สรุปสั้น
CISA หน่วยงานความมั่นคงไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ ได้เพิ่มช่องโหว่ระดับสูงใน SolarWinds Serv-U ซอฟต์แวร์ file server แบบ multi-protocol เข้าสู่แคตตาล็อก Known Exploited Vulnerabilities (KEV) โดยอ้างหลักฐานว่ามีการโจมตีจริงเกิดขึ้นแล้ว
ช่องโหว่ที่ติดตามในชื่อ CVE-2026-28318 มีคะแนน CVSS 7.5 เป็นช่องโหว่ประเภท denial-of-service (DoS) ที่ทำให้บริการล่มภายใต้เงื่อนไขบางอย่าง CISA อธิบายว่าเป็นช่องโหว่ uncontrolled resource consumption ที่ส่งผลให้เกิดสภาวะ DoS
SolarWinds ระบุว่า Serv-U เสี่ยงต่อ POST request ที่สร้างขึ้นพิเศษซึ่งทำให้บริการ Serv-U ล่มได้โดยไม่ต้องยืนยันตัวตน ผ่านการใช้ header Content-Encoding: deflate ปัญหานี้ได้รับการแก้ไขแล้วใน Serv-U เวอร์ชัน 15.5.4 HF1 ปัจจุบันยังไม่มีรายละเอียดว่าใครอยู่เบื้องหลังการโจมตี หรือมีระบบที่เปิดสู่อินเทอร์เน็ตถูกโจมตีไปแล้วกี่เครื่อง
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 6 มิถุนายน พ.ศ. 2569 ว่า CISA ได้เพิ่ม CVE-2026-28318 เข้าสู่แคตตาล็อก KEV โดยอ้างถึงหลักฐานการโจมตีจริง ซึ่งเป็นการยืนยันว่าช่องโหว่นี้ไม่ใช่แค่ทฤษฎี แต่ถูกใช้งานโดยผู้ไม่ประสงค์ดีแล้ว
ช่องโหว่นี้เป็น DoS ที่เกิดจากการบริโภคทรัพยากรอย่างไม่มีการควบคุม ทำให้บริการ Serv-U หยุดทำงาน SolarWinds อธิบายในประกาศด้านความปลอดภัยที่ออกมาก่อนหน้าในสัปดาห์เดียวกันว่า Serv-U เปราะบางต่อ POST request ที่สร้างขึ้นพิเศษซึ่งใช้ Content-Encoding: deflate และสามารถทำให้บริการล่มได้โดยไม่ต้องผ่านการยืนยันตัวตน
ในฐานะมาตรการบรรเทา SolarWinds แนะนำให้จำกัดการเข้าถึงเฉพาะ address ที่รู้จัก และบล็อก request ใดๆ ที่มี header content-encoding เนื่องจากบริการที่เปราะบางนี้ไม่จำเป็นต้องใช้ฟังก์ชันดังกล่าว CISA ได้สั่งให้หน่วยงาน Federal Civilian Executive Branch (FCEB) แก้ไขช่องโหว่นี้ภายในวันที่ 19 มิถุนายน 2026 ทั้งนี้ในอดีต Serv-U เคยมีช่องโหว่หลายตัวที่ถูกใช้โจมตีโดยผู้ไม่ประสงค์ดี รวมถึงกลุ่มที่เชื่อมโยงกับแรนซัมแวร์ Cl0p ที่เคยเจาะ CVE-2021-35211 เพื่อเข้าถึงระบบในขั้นต้น
รายละเอียดช่องโหว่
CVE-2026-28318 จัดเป็นช่องโหว่ uncontrolled resource consumption ที่ผู้โจมตีจากระยะไกลใช้ POST request เพียงชุดเดียวพร้อม Content-Encoding: deflate เพื่อทำให้บริการ Serv-U ใช้ทรัพยากรจนล่ม จุดที่อันตรายคือการโจมตีไม่ต้องยืนยันตัวตน ทำให้ระบบที่เปิด port สู่อินเทอร์เน็ตสามารถถูกทำให้หยุดทำงานได้ทันทีโดยใครก็ได้ แม้ผลกระทบจะเป็น DoS ไม่ใช่การรันโค้ดหรือขโมยข้อมูลโดยตรง แต่สำหรับองค์กรที่พึ่งพา Serv-U ในการรับส่งไฟล์สำคัญ การที่บริการล่มซ้ำๆ ก็กระทบความต่อเนื่องทางธุรกิจได้อย่างมาก เนื่องจาก SolarWinds เป็นผลิตภัณฑ์ที่เคยตกเป็นเป้าของกลุ่มโจมตีระดับสูงและกลุ่มแรนซัมแวร์มาก่อน การที่ช่องโหว่นี้ถูกเพิ่มเข้า KEV จึงเป็นสัญญาณเตือนที่ต้องรีบดำเนินการ
ผลกระทบต่อไทย
SolarWinds Serv-U ถูกใช้ในองค์กรไทยหลายแห่งสำหรับการรับส่งไฟล์แบบ managed file transfer ทั้ง FTP, SFTP และ HTTPS โดยเฉพาะในภาคการเงิน หน่วยงานรัฐ และบริษัทที่ต้องแลกเปลี่ยนไฟล์กับคู่ค้าเป็นประจำ ระบบเหล่านี้มักถูกเปิด port สู่อินเทอร์เน็ตเพื่อให้คู่ค้าภายนอกเข้าถึงได้ ซึ่งทำให้ตกอยู่ในความเสี่ยงโดยตรงจากการโจมตีแบบ DoS ที่ไม่ต้องยืนยันตัวตน แม้คำสั่งของ CISA จะมีผลบังคับเฉพาะหน่วยงานรัฐสหรัฐฯ แต่แคตตาล็อก KEV ถือเป็นมาตรฐานสากลที่องค์กรไทยควรใช้จัดลำดับความสำคัญของการแพตช์ การที่ Serv-U เคยถูกกลุ่ม Cl0p ใช้เป็นจุดเข้าโจมตียิ่งตอกย้ำว่าต้องไม่ละเลย
คำแนะนำ
อัปเดต SolarWinds Serv-U เป็นเวอร์ชัน 15.5.4 HF1 หรือใหม่กว่าทันที เพื่อปิดช่องโหว่ CVE-2026-28318 หากยังไม่สามารถอัปเดตได้ ให้ใช้มาตรการบรรเทาด้วยการบล็อก request ที่มี header content-encoding ที่ firewall หรือ reverse proxy และจำกัดการเข้าถึงบริการเฉพาะ IP address ที่เชื่อถือได้เท่านั้น ทบทวนว่ามีความจำเป็นต้องเปิด Serv-U สู่อินเทอร์เน็ตโดยตรงหรือไม่ หากไม่จำเป็นควรวางไว้หลัง VPN ตรวจสอบ log ของบริการเพื่อหาร่องรอย request ที่ผิดปกติหรือการล่มซ้ำๆ และใช้แคตตาล็อก KEV ของ CISA เป็นเกณฑ์จัดลำดับความสำคัญในการแพตช์ระบบทั้งหมดขององค์กร
