สรุปสั้น
Trend Micro ออกแพตช์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ zero-day CVE-2026-34926 ใน Apex One เวอร์ชัน on-premises ที่ถูกโจมตีจริงแล้ว ช่องโหว่นี้เป็นปัญหา directory traversal บนเซิร์ฟเวอร์ Apex One ที่ให้ผู้โจมตีซึ่งมี admin credentials สามารถแก้ไขตาราง key บนเซิร์ฟเวอร์เพื่อฝังโค้ดอันตราย จากนั้นโค้ดจะถูกส่งไปติดตั้งบนทุก endpoint ที่ Apex One ดูแล ทำให้โครงสร้างพื้นฐานด้านความปลอดภัยขององค์กรกลายเป็นเครื่องมือโจมตี ทีมตอบสนองเหตุการณ์ของ TrendAI ตรวจพบช่องโหว่นี้จากการโจมตีจริง CISA ได้เพิ่มช่องโหว่นี้ลงในรายการ Known Exploited Vulnerabilities (KEV) และสั่งให้หน่วยงานรัฐบาลสหรัฐฯ แพตช์ภายในวันที่ 4 มิถุนายน
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 22 พฤษภาคม พ.ศ. 2569 ว่า Trend Micro ได้ออกคำเตือนเกี่ยวกับช่องโหว่ zero-day ใน Apex One เวอร์ชัน on-premises ที่ถูกโจมตีจริงแล้วในสภาพแวดล้อมขององค์กร
ช่องโหว่ CVE-2026-34926 ได้รับคะแนน CVSS 6.7 (Medium) เนื่องจากผู้โจมตีต้องมี admin credentials ของเซิร์ฟเวอร์ Apex One ก่อนจึงจะใช้ช่องโหว่ได้ อย่างไรก็ตาม ผลกระทบที่เกิดขึ้นมีความรุนแรงสูงมาก เพราะเมื่อโจมตีสำเร็จ ผู้โจมตีสามารถแพร่กระจายโค้ดอันตรายไปยังทุก endpoint ที่อยู่ภายใต้การดูแลของ Apex One ได้
ทีมตอบสนองเหตุการณ์ของ TrendAI ค้นพบช่องโหว่จากเหตุการณ์การโจมตีจริง โดย vendor ยืนยันว่าพบการพยายามโจมตีช่องโหว่นี้อย่างน้อย 1 ครั้ง CISA ตอบสนองด้วยการเพิ่ม CVE-2026-34926 เข้าสู่รายการ Known Exploited Vulnerabilities (KEV) Catalog พร้อมสั่งให้หน่วยงาน Federal Civilian Executive Branch (FCEB) แก้ไขช่องโหว่ภายในวันที่ 4 มิถุนายน พ.ศ. 2569
วิธีการโจมตี
ผู้โจมตีจะต้องได้ admin credentials ของเซิร์ฟเวอร์ Apex One มาก่อน (อาจผ่านการโจมตีรูปแบบอื่น เช่น phishing หรือ credential theft) จากนั้นใช้ช่องโหว่ directory traversal เพื่อแก้ไข key table บนเซิร์ฟเวอร์ ฝังโค้ดอันตรายเข้าไป เมื่อ Apex One เซิร์ฟเวอร์ส่งอัปเดตไปยัง endpoint agent ตามปกติ โค้ดอันตรายจะถูกส่งไปพร้อมกัน ทำให้ทุก endpoint ในองค์กรที่ติดตั้ง Apex One agent ถูกติดมัลแวร์พร้อมกัน กลายเป็นการเปลี่ยนระบบป้องกันให้เป็นอาวุธโจมตี
ช่องโหว่กระทบเฉพาะเวอร์ชัน on-premises เท่านั้น ไม่กระทบเวอร์ชัน cloud (Apex One as a Service)
ผลกระทบต่อไทย
Trend Micro Apex One เป็นโซลูชัน endpoint security ที่ใช้กันแพร่หลายในองค์กรขนาดกลางและขนาดใหญ่ของไทย โดยเฉพาะในภาคการเงิน ราชการ และโทรคมนาคม หลายองค์กรยังใช้เวอร์ชัน on-premises ซึ่งเป็นเวอร์ชันที่ได้รับผลกระทบ ความอันตรายอยู่ที่ช่องโหว่นี้เปลี่ยนเซิร์ฟเวอร์ Apex One ให้เป็นเครื่องมือแพร่กระจายมัลแวร์ไปยังทุก endpoint ในองค์กร ทำให้ระบบป้องกันกลายเป็นจุดอ่อนที่อันตรายที่สุด
คำแนะนำ
- ตรวจสอบว่า Apex One on-premises ได้รับแพตช์ล่าสุดจาก Trend Micro แล้ว หากยังไม่ได้อัปเดต ให้ดำเนินการทันที
- ตรวจสอบ admin credentials ของเซิร์ฟเวอร์ Apex One ว่ามีการเข้าถึงที่ผิดปกติหรือไม่ เปลี่ยนรหัสผ่าน admin ทันที
- ตรวจสอบ integrity ของ key table และไฟล์ที่เกี่ยวข้องบนเซิร์ฟเวอร์ Apex One
- เฝ้าระวัง endpoint ที่อยู่ภายใต้การดูแลของ Apex One ว่ามีพฤติกรรมผิดปกติหรือไม่
- พิจารณาย้ายไปใช้เวอร์ชัน cloud (Apex One as a Service) ที่ไม่ได้รับผลกระทบจากช่องโหว่นี้
