CISA ได้สั่งการให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ดำเนินการรักษาความปลอดภัยระบบของตนจากช่องโหว่ร้ายแรงใน Microsoft Configuration Manager (ConfigMgr/SCCM) ซึ่งได้รับการแก้ไขไปแล้วเมื่อเดือนตุลาคม 2024 แต่ขณะนี้ถูกนำไปใช้ในการโจมตีแล้ว
Severity: วิกฤต
System Impact:
- Microsoft Configuration Manager (ConfigMgr หรือ SCCM)
- Windows servers
- Workstations
- ฐานข้อมูลไซต์ Microsoft Configuration Manager
Technical Attack Steps:
- ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน (unauthenticated attacker) สามารถส่งคำขอที่สร้างขึ้นมาเป็นพิเศษไปยังสภาพแวดล้อมเป้าหมาย
- คำขอดังกล่าวจะถูกประมวลผลอย่างไม่ปลอดภัย ทำให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่ SQL Injection (CVE-2024-43468)
- ผู้โจมตีสามารถดำเนินการโค้ดจากระยะไกล (Remote Code Execution – RCE) และรันคำสั่งใด ๆ ด้วยสิทธิ์ระดับสูงสุดบนเซิร์ฟเวอร์และ/หรือฐานข้อมูลไซต์ Microsoft Configuration Manager
Recommendations:
Short Term:
- หน่วยงานรัฐบาลกลางสหรัฐฯ ต้องทำการแพตช์ระบบภายในวันที่ 5 มีนาคม 2026 ตามคำสั่ง Binding Operational Directive (BOD) 22-01
- ใช้การบรรเทาผลกระทบตามคำแนะนำของผู้จำหน่าย (Microsoft)
- หากไม่มีการบรรเทาผลกระทบ ให้พิจารณาหยุดใช้ผลิตภัณฑ์
Long Term:
- ผู้ดูแลระบบเครือข่ายทั้งหมด รวมถึงภาคเอกชน ควรดำเนินการรักษาความปลอดภัยอุปกรณ์ของตนจากการโจมตี CVE-2024-43468 โดยเร็วที่สุด
Share this content: