Cybersec News

CyberSec

SonicWall SMA 100 Series ที่กำลังถูกโจมตีอย่างหนักในขณะนี้

Bysecnewsadmin

Dec 19, 2025

SonicWall ได้ออกประกาศแจ้งเตือนและปล่อยแพตช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ความรุนแรงระดับวิกฤต CVE-2025-40602 ซึ่งพบในอุปกรณ์ SMA 100 Series โดยช่องโหว่นี้ได้รับการยืนยันว่ามีการนำไปใช้โจมตีจริงในโลกไซเบอร์ (Actively Exploited) ช่องโหว่ดังกล่าวเปิดโอกาสให้ผู้ไม่หวังดีสามารถเข้าควบคุมระบบได้จากระยะไกลโดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งถือเป็นภัยคุกคามร้ายแรงต่อโครงสร้างพื้นฐานขององค์กรที่ใช้งานอุปกรณ์รุ่นดังกล่าว

Severity (ระดับความรุนแรง)

  • วิกฤต (Critical): คะแนน CVSS สูงถึง 9.8/10 เนื่องจากสามารถโจมตีได้จากระยะไกล (Remote) และไม่ต้องใช้สิทธิ์ในการเข้าถึง (Unauthenticated)

System Impact (ผลกระทบต่อระบบ)

ช่องโหว่นี้กระทบต่ออุปกรณ์ SonicWall Secure Mobile Access (SMA) 100 Series ซึ่งรวมถึง:

  • Physical Appliances: SMA 210, SMA 410
  • Virtual Appliances: SMA 500v
  • Firmware Version: รุ่นที่ต่ำกว่า 10.2.2.1-92sv

Malware หรือ Threat Actor ที่เกี่ยวข้อง

  • Threat Actor: ยังไม่มีการระบุกลุ่มที่ชัดเจนในรายงานฉบับนี้ แต่ที่ผ่านมากลุ่ม Ransomware เช่น Akira มักตั้งเป้าโจมตีช่องโหว่บนอุปกรณ์ SonicWall เพื่อใช้เป็นทางผ่านเข้าสู่เครือข่ายภายใน
  • Associated Malware: มีรายงานการตรวจพบการติดตั้ง Rootkit (เช่น OVERSTEP) ในบางกรณีเพื่อรักษาการเข้าถึงระบบอย่างถาวร (Persistence)

ขั้นตอนการโจมตีทางเทคนิค (Step-by-Step)

  1. Reconnaissance: ผู้โจมตีทำการสแกนหาอุปกรณ์ SMA 100 ที่เชื่อมต่อกับอินเทอร์เน็ตและยังไม่ได้อัปเดตแพตช์
  2. Exploitation: ส่ง Request ที่ถูกสร้างขึ้นเป็นพิเศษไปยังช่องโหว่ในส่วนของ Web Management Interface
  3. Code Execution: ช่องโหว่ประเภท Stack-based Buffer Overflow หรือ Pre-auth RCE ช่วยให้ผู้โจมตีสามารถรันคำสั่งในระดับระบบ (Root/Admin)
  4. Payload Delivery: ติดตั้งมัลแวร์หรือสร้าง Backdoor เพื่อขโมยข้อมูล Session, รหัสผ่าน หรือเตรียมการโจมตีในระดับถัดไป (Lateral Movement)

คำแนะนำการรับมือและป้องกัน

Short Term (เร่งด่วน):

  • Update Firmware: อัปเดตเป็นเวอร์ชัน 10.2.2.1-92sv หรือสูงกว่าทันที
  • Restrict Access: จำกัดการเข้าถึงหน้าจัดการ (Management Interface) ให้เข้าได้เฉพาะจาก IP ที่เชื่อถือได้เท่านั้น (Allow-listing)
  • Enable MFA: บังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับผู้ใช้ทุกคน โดยเฉพาะบัญชี Admin

Long Term (ระยะยาว):

  • Vulnerability Management: ตรวจสอบและอัปเดตอุปกรณ์ Network Perimeter อย่างสม่ำเสมอ เนื่องจากเป็นเป้าหมายหลักของกลุ่ม Ransomware
  • Log Monitoring: ตั้งค่าการส่ง Log ไปยังระบบ Centralized Logging (เช่น SIEM) เพื่อตรวจหาพฤติกรรมผิดปกติ เช่น การล็อกอินที่น่าสงสัย หรือการแก้ไขไฟล์ระบบ
  • Zero Trust Architecture: พิจารณาเปลี่ยนจากการใช้ Client-based VPN แบบเดิมไปสู่โมเดล Zero Trust Network Access (ZTNA) เพื่อลดพื้นผิวการโจมตี

แหล่งที่มาของข่าว

Share this content:

By secnewsadmin

Related Post

CyberSec

ช่องโหว่ React RSC เปิดทางสู่ SSRF และ RCE

Dec 19, 2025 secnewsadmin
CyberSec

การโจมตี Supply Chain ของ React2Shell: การใช้ประโยชน์ยกระดับไปสู่การขโมยข้อมูลและควบคุมระยะไกล

Dec 19, 2025 secnewsadmin
CyberSec

ช่องโหว่ระดับวิกฤตใน HPE OneView (CVSS 10.0)

Dec 19, 2025 secnewsadmin

Leave a Reply

Your email address will not be published. Required fields are marked *

You missed

CyberSec

ช่องโหว่ React RSC เปิดทางสู่ SSRF และ RCE

December 19, 2025 secnewsadmin
CyberSec

การโจมตี Supply Chain ของ React2Shell: การใช้ประโยชน์ยกระดับไปสู่การขโมยข้อมูลและควบคุมระยะไกล

December 19, 2025 secnewsadmin
CyberSec

SonicWall SMA 100 Series ที่กำลังถูกโจมตีอย่างหนักในขณะนี้

December 19, 2025 secnewsadmin
CyberSec

ช่องโหว่ระดับวิกฤตใน HPE OneView (CVSS 10.0)

December 19, 2025 secnewsadmin