื่อพิจารณาจากขนาดของแคมเปญก่อนๆ ของ CL0P มีความเป็นไปได้สูงที่จำนวนเหยื่อจะเกินหนึ่งร้อยราย”

ช่องโหว่ร้ายแรงและการโจมตีที่ซับซ้อน

นักวิจัยด้านความปลอดภัยจาก Threat Intelligence Group ของ Google และ Mandiant ยืนยันว่า CL0P ได้ใช้ประโยชน์จากช่องโหว่ CVE-2025-61882 ซึ่งมีความรุนแรงระดับวิกฤต (CVSS score 9.8/10) ที่อนุญาตให้ผู้โจมตีสามารถสั่งรันโค้ดจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน การโจมตีครั้งแรกเกิดขึ้นในวันที่ 9 สิงหาคม 2025 หรือหลายสัปดาห์ก่อนที่ Oracle จะออกแพตช์ฉุกเฉินในวันที่ 4 ตุลาคม

“แนวโน้มการโจมตีระดับนี้บ่งชี้ว่าผู้โจมตีที่อยู่เบื้องหลังการบุกรุกครั้งแรกน่าจะทุ่มเททรัพยากรจำนวนมากในการศึกษาข้อมูลก่อนลงมือ” Google ระบุ ช่องโหว่นี้ส่งผลกระทบต่อ Oracle E-Business Suite ตั้งแต่เวอร์ชัน 12.2.3 ถึง 12.2.14 ทำให้ผู้โจมตีสามารถเข้าควบคุมระบบได้อย่างสมบูรณ์โดยไม่ต้องใช้ชื่อผู้ใช้หรือรหัสผ่าน

กระบวนการโจมตีของ CL0P มีความซับซ้อนสูง โดยเริ่มจากการหลบเลี่ยงการยืนยันตัวตนผ่าน SyncServlet ของ Oracle จากนั้นจึงอัปโหลดเทมเพลตที่เป็นอันตรายผ่าน XML Publisher Template Manager เพื่อสั่งการและติดตั้ง Backdoor สำหรับการเข้าถึงระบบในระยะยาว กลุ่มแฮกเกอร์ได้ขโมยข้อมูลที่ละเอียดอ่อนออกไปเป็นจำนวนมหาศาล ไม่ว่าจะเป็นข้อมูลบัญชีเงินเดือน, สัญญาคู่ค้า และธุรกรรมทางการเงิน ก่อนจะส่งอีเมลขู่กรรโชกไปยังผู้บริหารระดับสูงของบริษัทต่างๆ

ผลกระทบในวงกว้างและการรับมือ

การโจมตีครั้งนี้บีบให้หลายองค์กรต้องปิดเซิร์ฟเวอร์ ERP ของตนเองชั่วคราวเพื่อทำการวิเคราะห์ทางนิติวิทยาศาสตร์และติดตั้งแพตช์ ซึ่งส่งผลกระทบโดยตรงต่อระบบการจ่ายเงินเดือน, การจัดการคำสั่งซื้อ และการรายงานทางการเงิน นอกจากนี้ บางบริษัทยังประสบปัญหาในการติดตั้งแพตช์ล่าช้า เนื่องจากแพตช์ฉุกเฉินของ Oracle จำเป็นต้องให้ระบบติดตั้งแพตช์พื้นฐานตัวหนึ่งจากเดือนตุลาคม 2023 ให้เรียบร้อยเสียก่อน

Google ยืนยันว่า “ข้อมูลลูกค้าจำนวนมหาศาล” ถูกขโมยไปในแคมเปญนี้ ซึ่งอาจนำไปสู่การละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR และ CCPA สร้างความเสี่ยงทั้งด้านการเงินและชื่อเสียงให้กับองค์กรที่ได้รับผลกระทบ

หลังจากมีการเปิดเผยข้อมูลช่องโหว่สู่สาธารณะ สคริปต์สำหรับการโจมตีก็ได้เริ่มแพร่กระจายในโลกออนไลน์ ทำให้หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์อย่าง CISA ของสหรัฐฯ ต้องเพิ่ม CVE-2025-61882 เข้าไปในบัญชีรายชื่อช่องโหว่ที่ถูกใช้โจมตีแล้ว (Known Exploited Vulnerabilities) ทางด้าน Oracle ได้ออกมาเรียกร้องให้ลูกค้า E-Business Suite ทุกรายทำการติดตั้งแพตช์ฉุกเฉินโดยทันที เพื่อป้องกันการถูกโจมตีเพิ่มเติม

ที่มา

ที่มา