สรุปสั้น
หน่วยงานความมั่นคงไซเบอร์สหรัฐ (CISA) ออกประกาศเตือนว่ามีกลุ่มผู้โจมตีกำลังพุ่งเป้าโจมตีช่องโหว่ระดับร้ายแรง 3 รายการในอุปกรณ์เครือข่ายของบริษัท Ubiquiti ซึ่งได้แก่ CVE-2026-34908, CVE-2026-34909 และ CVE-2026-34910 ที่มีคะแนนความรุนแรง CVSS เต็ม 10/10 โดยทั้งสามช่องโหว่ถูกแพตช์ไปแล้วเมื่อเดือนพฤษภาคมที่ผ่านมาผ่านการออก UniFi OS Server เวอร์ชัน 5.0.8 แต่ก่อนหน้านั้นมีผู้ใช้จำนวนมากรายงานบนฟอรัมของบริษัทและบน Reddit ว่าช่องโหว่เหล่านี้ถูกใช้โจมตีจริงในลักษณะ zero-day เพื่อสร้างบัญชีผู้ดูแลระบบปลอมภายใต้ชื่อ “John Sim” ซึ่งดูเหมือนเป็นการโจมตีสำรวจระบบแบบอัตโนมัติ ด้านบริษัทรักษาความปลอดภัย BishopFox วิเคราะห์แพตช์แล้วพบว่าสองช่องโหว่แรกเป็นการบายพาสการยืนยันตัวตนผ่านวิธีที่ NGINX ประมวลผลคำขอ ก่อนจะนำไปสู่การฉีดคำสั่ง (command injection) ในช่องโหว่ที่สาม ล่าสุด CISA ได้เพิ่มทั้งสามช่องโหว่เข้าสู่บัญชี Known Exploited Vulnerabilities (KEV) และสั่งให้หน่วยงานรัฐบาลกลางเร่งแพตช์ภายใน 3 วันตามข้อกำหนด BOD 26-04 เนื่องจากอุปกรณ์ UniFi ถูกใช้บริหารจัดการโครงสร้างพื้นฐานเครือข่ายและเชื่อมต่อกับระบบส่วนกลางขององค์กร การถูกยึดครองจึงอาจเปิดทางให้ผู้โจมตีเคลื่อนตัวเข้าสู่เครือข่ายองค์กรในวงกว้างได้
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 24 มิถุนายน พ.ศ. 2569 ว่าหน่วยงาน CISA ของสหรัฐออกคำเตือนเกี่ยวกับการโจมตีช่องโหว่ร้ายแรงในอุปกรณ์ของบริษัท Ubiquiti โดยช่องโหว่ทั้งสามได้รับการแพตช์ไปเมื่อเดือนก่อนหน้า แต่กลับมีหลักฐานบ่งชี้ว่าถูกใช้โจมตีจริงก่อนการแพตช์ออกมา
CVE-2026-34908 เป็นช่องโหว่ประเภทควบคุมการเข้าถึงไม่เหมาะสม (improper access control) ที่เปิดทางให้ผู้โจมตีจากระยะไกลเปลี่ยนแปลงค่าบนอุปกรณ์ UniFi OS ที่มีช่องโหว่โดยไม่ได้รับอนุญาต ส่วน CVE-2026-34909 เป็นช่องโหว่ประเภท path traversal ที่สามารถใช้เข้าถึงไฟล์บนระบบปฏิบัติการเบื้องหลังและดัดแปลงเพื่อเข้าถึงบัญชีต่าง ๆ ขณะที่ CVE-2026-34910 เป็นช่องโหว่ตรวจสอบอินพุตไม่เหมาะสม (improper input validation) ที่เปิดทางให้โจมตีแบบ command injection ผ่านเครือข่ายได้ นอกจากนี้ยังมีช่องโหว่รูปแบบใกล้เคียงกันคือ CVE-2026-33000 (CVSS 9.1) ซึ่งต้องการการยืนยันตัวตนก่อนจึงจะใช้โจมตีได้
เมื่อวันที่ 21 พฤษภาคม บริษัท Ubiquiti ประกาศปล่อย UniFi OS Server เวอร์ชัน 5.0.8 พร้อมแพตช์แก้ไขช่องโหว่เหล่านี้ แต่บริษัทไม่ได้กล่าวถึงการถูกโจมตีจริงในธรรมชาติแต่อย่างใด ทว่าผู้ใช้หลายรายกลับรายงานว่าช่องโหว่ถูกใช้สร้างบัญชีแอดมินปลอมชื่อ “John Sim” ซึ่งมีลักษณะเป็นการโจมตีสำรวจระบบแบบอัตโนมัติ
รายละเอียดช่องโหว่
จากการวิเคราะห์แพตช์ของบริษัท BishopFox พบว่า CVE-2026-34908 และ CVE-2026-34909 เป็นการบายพาสเกตเวย์การยืนยันตัวตน (authentication gateway bypass) ที่มีรากเหง้ามาจากวิธีที่ NGINX ประมวลผลคำขอที่ถูกประดิษฐ์ขึ้นมาเป็นพิเศษ โดยในรูปแบบดิบ (raw form) คำขอจะขึ้นต้นด้วย prefix ที่ได้รับการยกเว้นการยืนยันตัวตน แต่เมื่อถูก normalize แล้วกลับชี้ไปยังเส้นทางภายในที่ต้องผ่านการยืนยันตัวตน ทีมงานระบุว่า “เรายืนยันการบายพาสนี้กับเครื่องเสมือนที่รัน UniFi OS เวอร์ชัน 5.0.6 จริง คำขอที่สร้างแบบนี้สามารถเข้าถึง backend ภายในที่ควรต้องยืนยันตัวตน”
การบายพาสเกตเวย์ดังกล่าวจะนำไปสู่ CVE-2026-34910 ซึ่งคือการขาดการตรวจสอบชื่อแพ็กเกจในฟังก์ชันที่จัดการการอัปเดต ทำให้ผู้โจมตีสามารถส่งชื่อแพ็กเกจที่มีอักขระพิเศษของ shell (shell metacharacters) พร้อมตัวเลือกที่บังคับให้เข้าสู่เส้นทางการรันคำสั่ง นำไปสู่การฉีดคำสั่งได้ในที่สุด บริษัทระบุว่า “เราตรวจสอบเส้นทางที่ไม่ต้องยืนยันตัวตนกับเป้าหมายทดสอบ 5.0.6 จริง โดยใช้ oracle แบบอิงเวลาที่ไม่เป็นอันตราย คือคำขอที่ส่วนที่ฉีดเข้าไปเพียงทำให้เซิร์ฟเวอร์หยุดชั่วครู่เป็นช่วงเวลาคงที่ก่อนตอบกลับ”
ตามที่ศูนย์ความมั่นคงไซเบอร์เบลเยียม (Centre for Cybersecurity Belgium) ชี้ให้เห็น อุปกรณ์ UniFi OS ถูกออกแบบมาเพื่อบริหารจัดการโครงสร้างพื้นฐานและถูกเชื่อมรวมเข้ากับเครือข่ายส่วนกลาง การยึดครองสำเร็จจึงอาจเปิดทางให้ผู้โจมตีเคลื่อนตัวด้านข้าง (lateral movement) เข้าสู่สภาพแวดล้อมขององค์กรได้ ทั้งนี้ CISA ยังได้เพิ่ม CVE-2025-67038 (CVSS 9.8) ซึ่งเป็นช่องโหว่ command injection แบบไม่ต้องยืนยันตัวตนใน Lantronix EDS5000 ที่นำไปสู่การรันโค้ดด้วยสิทธิ์ root เข้าสู่ KEV ในคราวเดียวกัน โดยช่องโหว่นี้ถูกเปิดเผยเมื่อเดือนเมษายนพร้อมช่องโหว่อื่นของ Lantronix และ Silex รวม 21 รายการภายใต้ชื่อ BRIDGE:BREAK
ผลกระทบต่อไทย
อุปกรณ์ Ubiquiti UniFi เป็นหนึ่งในแบรนด์อุปกรณ์เครือข่ายที่ได้รับความนิยมอย่างสูงในประเทศไทย ทั้งในกลุ่มธุรกิจขนาดกลาง-เล็ก โรงแรม ร้านอาหาร คาเฟ่ อาคารสำนักงาน รวมถึงผู้ดูแลระบบที่ใช้ UniFi Controller บริหารจัดการ access point และอุปกรณ์เครือข่ายจำนวนมาก องค์กรไทยที่เปิดให้เข้าถึง UniFi OS Server หรือ controller ผ่านอินเทอร์เน็ตจึงมีความเสี่ยงสูงที่จะถูกสแกนและโจมตีแบบอัตโนมัติเช่นเดียวกับที่พบในต่างประเทศ โดยเฉพาะการสร้างบัญชีแอดมินปลอมที่ผู้ดูแลอาจไม่ทันสังเกต เนื่องจากช่องโหว่นี้ถูกยืนยันว่าถูกใช้โจมตีจริงและได้รับ CVSS เต็ม 10 ผู้ดูแลระบบในไทยควรถือว่าเป็นเรื่องเร่งด่วนและตรวจสอบอุปกรณ์ของตนทันที
คำแนะนำ
ผู้ดูแลระบบควรอัปเดต UniFi OS Server เป็นเวอร์ชัน 5.0.8 หรือใหม่กว่าโดยทันที และตรวจสอบบัญชีผู้ดูแลระบบทั้งหมดว่ามีบัญชีแปลกปลอม เช่น “John Sim” หรือบัญชีที่ไม่รู้จักถูกสร้างขึ้นหรือไม่ หากพบให้ลบและรีเซ็ตรหัสผ่านบัญชีที่เหลือทั้งหมด ควรจำกัดการเข้าถึงหน้าบริหารจัดการ UniFi ไม่ให้เปิดสู่อินเทอร์เน็ตโดยตรง ใช้ VPN หรือ allowlist IP แทน รวมถึงตรวจสอบ log การเข้าถึงย้อนหลังเพื่อหาความผิดปกติ สำหรับผู้ใช้ Lantronix EDS5000 ควรเร่งแพตช์ CVE-2025-67038 เช่นกัน
