สรุปสั้น
ผู้โจมตีได้เริ่มใช้ประโยชน์จากช่องโหว่ระดับร้ายแรง (ติดตามในชื่อ CVE-2026-46817) ใน Oracle E-Business Suite (EBS) ซึ่งเป็นแอปพลิเคชันด้านการเงินขององค์กร ตามรายงานของบริษัทข่าวกรองภัยคุกคาม Defused ช่องโหว่นี้ถูกพบในส่วนประกอบ File Transmission ของผลิตภัณฑ์ Oracle Payments ใน EBS และเปิดทางให้ผู้ไม่หวังดีที่ไม่ต้องยืนยันตัวตน เพียงมีการเข้าถึงผ่านเครือข่าย HTTP ก็สามารถเข้ายึดระบบที่มีช่องโหว่ได้ผ่านการโจมตีที่มีความซับซ้อนต่ำ ช่องโหว่นี้ได้คะแนน CVSS สูงถึง 9.8 Oracle ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่นี้ไปแล้วใน Critical Security Patch Update เดือนพฤษภาคม 2026 และเร่งให้ลูกค้าแพตช์ระบบโดยทันที
แม้ Oracle จะยังไม่ได้ระบุว่า CVE-2026-46817 ถูกใช้โจมตีจริงในวงกว้าง แต่ Defused รายงานเมื่อวันจันทร์ว่าผู้โจมตีกำลังใช้ช่องโหว่นี้อย่างจริงจัง โดยพบความพยายามครั้งแรกในช่วงสุดสัปดาห์ที่ผ่านมา ขณะที่กลุ่มเฝ้าระวัง Shadowserver ติดตามพบ Oracle EBS กว่า 450 ระบบที่เปิดอยู่บนอินเทอร์เน็ต โดยเกือบ 200 ระบบอยู่ในสหรัฐและในยุโรป ทั้งนี้ยังไม่มีข้อมูลว่ามีกี่ระบบที่ได้รับการป้องกันจากการโจมตีที่กำลังดำเนินอยู่นี้แล้ว
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 29 มิถุนายน พ.ศ. 2569 ว่า ผู้โจมตีได้เริ่มใช้ช่องโหว่ร้ายแรง CVE-2026-46817 ใน Oracle E-Business Suite แล้ว โดยอ้างข้อมูลจากบริษัท Defused ที่ระบุว่าพบความพยายามโจมตีครั้งแรกในช่วงสุดสัปดาห์ที่ผ่านมา บริษัท Defused ระบุว่า “CVE-2026-46817 (CVSS 9.8 การยึดระบบผ่าน HTTP แบบไม่ต้องยืนยันตัวตนใน Oracle E-Business) กำลังถูกใช้โจมตี ในช่วงสุดสัปดาห์ เราพบผู้โจมตีใช้ช่องโหว่นี้กับ honeypot Oracle E-Business ของเรา ช่องโหว่นี้ไม่เคยมีการใช้โจมตีมาก่อนและไม่มีโค้ด POC สาธารณะ”
ก่อนหน้านี้ Oracle ได้ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่นี้ใน Critical Security Patch Update เดือนพฤษภาคม 2026 พร้อมเตือนว่า “Oracle ยังคงได้รับรายงานความพยายามใช้ประโยชน์จากช่องโหว่ที่ Oracle ออกแพตช์ไปแล้วเป็นระยะ ในบางกรณีมีรายงานว่าผู้โจมตีประสบความสำเร็จเพราะลูกค้าเป้าหมายไม่ได้ติดตั้งแพตช์ที่มีให้ Oracle จึงแนะนำอย่างยิ่งให้ลูกค้าใช้เวอร์ชันที่ยังได้รับการสนับสนุนและติดตั้งแพตช์ความปลอดภัยโดยไม่ชักช้า”
ประเด็นนี้น่ากังวลเป็นพิเศษเมื่อพิจารณาประวัติการถูกโจมตีของ Oracle EBS ก่อนหน้านี้กลุ่มเรียกค่าไถ่ Clop เคยใช้ช่องโหว่อีกตัวของ Oracle EBS (CVE-2025-61882) ในการโจมตีแบบ zero-day พุ่งเป้ามหาวิทยาลัยหลายแห่งในสหรัฐ รวมถึง Harvard University, University of Pennsylvania, Dartmouth College และ University of Phoenix ตลอดจน Washington Post, Logitech และ GlobalLogic ตั้งแต่ต้นเดือนสิงหาคม 2025 นอกจากนี้เมื่อต้นเดือนนี้ CISA ของสหรัฐยังได้ระบุว่าช่องโหว่ระดับสูงใน Oracle WebLogic Server (CVE-2024-21182) ที่ถูกแพตช์ไปเมื่อสองปีก่อนกำลังถูกใช้โจมตีจริง และไม่กี่สัปดาห์ต่อมา Oracle ก็ต้องแก้ไขช่องโหว่ zero-day ใน PeopleSoft Suite (CVE-2026-35273) ที่ถูกใช้ในการโจมตีขโมยข้อมูลของกลุ่ม ShinyHunters
รายละเอียดช่องโหว่
CVE-2026-46817 เป็นช่องโหว่ที่อยู่ในส่วนประกอบ File Transmission ของผลิตภัณฑ์ Oracle Payments ภายใน E-Business Suite จุดที่ทำให้ช่องโหว่นี้อันตรายอย่างยิ่งคือมันสามารถถูกใช้ประโยชน์ได้โดยผู้โจมตีที่ “ไม่ต้องยืนยันตัวตน” (unauthenticated) เพียงแค่มีการเข้าถึงระบบผ่านเครือข่าย HTTP เท่านั้น และการโจมตีมีความซับซ้อนต่ำ (low-complexity) ทำให้ผู้โจมตีสามารถเข้าควบคุมระบบที่มีช่องโหว่ได้อย่างสมบูรณ์ จึงได้คะแนน CVSS สูงถึง 9.8
ตามรายงานของ Defused ช่องโหว่นี้ไม่เคยมีประวัติการถูกใช้โจมตีมาก่อนและไม่มีโค้ด proof-of-concept สาธารณะ การที่ผู้โจมตีสามารถพัฒนาและใช้ exploit ได้เองโดยไม่ต้องพึ่ง PoC ที่เปิดเผย บ่งชี้ว่าผู้อยู่เบื้องหลังมีความสามารถทางเทคนิคสูง กลุ่มเฝ้าระวัง Shadowserver ติดตามพบ Oracle EBS กว่า 450 ระบบที่เปิดเข้าถึงได้จากอินเทอร์เน็ต โดยเกือบ 200 ระบบอยู่ในสหรัฐและในยุโรป ซึ่งทั้งหมดนี้เป็นพื้นผิวการโจมตีที่มีความเสี่ยงสูงหากยังไม่ได้แพตช์
ในช่วงหลายปีที่ผ่านมา CISA ได้ระบุช่องโหว่ในผลิตภัณฑ์ Oracle ต่าง ๆ รวม 44 รายการว่าถูกใช้โจมตีจริง โดย 13 รายการในจำนวนนั้นยังถูกนำไปใช้ในการโจมตีเรียกค่าไถ่ด้วย
ผลกระทบต่อไทย
Oracle E-Business Suite เป็นระบบ ERP และระบบการเงินที่องค์กรขนาดใหญ่ในไทยใช้งานอย่างแพร่หลาย ทั้งหน่วยงานรัฐ รัฐวิสาหกิจ ธนาคาร และบริษัทเอกชนรายใหญ่ ช่องโหว่ที่เปิดทางให้ยึดระบบได้โดยไม่ต้องยืนยันตัวตนและโจมตีง่ายเช่นนี้จึงเป็นภัยคุกคามโดยตรงต่อข้อมูลทางการเงินและข้อมูลทางธุรกิจที่ละเอียดอ่อนขององค์กรไทย
ความเสี่ยงยิ่งสูงขึ้นเมื่อพิจารณาว่าระบบ EBS หลายแห่งถูกเปิดให้เข้าถึงผ่านอินเทอร์เน็ตเพื่อรองรับการทำงานระยะไกลหรือเชื่อมต่อกับคู่ค้า หากระบบเหล่านี้ยังไม่ได้ติดตั้งแพตช์เดือนพฤษภาคม 2026 ก็มีความเสี่ยงที่จะถูกยึดและนำไปสู่การขโมยข้อมูลหรือการโจมตีเรียกค่าไถ่ เช่นเดียวกับที่กลุ่ม Clop เคยทำกับเหยื่อในต่างประเทศ
คำแนะนำ
ติดตั้ง Critical Security Patch Update เดือนพฤษภาคม 2026 ของ Oracle ที่แก้ไข CVE-2026-46817 โดยทันที และตรวจสอบว่าระบบ EBS ทั้งหมดในองค์กรอยู่บนเวอร์ชันที่ยังได้รับการสนับสนุน หากยังไม่สามารถแพตช์ได้ทันที ควรจำกัดการเข้าถึงส่วน File Transmission และ Oracle Payments จากอินเทอร์เน็ต และวางระบบ EBS ไว้หลัง VPN หรือ reverse proxy ที่มีการควบคุมการเข้าถึง
ตรวจสอบว่าระบบ EBS ขององค์กรไม่ได้เปิดเข้าถึงจากอินเทอร์เน็ตโดยไม่จำเป็น (ใช้ข้อมูลจาก Shadowserver หรือสแกนภายในเพื่อยืนยัน) เฝ้าระวังล็อกการเข้าถึง HTTP ที่ผิดปกติไปยังคอมโพเนนต์ File Transmission และร่องรอยการ upload ไฟล์หรือการรันคำสั่งที่ไม่ได้รับอนุญาต รวมถึงทบทวนแผนรับมือเหตุการณ์เพื่อเตรียมพร้อมหากพบการบุกรุก
