Broadcom โดนแรนซัมแวร์ Clop เล่นงาน ผ่านช่องโหว่ Zero-Day ใน Oracle E-Business Suite แฮกเกอร์ขู่เผยข้อมูลสำคัญ
กลุ่มแรนซัมแวร์ชื่อดัง Cl0p ออกมาประกาศรับผิดชอบการเจาะระบบภายในของ Broadcom ยักษ์ใหญ่ด้านเซมิคอนดักเตอร์และซอฟต์แวร์โครงสร้างพื้นฐาน โดยใช้ช่องโหว่ Zero-Day ร้ายแรงใน Oracle E-Business Suite เป็นช่องทางโจมตี ทำให้ Broadcom กลายเป็นเหยื่อรายล่าสุดในแคมเปญกรรโชกขนาดใหญ่ที่เริ่มต้นตั้งแต่ปลายเดือนกันยายน 2025
ช่องโหว่วิกฤติคะแนนเกือบเต็ม 10
การโจมตีครั้งนี้ใช้ประโยชน์จากช่องโหว่ CVE-2025-61882 ซึ่งได้รับคะแนนความรุนแรง 9.8 จาก 10 ตามมาตรฐาน CVSS ช่องโหว่นี้อยู่ในส่วน Business Intelligence Publisher Integration ภายในระบบ Concurrent Processing ของ Oracle E-Business Suite ทำให้แฮกเกอร์สามารถเข้าถึงและรันโค้ดได้โดยไม่ต้องมีการยืนยันตัวตนใดๆ ช่องโหว่ส่งผลกระทบต่อ Oracle E-Business Suite เวอร์ชัน 12.2.3 ถึง 12.2.14
โจมตีตั้งแต่ก่อนมีแพตช์
ที่น่าตกใจคือทีมนักวิจัยจาก Google Threat Intelligence Group และ Mandiant ติดตามกิจกรรมการโจมตีย้อนหลังพบว่า กลุ่ม Cl0p เริ่มลงมือโจมตีตั้งแต่วันที่ 9 สิงหาคม 2025 ซึ่งเป็นช่วงหลายสัปดาห์ก่อนที่ Oracle จะปล่อยแพตช์แก้ไข โดยมีกิจกรรมน่าสงสัยย้อนหลังไปถึงวันที่ 10 กรกฎาคม 2025 กลุ่มแฮกเกอร์ใช้เวลารวบรวมข้อมูลและเคลื่อนย้ายภายในเครือข่ายเหยื่อก่อนจะเริ่มส่งอีเมลขู่กรรโชกไปยังผู้บริหารของหลายบริษัทพร้อมกันในเดือนกันยายน
ข้อมูลอะไรรั่วไหล
กลุ่ม Cl0p อ้างว่าได้เข้าถึงข้อมูลสำคัญหลายประเภท ได้แก่ ไฟล์เก็บถาวรของระบบ ERP เอกสารการออกแบบ และข้อมูลเซมิคอนดักเตอร์ที่เป็นความลับ เนื่องจาก Broadcom มีบทบาทสำคัญในธุรกิจโทรคมนาคม ศูนย์ข้อมูล และการผลิตชิปเร่งความเร็ว AI การรั่วไหลของเอกสารภายในอาจส่งผลกระทบต่อความปลอดภัยของห่วงโซ่อุปทานและระบบนิเวศพันธมิตรทางธุรกิจ
แคมเปญโจมตีนี้ไม่ได้มุ่งเป้าเฉพาะ Broadcom เท่านั้น ตามรายงานล่าสุดกลุ่ม Cl0p ได้โพสต์รายชื่อเหยื่อบนเว็บไซต์รั่วไหลข้อมูลของพวกเขาอย่างน้อย 29 องค์กร กลุ่มแฮกเกอร์ใช้กลยุทธ์ซื้อบัญชีอีเมลที่ถูกแฮกจากตลาดมืดที่จำหน่ายข้อมูลจาก Infostealer เพื่อหลบเลี่ยงตัวกรองสแปมและทำให้อีเมลขู่กรรโชกดูน่าเชื่อถือมากขึ้น
Oracle ปล่อยแพตช์แก้ไขแล้ว
Oracle ได้ปล่อยแพตช์แก้ไขเร่งด่วนในเดือนตุลาคม 2024 อย่างไรก็ตาม องค์กรที่ยังใช้ Oracle E-Business Suite เวอร์ชันเก่าและยังไม่ได้อัปเดตแพตช์ยังคงเสี่ยงต่อการถูกโจมตี ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ติดตั้งแพตช์ทันที และเพิ่มการตรวจสอบกิจกรรม POST Request ที่น่าสงสัยไปยัง endpoint /OA_HTML/SyncServlet ซึ่งเป็นสัญญาณชัดเจนของการถูกบุกรุก
Broadcom ยืนยันแก้ไขแล้ว
โฆษกของ Broadcom ให้สัมภาษณ์กับ Cybersecuritynews.com ว่า “Broadcom ใช้ Oracle E-Business Suite สำหรับการดำเนินการทางการเงินภายในบางส่วน เช่นเดียวกับองค์กรอื่นๆ ที่ใช้ซอฟต์แวร์นี้ Broadcom ถูกกลุ่มอาชญากรไซเบอร์โจมตีโดยใช้ประโยชน์จากช่องโหว่ Zero-Day ในผลิตภัณฑ์ของ Oracle ทาง Broadcom ได้ตรวจสอบระบบ Oracle อย่างละเอียดและติดตั้งแพตช์แก้ไขแล้ว”
บริษัทยังยืนยันว่า “การดำเนินงานของ Broadcom ไม่ได้รับผลกระทบ และเรามั่นใจในความถูกต้องของข้อมูลทางการเงินของเรา หากข้อมูลประเภทจำกัดที่ประมวลผลใน Oracle ถูกเปิดเผยโดยผิดกฎหมาย เราคาดว่าจะไม่ก่อให้เกิดความเสี่ยงที่สำคัญต่อลูกค้า ผู้ขาย พันธมิตร หรือพนักงานของเรา”