สรุปสั้น
หน่วยงาน CISA ของสหรัฐฯ เพิ่มช่องโหว่ CVE-2024-21182 (CVSS 7.5) ใน Oracle WebLogic Server เข้าแคตตาล็อก Known Exploited Vulnerabilities (KEV) เมื่อวันที่ 1 มิถุนายน พ.ศ. 2569 หลังพบหลักฐานว่ามีการโจมตีจริงแล้ว ช่องโหว่นี้ถูก Oracle แพตช์ตั้งแต่เดือนกรกฎาคม พ.ศ. 2567 แต่เซิร์ฟเวอร์จำนวนมากยังไม่ได้ติดตั้งแพตช์ ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถใช้ช่องโหว่ผ่านโปรโตคอล T3 หรือ IIOP เพื่อเข้าถึงข้อมูลสำคัญทั้งหมดบนเซิร์ฟเวอร์ได้ CISA กำหนดให้หน่วยงานรัฐบาลกลางแพตช์ภายใน 4 มิถุนายน
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 2 มิถุนายน พ.ศ. 2569 ว่า CISA เพิ่มช่องโหว่ CVE-2024-21182 ใน Oracle WebLogic Server เข้าแคตตาล็อก KEV ตามหลักฐานการโจมตีจริง ช่องโหว่นี้ถูกแพตช์โดย Oracle ในชุดอัปเดต Critical Patch Update เดือนกรกฎาคม พ.ศ. 2567 แต่ผ่านมาเกือบ 2 ปีแล้วยังมีเซิร์ฟเวอร์ที่ไม่ได้ติดตั้งแพตช์
แม้ยังไม่มีรายงานสาธารณะว่าช่องโหว่ถูกใช้โจมตีในรูปแบบใด แต่ในอดีตช่องโหว่ของ WebLogic ถูกใช้อย่างกว้างขวางโดยกลุ่มภัยคุกคามหลายกลุ่มเพื่อสร้างบอตเน็ต ขุดคริปโตเคอร์เรนซี และปล่อยแรนซัมแวร์ เมื่อเดือนมีนาคม พ.ศ. 2569 CloudSEK ยังเปิดเผยว่าช่องโหว่อีกตัวใน WebLogic คือ CVE-2026-21962 (CVSS 10.0) ถูกโจมตีอัตโนมัติทันทีหลังมี exploit code เผยแพร่
CISA กำหนดให้หน่วยงาน Federal Civilian Executive Branch (FCEB) ต้องแพตช์ภายใน 4 มิถุนายน พ.ศ. 2569
รายละเอียดช่องโหว่
CVE-2024-21182 มี CVSS score 7.5 (High) เป็นช่องโหว่ที่ไม่ระบุรายละเอียดเฉพาะ (unspecified vulnerability) ใน Oracle WebLogic Server ผู้โจมตีที่ไม่ต้องยืนยันตัวตน (unauthenticated) สามารถใช้ช่องทางเครือข่ายผ่านโปรโตคอล T3 หรือ IIOP เพื่อยึดครอง WebLogic Server ได้ ผลลัพธ์คือสามารถเข้าถึงข้อมูลสำคัญหรือเข้าถึงข้อมูลทั้งหมดบนเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต
โปรโตคอล T3 เป็นโปรโตคอลเฉพาะของ WebLogic สำหรับการสื่อสารระหว่างเซิร์ฟเวอร์ ส่วน IIOP ใช้สำหรับ CORBA ทั้งสองมักเปิดใช้งานเป็นค่าเริ่มต้นและถูกใช้เป็นช่องทางโจมตีช่องโหว่ WebLogic มาแล้วหลายครั้ง
ผลกระทบต่อไทย
Oracle WebLogic Server ถูกใช้งานอย่างแพร่หลายในองค์กรขนาดใหญ่ในไทย โดยเฉพาะสถาบันการเงิน หน่วยงานราชการ และธุรกิจโทรคมนาคม ที่ใช้ WebLogic เป็นแพลตฟอร์มสำหรับแอปพลิเคชันองค์กร การที่ช่องโหว่เก่า 2 ปีแล้วยังถูกโจมตีได้ แสดงให้เห็นว่ากระบวนการจัดการแพตช์ยังเป็นจุดอ่อนสำคัญ องค์กรที่ใช้ WebLogic ควรตรวจสอบเวอร์ชันและแพตช์ทันที
คำแนะนำ
- ติดตั้ง Oracle Critical Patch Update ล่าสุดที่แก้ไข CVE-2024-21182 โดยเร็วที่สุด
- ปิดโปรโตคอล T3 และ IIOP หากไม่จำเป็นต้องใช้งาน หรือจำกัดการเข้าถึงจากเครือข่ายภายนอก
- ใช้ Web Application Firewall (WAF) กรองทราฟฟิกที่ผิดปกติไปยัง WebLogic
- ตรวจสอบล็อกเซิร์ฟเวอร์ WebLogic เพื่อหาสัญญาณการโจมตีผ่าน T3/IIOP
- วางแผน patch management ที่เข้มงวด ไม่ปล่อยให้ช่องโหว่ค้างเกิน 30 วันหลัง Oracle ปล่อยแพตช์
