CISA ยืนยันการโจมตีช่องโหว่ซอฟต์แวร์องค์กร 4 รายการ

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐอเมริกา ได้ออกคำเตือนเกี่ยวกับการโจมตีช่องโหว่ 4 รายการที่ส่งผลกระทบต่อซอฟต์แวร์องค์กรจาก Versa และ Zimbra รวมถึง Vite frontend tooling framework และ Prettier code formatter ช่องโหว่เหล่านี้ได้ถูกเพิ่มเข้าไปในรายการ Known Exploited Vulnerabilities (KEV) ของ CISA ซึ่งยืนยันว่ามีการโจมตีเกิดขึ้นจริงในวงกว้าง

Severity: วิกฤต

System Impact:

• Vite frontend tooling framework (CVE-2025-31125, กระทบเฉพาะ dev instances ที่เปิดเผยสู่เครือข่าย)
• Versa Concerto SD-WAN orchestration platform (CVE-2025-34026, รุ่น Concerto 12.1.2 ถึง 12.2.0 และอาจรวมถึงรุ่นอื่น ๆ)
• eslint-config-prettier package (CVE-2025-54313, npm package, รุ่นที่ได้รับผลกระทบ: 8.10.1, 9.1.1, 10.1.6, และ 10.1.7)
• Zimbra Collaboration Suite 10.0 และ 10.1 (CVE-2025-68645, ในส่วน Webmail Classic UI)

Technical Attack Steps:

1. CVE-2025-31125 (Vite): การควบคุมการเข้าถึงที่ไม่เหมาะสมบน dev instances ที่เปิดเผย ทำให้ผู้โจมตีสามารถเข้าถึงไฟล์ที่ไม่ได้รับอนุญาต
2. CVE-2025-34026 (Versa Concerto): การกำหนดค่า Traefik reverse proxy ที่ผิดพลาด นำไปสู่การข้ามการยืนยันตัวตน ทำให้สามารถเข้าถึงปลายทางสำหรับการบริหารจัดการได้ รวมถึง Actuator endpoint ภายใน ซึ่งเปิดเผย heap dumps และ trace logs
3. CVE-2025-54313 (eslint-config-prettier): การโจมตี Supply-chain โดยการเผยแพร่แพ็กเกจ npm ที่ถูกดัดแปลง (รุ่น 8.10.1, 9.1.1, 10.1.6, 10.1.7) ซึ่งเมื่อติดตั้งแล้วจะรันสคริปต์ install.js ที่เป็นอันตราย เพื่อติดตั้ง payload node-gyp.dll บน Windows เพื่อขโมยโทเค็นการยืนยันตัวตนของ npm
4. CVE-2025-68645 (Zimbra Collaboration): ช่องโหว่ Local file inclusion ใน Webmail Classic UI เกิดจากการจัดการพารามิเตอร์ที่ผู้ใช้ป้อนมาไม่ถูกต้องใน RestFilter servlet ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถใช้ประโยชน์จาก endpoint /h/rest เพื่อรวมไฟล์ที่กำหนดเองจากไดเรกทอรี WebRoot

Recommendations:

Short Term:

• ดำเนินการอัปเดตความปลอดภัยหรือใช้มาตรการบรรเทาที่ผู้จำหน่ายแนะนำทันที สำหรับหน่วยงานของรัฐบาลกลาง CISA กำหนดให้ดำเนินการภายในวันที่ 12 กุมภาพันธ์ 2026
• สำหรับ Vite: อัปเดตเป็นเวอร์ชัน 6.2.4, 6.1.3, 6.0.13, 5.4.16 และ 4.5.11
• สำหรับ Versa Concerto: ใช้แพตช์ที่แก้ไขแล้วตั้งแต่วันที่ 7 มีนาคม 2025
• สำหรับ eslint-config-prettier: หลีกเลี่ยงการใช้เวอร์ชันที่ได้รับผลกระทบ (8.10.1, 9.1.1, 10.1.6, และ 10.1.7) และตรวจสอบให้แน่ใจว่าใช้เฉพาะเวอร์ชันที่ถูกต้องเท่านั้น
• สำหรับ Zimbra Collaboration Suite: ใช้แพตช์หรือมาตรการบรรเทาโดยเร็วที่สุด

Long Term:

• ติดตามรายการ Known Exploited Vulnerabilities (KEV) ของ CISA อย่างสม่ำเสมอ เพื่อรับทราบช่องโหว่ที่ถูกโจมตีใหม่
• ใช้แนวทางปฏิบัติด้านความปลอดภัยสำหรับ Supply-chain ที่แข็งแกร่งสำหรับซอฟต์แวร์และไลบรารีของบุคคลที่สาม
• ทำการตรวจสอบความปลอดภัยและทดสอบการเจาะระบบ (penetration testing) สำหรับซอฟต์แวร์องค์กรเป็นประจำ
• ตรวจสอบการกำหนดค่า reverse proxies และการควบคุมการเข้าถึงอย่างเหมาะสม
• รักษารายการซอฟต์แวร์และเวอร์ชันให้เป็นปัจจุบันอยู่เสมอ เพื่อระบุสินทรัพย์ที่ได้รับผลกระทบได้อย่างรวดเร็ว

Source: https://www.bleepingcomputer.com/news/security/cisa-confirms-active-exploitation-of-four-enterprise-software-bugs/