สรุปสั้น
Veeam ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ระดับ Critical ใน Veeam Backup & Replication (VBR) ที่เปิดทางให้ผู้โจมตีรันโค้ดจากระยะไกล (RCE) บนเซิร์ฟเวอร์สำรองข้อมูล ช่องโหว่นี้ได้รับรหัส CVE-2026-44963 ค้นพบโดยนักวิจัยจาก WatchTowr กระทบ VBR เวอร์ชัน 12.3.2.4465 และเวอร์ชัน 12 ทุกรุ่นก่อนหน้า เงื่อนไขสำคัญคือเซิร์ฟเวอร์ต้อง join เข้ากับ Windows domain ซึ่งผู้ใช้โดเมนที่มีสิทธิ์ต่ำคนใดก็ได้สามารถใช้โจมตีได้ Veeam แก้ไขแล้วในเวอร์ชัน 12.3.2.4854 ส่วนเวอร์ชัน 13.x ไม่ได้รับผลกระทบเนื่องจากมีการเปลี่ยนสถาปัตยกรรม ยังไม่มีรายงานการโจมตีจริง แต่ Veeam เตือนว่าผู้โจมตีมักทำ reverse engineering แพตช์เพื่อสร้าง exploit ทันทีที่แพตช์เผยแพร่
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 9 มิถุนายน พ.ศ. 2569 ว่า Veeam ได้ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ร้ายแรงใน Veeam Backup & Replication ซึ่งเป็นซอฟต์แวร์สำรองข้อมูลที่มีลูกค้ากว่า 550,000 รายทั่วโลก รวมถึง 82% ของบริษัทใน Fortune 500 และ 74% ของ Global 2,000 ช่องโหว่นี้รายงานโดย Sina Kheirkhah นักวิจัยจาก WatchTowr และแม้ Veeam จะมี best practice แนะนำมานานว่าไม่ควร join เซิร์ฟเวอร์สำรองข้อมูลเข้ากับโดเมน แต่ในทางปฏิบัติองค์กรจำนวนมากยังคง join โดเมนเพื่อความสะดวก ทำให้ตกอยู่ในความเสี่ยง Veeam ระบุใน advisory ว่าช่องโหว่นี้เปิดให้ผู้ใช้โดเมนที่ผ่านการยืนยันตัวตนสามารถรันโค้ดจากระยะไกลบน Backup Server ได้ และย้ำให้ลูกค้าทุกคนอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยไม่รอช้า เพราะเมื่อช่องโหว่และแพตช์ถูกเปิดเผยแล้ว ผู้โจมตีมักวิเคราะห์แพตช์ย้อนกลับเพื่อพัฒนา exploit โจมตีระบบที่ยังไม่ได้อัปเดตทันที
รายละเอียดช่องโหว่
CVE-2026-44963 เป็นช่องโหว่ RCE ที่ต้องการเพียงบัญชีผู้ใช้โดเมนสิทธิ์ต่ำ (low-privileged domain user) ก็สามารถรันโค้ดบนเซิร์ฟเวอร์ VBR ที่ join โดเมนได้ หมายความว่าหากผู้โจมตียึดเครื่องพนักงานคนใดคนหนึ่งในองค์กรได้ ก็สามารถต่อยอดยึดเซิร์ฟเวอร์สำรองข้อมูลทั้งหมดได้ทันที เซิร์ฟเวอร์ Veeam เป็นเป้าหมายอันดับต้นของกลุ่มแรนซัมแวร์มาโดยตลอด เพราะการยึดได้หมายถึงการขโมยข้อมูลสำคัญ เคลื่อนที่ในเครือข่าย (lateral movement) และลบข้อมูลสำรองเพื่อตัดทางกู้คืนระบบของเหยื่อ ที่ผ่านมา CISA เคยขึ้นบัญชีช่องโหว่ VBR ที่ถูกโจมตีจริงแล้ว 4 รายการใน KEV catalog โดยทั้งหมดถูกใช้โดยกลุ่มแรนซัมแวร์ เช่น CVE-2024-40711 ที่ถูกกลุ่ม Akira, Fog และ Frag นำไปใช้ รวมถึงกลุ่ม FIN7 และ Cuba ransomware ที่เคยโจมตีผ่านช่องโหว่ VBR มาแล้วเช่นกัน
ผลกระทบต่อไทย
องค์กรไทยจำนวนมากทั้งภาคธนาคาร โรงพยาบาล หน่วยงานราชการ และผู้ให้บริการคลาวด์ ใช้ Veeam Backup & Replication เป็นระบบสำรองข้อมูลหลัก และจากเหตุการณ์แรนซัมแวร์ในไทยที่ผ่านมา เซิร์ฟเวอร์สำรองข้อมูลคือเป้าหมายแรกที่ผู้โจมตีตามล่าหลังเจาะเครือข่ายสำเร็จ เพราะหากลบข้อมูลสำรองได้ เหยื่อจะแทบไม่มีทางเลือกนอกจากจ่ายค่าไถ่ องค์กรไทยที่ join เซิร์ฟเวอร์ Veeam เข้ากับ Active Directory ตามความสะดวกในการบริหารจัดการ ถือว่าตกอยู่ในเงื่อนไขความเสี่ยงของช่องโหว่นี้โดยตรง และควรทบทวนสถาปัตยกรรมตามแนวทางของ Veeam ที่แนะนำให้แยกเซิร์ฟเวอร์สำรองข้อมูลออกเป็น workgroup หรือ management domain แยกต่างหาก
คำแนะนำ
อัปเดต Veeam Backup & Replication เป็นเวอร์ชัน 12.3.2.4854 ทันที หรือพิจารณาอัปเกรดเป็นเวอร์ชัน 13.x ซึ่งไม่ได้รับผลกระทบ ตรวจสอบว่าเซิร์ฟเวอร์ VBR ขององค์กร join โดเมนอยู่หรือไม่ หากใช่ควรวางแผนแยกออกจากโดเมนตาม hardening guideline ของ Veeam จำกัดการเข้าถึงเซิร์ฟเวอร์สำรองข้อมูลด้วย network segmentation เปิด MFA สำหรับบัญชีผู้ดูแล ตรวจสอบ log การเข้าถึงที่ผิดปกติ และยึดหลัก 3-2-1 backup โดยมีสำเนาแบบ immutable หรือ offline อย่างน้อยหนึ่งชุดที่แรนซัมแวร์ลบไม่ได้
