สรุปสั้น

บริษัท CISA สั่งหน่วยงานรัฐบาลสหรัฐฯ ป้องกันการเข้าถึง Check Point Remote Access VPN และ Mobile Access ของตนต่อช่องโหว่ระดับ critical ที่ถูก exploit แบบ zero-day โดยเครือข่าย Qilin ransomware ติดตามด้วยรหัส CVE-2026-50751 ผู้โจมตีระยะไกลที่ไม่ผ่านการพิสูจน์ตัวตนสามารถ bypass authentication และสร้าง remote access VPN connection บน Mobile Access/SSL VPN, Remote Access VPN หรือ Spark firewall ที่เป็นเป้าหมายได้

ช่องโหว่กระทบเฉพาะ instance ที่ตั้งค่าใช้ IKEv1 key exchange protocol ที่เลิกแนะนำแล้ว ร่วมกับ security gateway ที่ไม่บังคับใช้ machine certificate สำหรับการเชื่อมต่อ และยอมรับ legacy Remote Access client บริษัท Check Point ของอิสราเอลปล่อยแพตช์เมื่อ 8 มิถุนายน 2569 พร้อมระบุว่าการ exploit เริ่มเมื่อ 7 พฤษภาคม และ surge ขึ้นในสุดสัปดาห์ แม้การโจมตีจะกระทบองค์กรเพียง “ไม่กี่สิบราย” ทั่วโลก แต่บริษัท Check Point เชื่อมโยงเหตุการณ์อย่างน้อย 1 ครั้งกับ Qilin Ransomware-as-a-Service ที่อ้างเหยื่อกว่า 400 รายบนเว็บมืดตั้งแต่เกิดในเดือนสิงหาคม 2565 CISA ให้เวลาหน่วยงานรัฐบาลกลางสหรัฐฯ ปะภายในวันที่ 11 มิถุนายน 2569

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 9 มิถุนายน พ.ศ. 2569 ว่า CISA ออกคำสั่งให้หน่วยงาน Federal Civilian Executive Branch (FCEB) อัปเดต Check Point VPN ของตนภายใน 11 มิถุนายน 2569 ตามข้อกำหนด Binding Operational Directive 22-01 หลังเพิ่ม CVE-2026-50751 เข้า Known Exploited Vulnerabilities (KEV) Catalog เพราะมีหลักฐานการ exploit จริงในธรรมชาติ

CISA ระบุว่าช่องโหว่ประเภทนี้เป็น attack vector ที่พบบ่อยและสร้างความเสี่ยงสำคัญต่อ federal enterprise พร้อมขอให้ทีมความปลอดภัยทุกแห่ง (รวมถึงภาคเอกชน) deploy patch CVE-2026-50751 และป้องกันเครือข่ายขององค์กรโดยเร็วที่สุด แม้คำสั่งนี้จะบังคับเฉพาะหน่วยงานรัฐบาลสหรัฐฯ

บริษัท Check Point ระบุว่าการโจมตีที่สังเกตได้จำกัดอยู่ที่องค์กรเป้าหมายไม่กี่สิบรายทั่วโลก กรณีหนึ่งมี post-compromise activity ที่ยืนยันได้ว่าเชื่อมโยงกับ Qilin ransomware affiliate และเรียกร้องให้ลูกค้าที่ใช้ IKEv1 key exchange protocol applying security update ทันที พร้อมเสนอมาตรการบรรเทาสำหรับผู้ที่ยังปะไม่ได้ ได้แก่ ลบ support สำหรับ legacy remote access client, ตั้ง Remote Access VPN authentication ให้ใช้ IKEv2 อย่างเดียว, เปิด IPS พร้อมดาวน์โหลด signature และตั้ง Machine Certificate Authentication เป็น mandatory

รายละเอียดช่องโหว่

CVE-2026-50751 เป็น authentication bypass ที่ผู้โจมตีระยะไกลใช้งานได้โดยไม่ต้องมี credential เป้าหมายคือ Check Point Remote Access VPN, Mobile Access VPN และ Spark firewall ที่ตั้งค่าใน 3 เงื่อนไขพร้อมกันคือ เปิดใช้ IKEv1 protocol, ไม่ได้บังคับ machine certificate สำหรับการเชื่อมต่อ และยอมรับ legacy Remote Access client การ exploit สำเร็จเปิดทางสร้าง VPN connection ไปยังเครือข่ายภายในขององค์กรเป้าหมาย จากนั้น Qilin affiliate ใช้ session ที่ได้เป็น initial access สำหรับการ lateral movement และ deploy ransomware

เมื่อ 2 ปีก่อน CISA เคย flag ช่องโหว่อื่นใน Check Point Quantum Security Gateway (CVE-2024-24919) เป็น actively exploited โดย ransomware gang เช่นกัน เชื่อมโยงกับการโจมตี NailaoLocker ของกลุ่ม ShadowPad และ PlugX ที่กระทบยุโรป แสดงให้เห็นว่า perimeter VPN ของ Check Point เป็นเป้าหมายซ้ำของกลุ่ม ransomware และ APT มาต่อเนื่อง

ผลกระทบต่อไทย

หน่วยงานรัฐและองค์กรขนาดใหญ่ของไทยจำนวนมากใช้ Check Point เป็น perimeter firewall และ remote access VPN โดยเฉพาะกลุ่ม banking, telecom, พลังงาน และ government agency ที่มีการกำหนดให้ใช้ legacy IKEv1 client ในระบบ legacy VPN เก่า ความเสี่ยงสูงเป็นพิเศษสำหรับองค์กรที่ยังไม่ migrate ไป IKEv2 หรือยังไม่บังคับใช้ machine certificate authentication

Qilin Ransomware-as-a-Service เป็นกลุ่มที่อ้างเหยื่อกว่า 400 รายทั่วโลกตั้งแต่สิงหาคม 2565 มีประวัติโจมตีโรงพยาบาล สถาบันการศึกษา และองค์กรขนาดกลางในยุโรปและเอเชีย หากองค์กรไทยปะช่วงระหว่าง 7 พฤษภาคมถึง 8 มิถุนายน 2569 ที่เป็นช่วง zero-day exposure ควรตรวจสอบ log การเชื่อมต่อ VPN ย้อนหลังว่ามี session ผิดปกติหรือไม่ เพราะอาจเป็นเหยื่อที่ยังไม่รู้ตัว

คำแนะนำ

อัปเดต Check Point Remote Access VPN, Mobile Access และ Spark firewall ตามคำแนะนำของ Check Point (sk185033) ทันที พร้อมรีบูตอุปกรณ์เพื่อให้แพตช์มีผล สำหรับองค์กรที่ปะไม่ทันให้ใช้ mitigation: ลบ support สำหรับ legacy remote access client, ตั้ง Remote Access VPN authentication ให้ใช้ IKEv2 อย่างเดียว, เปิด IPS พร้อมโหลด signature ใหม่ และตั้ง Machine Certificate Authentication เป็น mandatory

ตรวจสอบ log ของ VPN ย้อนหลังตั้งแต่ 7 พฤษภาคม 2569 หา session ที่สร้างขึ้นโดยไม่มี user authentication context, IP source ที่ผิดปกติ, การเชื่อมต่อจากภูมิภาคที่ผู้ใช้ขององค์กรไม่ควรอยู่ และการสร้าง session แบบ burst ถ้าพบสัญญาณการเจาะ ให้ถือว่าเครือข่ายภายในถูก compromise และดำเนิน incident response ทันที พร้อม rotate credential ที่อาจรั่วไหล

วางแผนระยะยาวให้ทยอย deprecate IKEv1 ทั้งระบบ migrate ไป IKEv2 พร้อมใช้ machine certificate และพิจารณาเพิ่ม MFA สำหรับ remote access ทุกประเภท ขณะเดียวกันให้ตั้ง honeypot VPN ที่ดูเหมือนเปิด IKEv1 เป็นเหยื่อล่อเพื่อจับสัญญาณการ scan และทดสอบในอนาคต

แหล่งอ้างอิง