“SolarWinds แพตช์รอบที่ 3 ยังแก้ไม่ขาด — ช่องโหว่ Java Deserialization ใน Web Help Desk ถูกเจาะซ้ำซ้อนแบบไม่ต้องล็อกอิน”
SolarWinds กลับมาเป็นข่าวอีกครั้งในเดือนกันยายน 2025 หลังจากออกแพตช์รอบที่สามเพื่อแก้ไขช่องโหว่เดิมในผลิตภัณฑ์ Web Help Desk ซึ่งเป็นระบบจัดการงานบริการ IT ที่ใช้กันอย่างแพร่หลายทั้งในองค์กรเอกชนและภาครัฐ ช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-26399 และเป็นการ “แพตช์ช่องโหว่ที่หลุดจากแพตช์ก่อนหน้า” ถึงสองรอบ
ต้นตอของปัญหาคือการจัดการ Java deserialization ที่ไม่ปลอดภัยใน component ชื่อว่า AjaxProxy ซึ่งเปิดช่องให้ผู้โจมตีสามารถส่งข้อมูลที่ถูกจัดรูปแบบพิเศษเข้ามา แล้วให้ระบบถอดรหัสและรันคำสั่งโดยไม่ต้องผ่านการยืนยันตัวตนใด ๆ — นี่คือ Remote Code Execution (RCE) แบบเต็มรูปแบบ
ช่องโหว่นี้มีคะแนนความรุนแรง CVSS สูงถึง 9.8 เต็ม 10 และเป็นการต่อเนื่องจาก CVE-2024-28986 และ CVE-2024-28988 ซึ่งถูกเจาะและแพตช์ไปแล้วในปี 2024 แต่กลับพบว่าการแก้ไขไม่ครอบคลุม ทำให้ Trend Micro ZDI พบช่องทางใหม่ในการเจาะซ้ำ และรายงานให้ SolarWinds อีกครั้งในปีนี้
แม้ยังไม่มีรายงานการโจมตีจริงในช่องโหว่ล่าสุด แต่ผู้เชี่ยวชาญด้านภัยคุกคาม Ryan Dewhurst จาก watchTowr เตือนว่า “จากประวัติที่ผ่านมา การเจาะระบบในโลกจริงน่าจะเกิดขึ้นเร็ว ๆ นี้” โดยเฉพาะเมื่อช่องโหว่นี้ไม่ต้องล็อกอิน และสามารถยิงคำสั่งจากภายนอกได้ทันที
นักวิจัยยังชี้ว่า สาเหตุที่แพตช์ถูกเจาะซ้ำหลายครั้ง เป็นเพราะ SolarWinds ใช้แนวทาง “blacklist input” ซึ่งบล็อกเฉพาะรูปแบบข้อมูลที่เคยถูกใช้ในการโจมตี แต่ไม่ได้แก้ที่ต้นตอของปัญหา ทำให้ผู้โจมตีสามารถเปลี่ยนรูปแบบ payload แล้วเจาะผ่านช่องทางเดิมได้อีก
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-26399 เป็นการเจาะผ่าน Java deserialization ใน AjaxProxy component
เป็นช่องโหว่แบบ Remote Code Execution ที่ไม่ต้องล็อกอิน
มีคะแนน CVSS 9.8 เต็ม 10 ถือว่ารุนแรงมาก
เป็นการเจาะซ้ำจากช่องโหว่เดิม CVE-2024-28986 และ CVE-2024-28988
แพตช์รอบที่สามออกใน Web Help Desk เวอร์ชัน 12.8.7 Hotfix 1
ช่องโหว่ถูกค้นพบโดยนักวิจัยจาก Trend Micro ZDI
SolarWinds ยืนยันว่าแพตช์ล่าสุดยังไม่มีรายงานการโจมตีจริง
Ryan Dewhurst เตือนว่า “การเจาะในโลกจริงน่าจะเกิดขึ้นเร็ว ๆ นี้”
การแก้ไขแบบ blacklist input ไม่สามารถป้องกันการเจาะในระยะยาวได้
ข้อมูลเสริมจากภายนอก
Java deserialization เป็นช่องโหว่ที่พบได้บ่อยในแอปพลิเคชันองค์กร
CWE-502 คือรหัสมาตรฐานที่ระบุถึงการ deserialization ของข้อมูลที่ไม่เชื่อถือ
การโจมตีลักษณะนี้สามารถใช้ payload ที่เปลี่ยนรูปแบบเพื่อหลบหลีกการตรวจจับ
Web Help Desk เป็นระบบ ITSM ที่ใช้ในองค์กรทั่วโลก ทั้งด้าน ticketing และ asset management
SolarWinds เคยถูกเจาะในปี 2020 จาก supply chain attack ที่มีผลกระทบระดับโลก
https://www.csoonline.com/article/4061929/solarwinds-fixes-web-help-desk-patch-bypass-for-actively-exploited-flaw-again.html
SolarWinds กลับมาเป็นข่าวอีกครั้งในเดือนกันยายน 2025 หลังจากออกแพตช์รอบที่สามเพื่อแก้ไขช่องโหว่เดิมในผลิตภัณฑ์ Web Help Desk ซึ่งเป็นระบบจัดการงานบริการ IT ที่ใช้กันอย่างแพร่หลายทั้งในองค์กรเอกชนและภาครัฐ ช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-26399 และเป็นการ “แพตช์ช่องโหว่ที่หลุดจากแพตช์ก่อนหน้า” ถึงสองรอบ
ต้นตอของปัญหาคือการจัดการ Java deserialization ที่ไม่ปลอดภัยใน component ชื่อว่า AjaxProxy ซึ่งเปิดช่องให้ผู้โจมตีสามารถส่งข้อมูลที่ถูกจัดรูปแบบพิเศษเข้ามา แล้วให้ระบบถอดรหัสและรันคำสั่งโดยไม่ต้องผ่านการยืนยันตัวตนใด ๆ — นี่คือ Remote Code Execution (RCE) แบบเต็มรูปแบบ
ช่องโหว่นี้มีคะแนนความรุนแรง CVSS สูงถึง 9.8 เต็ม 10 และเป็นการต่อเนื่องจาก CVE-2024-28986 และ CVE-2024-28988 ซึ่งถูกเจาะและแพตช์ไปแล้วในปี 2024 แต่กลับพบว่าการแก้ไขไม่ครอบคลุม ทำให้ Trend Micro ZDI พบช่องทางใหม่ในการเจาะซ้ำ และรายงานให้ SolarWinds อีกครั้งในปีนี้
แม้ยังไม่มีรายงานการโจมตีจริงในช่องโหว่ล่าสุด แต่ผู้เชี่ยวชาญด้านภัยคุกคาม Ryan Dewhurst จาก watchTowr เตือนว่า “จากประวัติที่ผ่านมา การเจาะระบบในโลกจริงน่าจะเกิดขึ้นเร็ว ๆ นี้” โดยเฉพาะเมื่อช่องโหว่นี้ไม่ต้องล็อกอิน และสามารถยิงคำสั่งจากภายนอกได้ทันที
นักวิจัยยังชี้ว่า สาเหตุที่แพตช์ถูกเจาะซ้ำหลายครั้ง เป็นเพราะ SolarWinds ใช้แนวทาง “blacklist input” ซึ่งบล็อกเฉพาะรูปแบบข้อมูลที่เคยถูกใช้ในการโจมตี แต่ไม่ได้แก้ที่ต้นตอของปัญหา ทำให้ผู้โจมตีสามารถเปลี่ยนรูปแบบ payload แล้วเจาะผ่านช่องทางเดิมได้อีก
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-26399 เป็นการเจาะผ่าน Java deserialization ใน AjaxProxy component
เป็นช่องโหว่แบบ Remote Code Execution ที่ไม่ต้องล็อกอิน
มีคะแนน CVSS 9.8 เต็ม 10 ถือว่ารุนแรงมาก
เป็นการเจาะซ้ำจากช่องโหว่เดิม CVE-2024-28986 และ CVE-2024-28988
แพตช์รอบที่สามออกใน Web Help Desk เวอร์ชัน 12.8.7 Hotfix 1
ช่องโหว่ถูกค้นพบโดยนักวิจัยจาก Trend Micro ZDI
SolarWinds ยืนยันว่าแพตช์ล่าสุดยังไม่มีรายงานการโจมตีจริง
Ryan Dewhurst เตือนว่า “การเจาะในโลกจริงน่าจะเกิดขึ้นเร็ว ๆ นี้”
การแก้ไขแบบ blacklist input ไม่สามารถป้องกันการเจาะในระยะยาวได้
ข้อมูลเสริมจากภายนอก
Java deserialization เป็นช่องโหว่ที่พบได้บ่อยในแอปพลิเคชันองค์กร
CWE-502 คือรหัสมาตรฐานที่ระบุถึงการ deserialization ของข้อมูลที่ไม่เชื่อถือ
การโจมตีลักษณะนี้สามารถใช้ payload ที่เปลี่ยนรูปแบบเพื่อหลบหลีกการตรวจจับ
Web Help Desk เป็นระบบ ITSM ที่ใช้ในองค์กรทั่วโลก ทั้งด้าน ticketing และ asset management
SolarWinds เคยถูกเจาะในปี 2020 จาก supply chain attack ที่มีผลกระทบระดับโลก
https://www.csoonline.com/article/4061929/solarwinds-fixes-web-help-desk-patch-bypass-for-actively-exploited-flaw-again.html
🛠️ “SolarWinds แพตช์รอบที่ 3 ยังแก้ไม่ขาด — ช่องโหว่ Java Deserialization ใน Web Help Desk ถูกเจาะซ้ำซ้อนแบบไม่ต้องล็อกอิน”
SolarWinds กลับมาเป็นข่าวอีกครั้งในเดือนกันยายน 2025 หลังจากออกแพตช์รอบที่สามเพื่อแก้ไขช่องโหว่เดิมในผลิตภัณฑ์ Web Help Desk ซึ่งเป็นระบบจัดการงานบริการ IT ที่ใช้กันอย่างแพร่หลายทั้งในองค์กรเอกชนและภาครัฐ ช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-26399 และเป็นการ “แพตช์ช่องโหว่ที่หลุดจากแพตช์ก่อนหน้า” ถึงสองรอบ
ต้นตอของปัญหาคือการจัดการ Java deserialization ที่ไม่ปลอดภัยใน component ชื่อว่า AjaxProxy ซึ่งเปิดช่องให้ผู้โจมตีสามารถส่งข้อมูลที่ถูกจัดรูปแบบพิเศษเข้ามา แล้วให้ระบบถอดรหัสและรันคำสั่งโดยไม่ต้องผ่านการยืนยันตัวตนใด ๆ — นี่คือ Remote Code Execution (RCE) แบบเต็มรูปแบบ
ช่องโหว่นี้มีคะแนนความรุนแรง CVSS สูงถึง 9.8 เต็ม 10 และเป็นการต่อเนื่องจาก CVE-2024-28986 และ CVE-2024-28988 ซึ่งถูกเจาะและแพตช์ไปแล้วในปี 2024 แต่กลับพบว่าการแก้ไขไม่ครอบคลุม ทำให้ Trend Micro ZDI พบช่องทางใหม่ในการเจาะซ้ำ และรายงานให้ SolarWinds อีกครั้งในปีนี้
แม้ยังไม่มีรายงานการโจมตีจริงในช่องโหว่ล่าสุด แต่ผู้เชี่ยวชาญด้านภัยคุกคาม Ryan Dewhurst จาก watchTowr เตือนว่า “จากประวัติที่ผ่านมา การเจาะระบบในโลกจริงน่าจะเกิดขึ้นเร็ว ๆ นี้” โดยเฉพาะเมื่อช่องโหว่นี้ไม่ต้องล็อกอิน และสามารถยิงคำสั่งจากภายนอกได้ทันที
นักวิจัยยังชี้ว่า สาเหตุที่แพตช์ถูกเจาะซ้ำหลายครั้ง เป็นเพราะ SolarWinds ใช้แนวทาง “blacklist input” ซึ่งบล็อกเฉพาะรูปแบบข้อมูลที่เคยถูกใช้ในการโจมตี แต่ไม่ได้แก้ที่ต้นตอของปัญหา ทำให้ผู้โจมตีสามารถเปลี่ยนรูปแบบ payload แล้วเจาะผ่านช่องทางเดิมได้อีก
✅ ข้อมูลสำคัญจากข่าว
➡️ ช่องโหว่ CVE-2025-26399 เป็นการเจาะผ่าน Java deserialization ใน AjaxProxy component
➡️ เป็นช่องโหว่แบบ Remote Code Execution ที่ไม่ต้องล็อกอิน
➡️ มีคะแนน CVSS 9.8 เต็ม 10 ถือว่ารุนแรงมาก
➡️ เป็นการเจาะซ้ำจากช่องโหว่เดิม CVE-2024-28986 และ CVE-2024-28988
➡️ แพตช์รอบที่สามออกใน Web Help Desk เวอร์ชัน 12.8.7 Hotfix 1
➡️ ช่องโหว่ถูกค้นพบโดยนักวิจัยจาก Trend Micro ZDI
➡️ SolarWinds ยืนยันว่าแพตช์ล่าสุดยังไม่มีรายงานการโจมตีจริง
➡️ Ryan Dewhurst เตือนว่า “การเจาะในโลกจริงน่าจะเกิดขึ้นเร็ว ๆ นี้”
➡️ การแก้ไขแบบ blacklist input ไม่สามารถป้องกันการเจาะในระยะยาวได้
✅ ข้อมูลเสริมจากภายนอก
➡️ Java deserialization เป็นช่องโหว่ที่พบได้บ่อยในแอปพลิเคชันองค์กร
➡️ CWE-502 คือรหัสมาตรฐานที่ระบุถึงการ deserialization ของข้อมูลที่ไม่เชื่อถือ
➡️ การโจมตีลักษณะนี้สามารถใช้ payload ที่เปลี่ยนรูปแบบเพื่อหลบหลีกการตรวจจับ
➡️ Web Help Desk เป็นระบบ ITSM ที่ใช้ในองค์กรทั่วโลก ทั้งด้าน ticketing และ asset management
➡️ SolarWinds เคยถูกเจาะในปี 2020 จาก supply chain attack ที่มีผลกระทบระดับโลก
https://www.csoonline.com/article/4061929/solarwinds-fixes-web-help-desk-patch-bypass-for-actively-exploited-flaw-again.html
0 Comments
0 Shares
41 Views
0 Reviews
Thai