สรุปสั้น

บริษัท ManageEngine ได้เปิดเผยช่องโหว่ระดับความรุนแรงสูงที่ติดตามด้วยรหัส CVE-2026-11374 ซึ่งกระทบโซลูชันด้านการจัดการตัวตนและการเข้าถึง (identity and access management) หลายตัวเมื่อถูกนำไปเชื่อมต่อใช้งานกับ AD360 โดยช่องโหว่นี้เปิดทางให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน (unauthenticated) สามารถคาดเดา single sign-on (SSO) token ได้ ซึ่งอาจนำไปสู่การยึดบัญชี (account takeover) และการเปิดเผยข้อมูลผู้ใช้ที่อ่อนไหว ปัญหานี้กระทบผลิตภัณฑ์ ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus และ ADAudit Plus เมื่อ deploy อยู่ในสภาพแวดล้อมของ ManageEngine AD360 ซึ่งเป็นเครื่องมือที่ใช้กันแพร่หลายในเครือข่ายองค์กรสำหรับ identity governance การจัดการ Active Directory การตรวจสอบ และการบริหาร Microsoft 365 ทำให้ช่องโหว่นี้มีนัยสำคัญเป็นพิเศษในองค์กรขนาดใหญ่

ช่องโหว่ถูกรายงานโดยนักวิจัยด้านความปลอดภัยที่ใช้ชื่อ 0xmanhnv ผ่านโครงการ Zoho BugBounty โดยต้นตอมาจากจุดอ่อนในการสร้าง SSO ticket ระหว่างกระบวนการ authentication เมื่อผู้ใช้ล็อกอินผ่าน SSO ของ AD360 ระบบจะออก token เพื่อตรวจสอบความถูกต้องของ session แต่นักวิจัยพบว่าผู้โจมตีแบบ unauthenticated สามารถคาดเดา token เหล่านี้ได้ ทำให้สร้าง session token ที่ใช้งานได้จริงโดยไม่ต้องมี credential ที่ถูกต้อง และนำไปสวมรอยผู้ใช้เพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต ในสภาพแวดล้อมที่ AD360 ทำหน้าที่เป็นศูนย์กลางการจัดการตัวตน ความเสี่ยงยิ่งรุนแรงขึ้น เพราะบริการที่เชื่อมต่อกันหลายตัวอาจถูกเจาะผ่านการโจมตีเพียงครั้งเดียวที่สำเร็จ ManageEngine ได้ออกแพตช์แก้ไขแล้วในเวอร์ชันที่ปล่อยระหว่างวันที่ 3 ถึง 12 มิถุนายน 2026

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 25 มิถุนายน พ.ศ. 2569 ว่า บริษัท ManageEngine ได้เปิดเผยช่องโหว่ระดับความรุนแรงสูง CVE-2026-11374 ที่กระทบโซลูชันการจัดการตัวตนและการเข้าถึงหลายตัวเมื่อเชื่อมต่อกับ AD360 โดยช่องโหว่อาจเปิดทางให้ผู้โจมตีแบบไม่ต้องยืนยันตัวตนคาดเดา SSO token ได้ ซึ่งอาจนำไปสู่การยึดบัญชีและการเปิดเผยข้อมูลผู้ใช้ที่อ่อนไหว

ปัญหานี้กระทบผลิตภัณฑ์ ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus และ ADAudit Plus เมื่อถูก deploy ภายในสภาพแวดล้อมของ ManageEngine AD360 ซึ่งเครื่องมือเหล่านี้ถูกใช้อย่างแพร่หลายในเครือข่ายองค์กรสำหรับงาน identity governance การจัดการ Active Directory การตรวจสอบ (audit) และการบริหารจัดการ Microsoft 365 ทำให้ช่องโหว่มีความสำคัญเป็นพิเศษในการ deploy ขนาดใหญ่ โดยช่องโหว่นี้ถูกรายงานโดยนักวิจัย 0xmanhnv ผ่านโครงการ Zoho BugBounty และ ManageEngine ได้ให้เครดิตนักวิจัยสำหรับการเปิดเผยอย่างมีความรับผิดชอบ

ตาม advisory ช่องโหว่มีต้นตอจากจุดอ่อนในการสร้าง SSO ticket ระหว่างการ authentication เมื่อผู้ใช้ล็อกอินผ่าน SSO ของ AD360 ระบบจะออก token เพื่อยืนยัน session แต่นักวิจัยพบว่าผู้โจมตีแบบ unauthenticated สามารถคาดเดา token เหล่านี้ได้ ความสามารถในการคาดเดานี้เปิดทางให้ผู้โจมตีสร้าง session token ที่ใช้งานได้จริงโดยไม่ต้องมี credential ที่ถูกต้อง การใช้ประโยชน์จากช่องโหว่นี้อาจทำให้ผู้โจมตีสวมรอยผู้ใช้และเข้าถึงระบบโดยไม่ได้รับอนุญาต

รายละเอียดช่องโหว่

ในสถานการณ์การโจมตี ผู้โจมตีอาจดึงรายละเอียดตัวตนของผู้ใช้และข้อมูลสิทธิ์การเข้าถึงตามบทบาท (role-based access) ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ (privilege escalation) ขึ้นอยู่กับบัญชีที่ถูกเจาะ ในสภาพแวดล้อมที่ AD360 ทำหน้าที่เป็นศูนย์กลางตัวตน ความเสี่ยงจะยิ่งรุนแรงเพราะบริการที่เชื่อมต่อหลายตัวอาจถูกเปิดโปงผ่านการโจมตีสำเร็จเพียงครั้งเดียว ตัวอย่างเช่น ผู้โจมตีสามารถสร้าง SSO token ที่ใช้งานได้เพื่อเข้าถึง audit log และข้อมูลการบริหารของ ADAudit Plus ทำให้สามารถทำการสำรวจภายใน (internal reconnaissance) และอาจเคลื่อนตัวด้านข้าง (lateral movement) ภายในองค์กรได้

ช่องโหว่นี้กระทบ ADSelfService Plus เวอร์ชัน 6528 และก่อนหน้า, RecoveryManager Plus เวอร์ชัน 6320 และก่อนหน้า, M365 Manager Plus เวอร์ชัน 4816 และก่อนหน้า และ ADAudit Plus เวอร์ชัน 8702 และก่อนหน้า โดย ManageEngine ได้ปล่อยแพตช์เพื่อแก้ไขปัญหาในเวอร์ชันถัด ๆ มาที่ปล่อยระหว่างวันที่ 3 ถึง 12 มิถุนายน 2026 เพื่อลดความเสี่ยง ManageEngine ได้เสริมความแข็งแกร่งให้กลไกการสร้าง SSO ticket เพื่อให้ token ไม่สามารถคาดเดาได้อีกต่อไป องค์กรที่ใช้ผลิตภัณฑ์ที่ได้รับผลกระทบจึงได้รับคำแนะนำอย่างหนักแน่นให้ติดตั้ง service pack ล่าสุดทันที

ผลกระทบต่อไทย

ผลิตภัณฑ์ตระกูล ManageEngine โดยเฉพาะ ADSelfService Plus, ADAudit Plus และ AD360 ถูกใช้อย่างแพร่หลายในองค์กรไทยทั้งภาคธนาคาร ราชการ โรงพยาบาล และองค์กรขนาดใหญ่ที่ต้องบริหาร Active Directory และ Microsoft 365 จำนวนมาก ช่องโหว่ที่ผู้โจมตีแบบไม่ต้องยืนยันตัวตนสามารถคาดเดา SSO token และสวมรอยผู้ใช้ได้ ถือเป็นความเสี่ยงสูงมากต่อระบบจัดการตัวตนที่เป็นหัวใจของการควบคุมการเข้าถึงทั้งองค์กร เพราะหากผู้โจมตีเข้าถึงได้สำเร็จ อาจยกระดับสิทธิ์ไปถึงระดับผู้ดูแลระบบและเคลื่อนตัวเข้าถึงระบบสำคัญอื่น ๆ ที่เชื่อมต่อกับ AD360 องค์กรไทยที่เปิดบริการเหล่านี้ให้เข้าถึงจากภายนอกยิ่งต้องเร่งอัปเดตเป็นลำดับแรก

คำแนะนำ

ผู้ดูแลระบบควรติดตั้ง service pack ล่าสุดของ ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus และ ADAudit Plus ที่ปล่อยระหว่างวันที่ 3-12 มิถุนายน 2026 โดยเร็วที่สุด และตรวจสอบว่า instance ที่เชื่อมต่อกับ AD360 ทุกตัวได้รับการแพตช์แล้ว นอกจากการแพตช์ ทีมความปลอดภัยควรเฝ้าติดตาม authentication log อย่างใกล้ชิดเพื่อหากิจกรรม SSO ที่ผิดปกติ ทบทวนสิทธิ์การเข้าถึงของบัญชีสำคัญ จำกัดการเปิดเผยบริการ identity ออกสู่อินเทอร์เน็ตเท่าที่จำเป็น และเสริม access control เพื่อลดโอกาสการถูกใช้ประโยชน์จากช่องโหว่ รวมถึงพิจารณาบังคับใช้ MFA ในชั้นที่เกี่ยวข้องเพื่อเพิ่มการป้องกัน

แหล่งอ้างอิง