สรุปสั้น
กลุ่มแฮ็กเกอร์เปิดแคมเปญโจมตีอุปกรณ์ SonicWall Gen6 SSL-VPN แบบประสานงานเมื่อวันที่ 20 พฤษภาคม 2569 ด้วยการ brute-force รหัสผ่าน VPN แล้วข้ามระบบ MFA ผ่านช่องโหว่ CVE-2024-12802 ที่เกิดจากการแพตช์ไม่สมบูรณ์ ผู้โจมตีสามารถเข้าสู่เครือข่ายภายใน สำรวจระบบ ทดสอบ credential reuse และเข้าถึง file server ได้ภายใน 30 นาที จากนั้นติดตั้งเครื่องมือสำหรับโจมตี ransomware SonicWall เตือนว่าการอัปเดตเฟิร์มแวร์อย่างเดียวไม่เพียงพอ ต้องทำ manual reconfiguration อีก 6 ขั้นตอน
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 21 พฤษภาคม พ.ศ. 2569 ว่า ReliaQuest ตรวจพบแคมเปญโจมตีแบบประสานงานที่มุ่งเป้าไปยังอุปกรณ์ SonicWall Gen6 SSL-VPN ตั้งแต่วันที่ 20 พฤษภาคม ผู้โจมตีใช้การ brute-force รหัสผ่าน VPN แล้วข้าม MFA ได้สำเร็จแม้ว่าองค์กรจะเปิดใช้งาน MFA แล้วก็ตาม
สาเหตุมาจากช่องโหว่ CVE-2024-12802 ที่เกิดจาก MFA ไม่ถูกบังคับใช้เมื่อ login ด้วยรูปแบบ UPN (User Principal Name) ทำให้ผู้โจมตีที่มี credentials สามารถ authenticate ตรงและข้าม MFA ได้ แม้จะมีเฟิร์มแวร์อัปเดตแล้ว แต่ถ้าไม่ได้ทำ manual reconfiguration ของ LDAP server ตามคำแนะนำเพิ่มเติม ระบบยังคงมีช่องโหว่อยู่
ที่อันตรายคือ log ของระบบยังแสดงว่า MFA ทำงานปกติ ทำให้ผู้ดูแลระบบเชื่อว่า MFA ป้องกันได้ ทั้งที่จริงแล้วถูกข้ามไปแล้ว
วิธีการโจมตี
ผู้โจมตี brute-force รหัสผ่าน VPN โดยใช้รูปแบบ UPN เพื่อหลีกเลี่ยง MFA enforcement เมื่อเข้าสู่ระบบได้แล้ว ใช้เวลาเพียง 30-60 นาทีในการทำ network reconnaissance ทดสอบ credential reuse กับระบบภายใน และเข้าถึง file server ได้ภายใน 30 นาที จากนั้นติดตั้งเครื่องมือสำหรับ lateral movement เพื่อเตรียมการโจมตี ransomware ทั้งหมดนี้ดูเหมือน MFA flow ปกติใน log ทำให้ตรวจจับได้ยาก
ผลกระทบต่อไทย
SonicWall เป็นอุปกรณ์ firewall และ VPN ที่ใช้กันแพร่หลายในองค์กรขนาดกลางและขนาดย่อม (SME) ของไทย โดยเฉพาะรุ่น Gen6 ที่ยังใช้งานอยู่จำนวนมาก หลายองค์กรอาจอัปเดตเฟิร์มแวร์แล้วแต่ไม่ได้ทำขั้นตอน manual reconfiguration เพิ่มเติม ทำให้คิดว่าปลอดภัยแล้วทั้งที่ยังมีช่องโหว่อยู่ รุ่นที่ได้รับผลกระทบ ได้แก่ NSa 2700, 3700, 4700, 5700 และ 6700 ที่รัน SonicOS 7.0 ถึง 7.1.1
คำแนะนำ
- ตรวจสอบว่าอุปกรณ์ SonicWall Gen6 ได้อัปเดตเฟิร์มแวร์ล่าสุดแล้ว และทำตามขั้นตอน manual reconfiguration ครบทั้ง 6 ขั้นตอนตามคำแนะนำของ SonicWall
- ตรวจสอบ VPN log หาการ login ด้วยรูปแบบ UPN ที่ผิดปกติ โดยเฉพาะในช่วง 20-22 พฤษภาคม
- เปิดใช้งาน account lockout policy เพื่อป้องกัน brute-force
- พิจารณาจำกัดการเข้าถึง VPN จากเฉพาะ IP ที่อนุญาต หรือใช้ geo-blocking
- เฝ้าระวังสัญญาณ lateral movement และ ransomware precursor activity ภายในเครือข่าย
