สรุปสั้น
บริษัท JetBrains ออกอัปเดตความปลอดภัยเพื่ออุดช่องโหว่ระดับร้ายแรงจำนวนหนึ่งที่เปิดทางให้ข้ามการยืนยันตัวตน (authentication bypass), ยึดบัญชีผู้ใช้ และรันโค้ดจากระยะไกล (RCE) ครอบคลุมผลิตภัณฑ์แบบ on-premise ทั้งระบบนิเวศ ไม่ว่าจะเป็น Hub, YouTrack, IDE ตระกูล IntelliJ, Kotlin, GoLand และ TeamCity ช่องโหว่เหล่านี้ทำให้สภาพแวดล้อมการพัฒนาซอฟต์แวร์และระบบ CI/CD ตกอยู่ในความเสี่ยงโดยตรงหากองค์กรชะลอการติดตั้งแพตช์ ช่องโหว่ที่รุนแรงที่สุดอยู่ใน Hub และ YouTrack ซึ่งทำหน้าที่เป็นศูนย์กลางการยืนยันตัวตนและการจัดการโปรเจกต์
ใน Hub มีบั๊กร้ายแรงที่ยอมให้ยึดบัญชีผ่านรหัสกู้คืน (restore code) ที่คาดเดาได้ ทำให้ผู้โจมตีเดาโทเคนกู้คืนแล้วเข้าครอบครองบัญชีผู้ใช้ได้อย่างเป็นระบบ อีกทั้งยังมีช่องโหว่ที่ยอมให้ข้ามการยืนยันตัวตนผ่านการเข้าถึงฐานข้อมูลโดยตรงและการขาดการตรวจสอบสิทธิ์สำหรับการกระทำระดับแอดมิน ทำให้ได้สิทธิ์ผู้ดูแลระบบเต็มรูปแบบโดยไม่ต้องมี credential ที่ถูกต้อง ผู้โจมตีที่เริ่มจากการข้ามการยืนยันตัวตนใน Hub หรือ YouTrack แล้วต่อด้วยช่องโหว่ RCE ใน TeamCity หรือ IDE สามารถขยับจากจุดตั้งต้นเดียวไปยึดครองบิลด์ อาร์ติแฟกต์ และการดีพลอยทั้งหมดได้ ไลน์รุ่นระหว่างปี 2024–2026 ล้วนได้รับผลกระทบ
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 กรกฎาคม พ.ศ. 2569 ว่า บริษัท JetBrains ได้ปล่อยแพตช์ความปลอดภัยชุดใหญ่เพื่ออุดช่องโหว่ร้ายแรงหลายตัวที่กระจายอยู่ทั่วผลิตภัณฑ์แบบ on-premise ของบริษัท โดยเตือนว่าองค์กรที่ล่าช้าในการอัปเดตจะเปิดช่องให้ระบบพัฒนาซอฟต์แวร์และ CI/CD ถูกยึดครองได้
ช่องโหว่ที่รุนแรงที่สุดกระจุกตัวอยู่ใน Hub และ YouTrack ซึ่งเป็นองค์ประกอบกลางด้านตัวตนและการจัดการโปรเจกต์ ใน Hub บั๊กร้ายแรงตัวหนึ่งเปิดทางให้ยึดบัญชีผ่านรหัสกู้คืนที่คาดเดาได้ ขณะที่อีกช่องโหว่หนึ่งยอมให้ผู้โจมตียกระดับสิทธิ์ด้วยการแนบข้อมูลการยืนยันตัวตนจากบัญชีอื่นเข้ากับโปรไฟล์ของตน เท่ากับผูก credential ที่มีสิทธิ์สูงกว่าเข้ากับบัญชีของผู้โจมตีเอง ที่อันตรายยิ่งกว่าคือมีช่องโหว่หลายตัวใน Hub ที่เปิดทางให้ข้ามการยืนยันตัวตนผ่านการเข้าถึงฐานข้อมูลโดยตรงและการขาดการตรวจสอบสำหรับการกระทำระดับแอดมิน ทำลายขอบเขตความไว้วางใจระหว่างตรรกะของแอปพลิเคชันกับที่เก็บข้อมูล
YouTrack แสดงรูปแบบช่องโหว่คล้ายกัน คือมีการข้ามการยืนยันตัวตนผ่านการเข้าถึงฐานข้อมูลโดยตรงที่ยอมให้ผู้โจมตีคว้าสิทธิ์ควบคุมระบบติดตามงานทั้งหมด นอกจากปัญหาในชั้นตัวตนแล้ว JetBrains ยังแก้ช่องโหว่ระดับการรันโค้ดหลายตัวที่สามารถนำมาเชื่อมต่อกับบัญชีที่ถูกยึดเพื่อยึดครองสภาพแวดล้อมทั้งหมด รุ่นที่ได้รับผลกระทบครอบคลุมไลน์รุ่นปี 2024–2026 หมายความว่าแม้แต่ระบบ on-premise ที่ค่อนข้างทันสมัยก็ยังเสี่ยงจนกว่าจะติดตั้งบิลด์ความปลอดภัยล่าสุด
รายละเอียดช่องโหว่
ในฝั่งการรันโค้ด Kotlin ได้รับผลกระทบจากช่องโหว่ unsafe deserialization ใน metadata ของ build cache ทำให้ข้อมูลที่ถูกสร้างขึ้นเป็นพิเศษสามารถกระตุ้นการรันโค้ดโดยพลการระหว่างกระบวนการบิลด์ ส่วน GoLand มีช่องโหว่ RCE ที่มีต้นตอจาก project configuration ที่ไม่น่าเชื่อถือ ยอมให้รันตรรกะที่ผู้โจมตีควบคุมเพียงแค่เปิดโปรเจกต์ที่มุ่งร้าย
IntelliJ IDEA มีช่องทางการรันโค้ดหลายเส้นทาง รวมถึง command injection ผ่านการเติมชื่อไฟล์อัตโนมัติ และการรันคำสั่งผ่านบัญชี guest ซึ่งทั้งสองอย่างสามารถถูกฉวยประโยชน์เมื่อผู้โจมตีมีอิทธิพลต่อเนื้อหาโปรเจกต์หรือเซสชัน guest นอกจากนี้ยังมีบั๊กที่ขับเคลื่อนด้วย template เพิ่มเข้ามาขยายพื้นผิวการโจมตีแบบ injection
สำหรับ TeamCity ช่องโหว่ที่พบเปิดทางให้รันโค้ดจากระยะไกลผ่านการตั้งค่าการเชื่อมต่อ Perforce ซึ่งเป็นความเสี่ยงด้าน supply chain ของซอฟต์แวร์อย่างมีนัยสำคัญ ผู้โจมตีที่ฉวยประโยชน์จากการข้ามการยืนยันตัวตนใน Hub หรือ YouTrack ก่อน แล้วใช้ช่องทาง RCE ใน TeamCity หรือ IDE ต่อ จะสามารถขยับจากจุดตั้งต้นเดียวไปยึดครองบิลด์ อาร์ติแฟกต์ และการดีพลอยทั้งหมด การติดตั้งแบบ multi-tenant หรือใช้งานร่วมกันหลายทีมยังเสี่ยงเพิ่มต่อการเปิดเผยข้อมูลข้ามโปรเจกต์และการดัดแปลงบิลด์ โดยเฉพาะที่มีการใช้ guest access, remote development หรือโปรเจกต์ที่ไม่น่าเชื่อถือบ่อยครั้ง
ผลกระทบต่อไทย
องค์กรพัฒนาซอฟต์แวร์ สตาร์ตอัป และทีม DevOps ในไทยจำนวนมากใช้ผลิตภัณฑ์ JetBrains ทั้ง IntelliJ IDEA, GoLand และ TeamCity เป็นเครื่องมือหลักในไปป์ไลน์ CI/CD การที่ช่องโหว่เปิดทางให้ยึดครองระบบบิลด์และการดีพลอยได้ หมายความว่าผู้โจมตีอาจฝังโค้ดมุ่งร้ายลงในซอฟต์แวร์ที่องค์กรพัฒนาแล้วส่งต่อไปยังลูกค้าปลายทาง กลายเป็นการโจมตีแบบ supply chain ที่ขยายวงกว้าง
ระบบ JetBrains แบบ on-premise ที่เปิดให้เข้าถึงจากภายนอกหรือมีการแบ่งเครือข่ายไม่รัดกุมจะตกเป็นเป้าที่เสี่ยงสูงเป็นพิเศษ องค์กรไทยที่ใช้ TeamCity เป็นเซิร์ฟเวอร์บิลด์ส่วนกลางควรถือเรื่องนี้เป็นวาระเร่งด่วน เพราะการยึดเซิร์ฟเวอร์บิลด์เพียงตัวเดียวสามารถกระทบทุกโปรเจกต์ที่รันอยู่บนนั้น
คำแนะนำ
ผู้ดูแลระบบควรจัดลำดับความสำคัญในการอัปเกรด Hub และ YouTrack เป็นเวอร์ชันล่าสุดที่มี พร้อมทั้งจำกัดและเฝ้าระวังการเข้าถึงฐานข้อมูลโดยตรง และบังคับใช้การยืนยันตัวตนที่แข็งแรง (รวมถึง MFA) รอบบริการของ JetBrains ผู้ดูแล TeamCity ต้องติดตั้งแพตช์ความปลอดภัยล่าสุด หมุนเวียน credential และโทเคนที่ใช้ในการตั้งค่าบิลด์ และตรวจสอบล็อกบิลด์กับประวัติการตั้งค่าเพื่อหาการเปลี่ยนแปลงที่น่าสงสัย
สำหรับเครื่องเอนด์พอยต์ของนักพัฒนา องค์กรควรกำหนดให้อัปเดต IDE เป็นบิลด์ล่าสุด จำกัดการเปิดโปรเจกต์ที่ไม่น่าเชื่อถือ และทบทวนนโยบายความไว้วางใจของปลั๊กอิน สุดท้ายทีมความปลอดภัยควรตรวจสอบล็อกของ JetBrains เพื่อหาการกระทำระดับแอดมินที่ผิดปกติ และเข้มงวดการควบคุมการเข้าถึงตามบทบาท (RBAC) เพื่อลดผลกระทบของช่องโหว่ลักษณะเดียวกันในอนาคต
