สรุปสั้น

บริษัท Progress Software เปิดเผยช่องโหว่ร้ายแรงใน Kemp LoadMaster ซึ่งเป็นอุปกรณ์ application delivery controller และ load balancer ที่องค์กรใช้บริหารจัดการทราฟฟิกระหว่างเซิร์ฟเวอร์ ช่องโหว่นี้ถูกติดตามในหมายเลข CVE-2026-8037 ได้คะแนนความรุนแรงระดับ CVSS 9.8 จาก Zero Day Initiative (ZDI) เพราะเปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนใด ๆ สามารถรันคำสั่งตามอำเภอใจด้วยสิทธิ์ root บนอุปกรณ์ได้ทันทีผ่านการส่งคำขอที่ปลอมแต่งไปยัง API ของระบบ เนื่องจาก LoadMaster ทำงานอยู่ที่ขอบเครือข่ายขององค์กร ช่องโหว่แบบไม่ต้องยืนยันตัวตนในอุปกรณ์ประเภทนี้จึงถือว่าอันตรายเป็นพิเศษ

Progress เผยแพร่คำแนะนำด้านความปลอดภัยเมื่อวันที่ 4 มิถุนายน 2569 พร้อมระบุว่ายังไม่พบรายงานการถูกโจมตีจริง แต่ในวันที่ 29 มิถุนายน ทีมนักวิจัยจาก watchTowr Labs ได้เผยแพร่บทวิเคราะห์เทคนิคเชิงลึกที่อธิบายขั้นตอนการโจมตีแบบครบวงจร ทำให้ความเสี่ยงในการถูกนำไปใช้โจมตีจริงเพิ่มสูงขึ้นทันที ช่องโหว่นี้กระทบ LoadMaster เวอร์ชัน GA รุ่น 7.2.63.1 ลงมา และ LTSF รุ่น 7.2.54.17 ลงมา เฉพาะกรณีที่เปิดใช้งาน API เท่านั้น องค์กรที่ใช้งานควรอัปเดตทันทีเพราะ Progress เป็นบริษัทเดียวกับที่เคยพัฒนา MOVEit ซึ่งช่องโหว่ปี 2023 เคยถูกกลุ่มแรนซัมแวร์ Cl0p นำไปใช้โจมตีเป็นวงกว้างมาแล้ว

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 30 มิถุนายน พ.ศ. 2569 ว่า ช่องโหว่ CVE-2026-8037 ใน Kemp LoadMaster เปิดทางให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถรันคำสั่งตามอำเภอใจด้วยสิทธิ์ root บนอุปกรณ์ได้ ต้นตอของปัญหาอยู่ในฟังก์ชันชื่อ escape_quotes() ซึ่งมีหน้าที่กรองข้อมูลนำเข้าจากผู้ใช้ก่อนส่งต่อไปประมวลผลในคำสั่ง shell โดยฟังก์ชันนี้ควรจะ escape เครื่องหมาย single quote เพื่อป้องกันไม่ให้ผู้โจมตีหลุดออกจาก string ที่ครอบไว้และแทรกคำสั่งอันตรายเข้าไปได้ แต่ปัญหาคือฟังก์ชันจัดสรรหน่วยความจำแบบไม่ล้างค่าก่อนใช้งาน และไม่เคยเขียน null terminator ปิดท้าย string ที่ผ่านการกรองแล้ว การขาด null terminator นี้เองคือหัวใจของช่องโหว่ทั้งหมด เพราะระบบจะยังคงอ่านข้อมูลต่อเนื่องไปหลังจุดสิ้นสุดของ string ที่กรองแล้ว เข้าไปยังข้อมูลอื่นที่บังเอิญอยู่ติดกันในหน่วยความจำ ผู้โจมตีสามารถควบคุมได้ว่าอะไรจะไปอยู่ตรงนั้น ด้วยการแทรก JSON key พิเศษจำนวนมากเข้าไปในคำขอ API เดียวกัน โดยแต่ละ key บรรจุ payload คำสั่งที่ต้องการรัน เมื่อระบบอ่านข้อมูลที่กรองแล้วต่อเนื่องไปเรื่อย ๆ ก็จะไปพบ payload ของผู้โจมตีและรันคำสั่งนั้นทันทีด้วยสิทธิ์ root

ช่องโหว่นี้เล็งเป้าไปที่ endpoint ชื่อ /accessv2 ซึ่งทำหน้าที่ตรวจสอบความถูกต้องของ API credential โดยผู้โจมตีจะส่ง JSON body ที่มีค่า apiuser ปลอมแต่งเป็นพิเศษ พ่วงด้วย key-value คู่จำนวนมากที่แทรกคำสั่งอันตรายไว้ โดยไม่ต้องใช้ credential ที่ถูกต้องเลยแม้แต่น้อย ช่องโหว่นี้ถูกค้นพบโดยนาย Syed Ibrahim Ahmed จาก TrendAI Research และรายงานให้ Progress ทราบผ่านโครงการ Zero Day Initiative ตั้งแต่วันที่ 15 เมษายน 2569 โดย ZDI ประสานงานเปิดเผยข้อมูลต่อสาธารณะเมื่อวันที่ 9 มิถุนายน ก่อนที่ watchTowr Labs จะวิเคราะห์ diff ของแพตช์อย่างอิสระและเผยแพร่รายละเอียดทางเทคนิคพร้อม PoC ที่ใช้งานได้จริงเมื่อวันที่ 29 มิถุนายน

รายละเอียดช่องโหว่

แพตช์ที่ Progress ออกมาแก้ไขปัญหานี้มีการเปลี่ยนแปลงเพียงเล็กน้อยแต่สำคัญมาก คือเปลี่ยนฟังก์ชันจัดสรรหน่วยความจำจากแบบที่ปล่อยให้ buffer ไม่ถูกล้างค่ามาเป็นแบบที่เติมค่าศูนย์ให้ทั้งหมดก่อน (zero-fill) และเพิ่มการเขียน null terminator อย่างชัดเจนต่อท้าย string ที่ผ่านการ escape แล้ว สองบรรทัดโค้ดที่เพิ่มเข้ามานี้ปิดช่องทางที่นำไปสู่การได้สิทธิ์ root ได้ทั้งหมด ในคำแนะนำเดียวกัน Progress ยังแก้ไขช่องโหว่ระดับ high อีกตัวหนึ่งคือ CVE-2026-33691 ซึ่งเป็นช่องทางเลี่ยง WAF ด้วยการเติมช่องว่างในชื่อไฟล์เพื่อหลบเลี่ยงการตรวจสอบนามสกุลไฟล์ที่อัปโหลด ทั้งนี้ LoadMaster เคยมีประวัติช่องโหว่ร้ายแรงมาก่อน โดยในเดือนพฤศจิกายน 2024 CISA เคยบรรจุช่องโหว่ command injection ตัวก่อนหน้า (CVE-2024-1212 คะแนน CVSS เต็ม 10.0) เข้า Known Exploited Vulnerabilities catalog หลังพบการโจมตีจริง และในเดือนเมษายน 2569 Progress ก็เพิ่งแพตช์ช่องโหว่ระดับ high อีก 5 ตัวใน LoadMaster ซึ่ง 4 ใน 5 ตัวเป็นช่องโหว่ command injection เช่นกัน

ผลกระทบต่อไทย

องค์กรในไทยที่ใช้ Kemp LoadMaster บริหารจัดการทราฟฟิกเครือข่ายหรือกระจายโหลดของเว็บแอปพลิเคชันมีความเสี่ยงสูง เนื่องจากอุปกรณ์ประเภทนี้มักวางอยู่ที่ขอบเครือข่ายและเปิดรับการเชื่อมต่อจากอินเทอร์เน็ตโดยตรง หากผู้โจมตีเจาะผ่านช่องโหว่นี้ได้จะได้สิทธิ์ root ทันทีโดยไม่ต้องมี credential ใด ๆ เลย ซึ่งอาจนำไปสู่การยึดครองอุปกรณ์ทั้งหมด แทรกแซงทราฟฟิก หรือใช้เป็นจุดเริ่มต้นในการแทรกซึมเข้าสู่เครือข่ายภายในต่อไป ความรุนแรงระดับ 9.8 และลักษณะ pre-authenticated ทำให้ควรได้รับความสำคัญสูงสุดในการแพตช์

คำแนะนำ

องค์กรที่ใช้ LoadMaster ควรตรวจสอบเวอร์ชันที่ใช้งานทันทีและอัปเดตเป็น GA v7.2.63.2 หรือ LTSF v7.2.54.18 โดยเร็วที่สุด โดยเฉพาะระบบที่เปิดใช้งาน API หากยังไม่สามารถแพตช์ได้ทันที ควรพิจารณาปิดการเข้าถึง API จากอินเทอร์เน็ตสาธารณะ หรือจำกัดการเข้าถึงเฉพาะ IP ที่เชื่อถือได้ผ่าน firewall ควรตรวจสอบว่ามีความจำเป็นต้องเปิด API ให้เข้าถึงได้จากภายนอกจริงหรือไม่ และตรวจสอบ log การเข้าถึง endpoint /accessv2 เพื่อหาสัญญาณของการพยายามโจมตี เนื่องจากมี PoC ที่ใช้งานได้จริงเผยแพร่สู่สาธารณะแล้ว ความเสี่ยงในการถูกโจมตีจริงจึงมีแนวโน้มเพิ่มขึ้นอย่างรวดเร็ว

แหล่งอ้างอิง