สรุปสั้น
บริษัท Zimbra ออกมาเร่งเตือนให้ลูกค้ารีบติดตั้งอัปเดตเพื่ออุดช่องโหว่ความปลอดภัยระดับร้ายแรงที่กระทบ Classic Web Client ซึ่งอาจนำไปสู่การรันโค้ดโดยพลการ (Arbitrary Code Execution) ช่องโหว่นี้ถูกอธิบายว่าเป็นแบบ Stored Cross-Site Scripting (XSS) ที่เปิดทางให้อีเมลซึ่งถูกดัดแปลงมาเป็นพิเศษสามารถรันสคริปต์อันตรายในเซสชันของผู้ใช้ได้ทันทีที่เปิดอ่านอีเมล โดยช่องโหว่นี้ยังไม่ได้รับการกำหนดหมายเลข CVE Zimbra ระบุว่าการอัปเดตครั้งนี้แก้ไขปัญหาความปลอดภัยใน Classic Web Client ที่อีเมลซึ่งถูกดัดแปลงเป็นพิเศษสามารถรันโค้ดอันตรายเมื่อเปิดอีเมล และหากถูกโจมตีสำเร็จ อาจเปิดทางให้เข้าถึงข้อมูลกล่องจดหมาย ข้อมูลเซสชัน หรือการตั้งค่าบัญชีได้
แม้ Zimbra จะไม่ได้ระบุว่าช่องโหว่นี้ถูกใช้โจมตีจริงในภาคสนาม แต่ช่องโหว่ XSS ใน Zimbra เป็นแม่เหล็กดึงดูดการโจมตีมานานหลายปี โดยผู้ไม่หวังดีพยายามใช้ประโยชน์จากช่องโหว่ลักษณะนี้มาตั้งแต่เดือนธันวาคม 2564 ด้วยศักยภาพในการนำไปใช้ในทางที่ผิดสูง จึงแนะนำให้ผู้ใช้อัปเดตเป็น Zimbra Collaboration Suite เวอร์ชัน 10.1.19 เพื่อการป้องกันที่ดีที่สุด
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 11 กรกฎาคม พ.ศ. 2569 ว่าบริษัท Zimbra ออกประกาศเตือนลูกค้าให้เร่งอัปเดตแพตช์เพื่ออุดช่องโหว่ร้ายแรงใน Classic Web Client ซึ่งเป็นหน้าเว็บไคลเอนต์แบบดั้งเดิมสำหรับใช้งานอีเมล โดยช่องโหว่นี้อาจส่งผลให้เกิดการรันโค้ดโดยพลการในเซสชันของผู้ใช้
ช่องโหว่ดังกล่าวถูกจัดเป็น Stored XSS หรือ Persistent XSS ซึ่งเป็นชนิดของช่องโหว่ XSS ที่สคริปต์อันตรายถูกฝังไว้อย่างถาวรบนเซิร์ฟเวอร์เป้าหมายในฐานข้อมูล เช่น ในรูปของความคิดเห็นหรือโพสต์ที่ดูไม่มีพิษภัย ทำให้ผู้เข้าชมหน้าเว็บที่มีสคริปต์นั้นถูกโจมตีทันทีที่หน้าเว็บถูกโหลดขึ้นบนเบราว์เซอร์ ในกรณีของ Zimbra ผู้โจมตีเพียงส่งอีเมลที่ถูกดัดแปลงมาเป็นพิเศษ เมื่อเหยื่อเปิดอ่านอีเมลนั้น สคริปต์อันตรายก็จะทำงานในเซสชันของเหยื่อโดยอัตโนมัติ
ทั้งนี้ช่องโหว่ XSS เกิดขึ้นเมื่อแอปพลิเคชันนำข้อมูลที่ไม่น่าเชื่อถือมาแสดงในหน้าเว็บโดยไม่มีการตรวจสอบหรือ escape อย่างเหมาะสม ทำให้ผู้โจมตีสามารถฉีดและรันโค้ด JavaScript อันตรายในเบราว์เซอร์ของเหยื่อได้ ซึ่งอาจนำไปสู่การขโมยเซสชัน (Session Hijacking) การขโมยข้อมูลล็อกอิน และการยึดบัญชีในที่สุด
รายละเอียดช่องโหว่
แม้ว่า Zimbra จะไม่ได้ระบุว่าช่องโหว่ล่าสุดนี้ถูกใช้โจมตีจริง แต่ประวัติที่ผ่านมาชี้ว่าช่องโหว่ XSS ใน Zimbra ตกเป็นเป้าหมายของผู้โจมตีมาโดยตลอด เมื่อเดือนตุลาคมปีก่อน ช่องโหว่ Stored XSS ใน Classic Web Client (CVE-2025-27915 คะแนน CVSS 5.4) ถูกกล่าวหาว่าถูกใช้เป็นช่องโหว่ Zero-day ในการโจมตีที่พุ่งเป้าไปยังกองทัพบราซิล แม้ในตอนนั้น Zimbra จะแจ้งกับ The Hacker News ว่าไม่พบหลักฐานยืนยันก็ตาม
ช่องโหว่ XSS อื่นๆ ใน Zimbra ที่เคยถูกผู้ไม่หวังดีใช้โจมตีมาแล้ว ได้แก่ CVE-2023-37580 และ CVE-2024-27443 ซึ่งสะท้อนให้เห็นว่าผลิตภัณฑ์อีเมลอย่าง Zimbra เป็นเป้าหมายที่ผู้โจมตีให้ความสนใจสูง เนื่องจากการเจาะระบบอีเมลสำเร็จเพียงจุดเดียวสามารถต่อยอดไปสู่การขโมยข้อมูลลับ การเข้าถึงบัญชีอื่น และการเคลื่อนตัวลึกเข้าไปในเครือข่ายได้ ด้วยศักยภาพในการถูกนำไปใช้ในทางที่ผิดสูงเช่นนี้ ผู้ใช้จึงควรอัปเดตเป็น Zimbra Collaboration Suite เวอร์ชัน 10.1.19 โดยเร็ว
ผลกระทบต่อไทย
Zimbra เป็นระบบอีเมลและ Collaboration ที่หน่วยงานราชการ สถาบันการศึกษา และองค์กรจำนวนมากในไทยเลือกใช้ เนื่องจากเป็นทางเลือกที่คุ้มค่าและติดตั้งใช้งานภายในองค์กรเองได้ ช่องโหว่ที่เพียงเปิดอ่านอีเมลก็ติดกับดักได้ทันทีนั้นอันตรายเป็นพิเศษ เพราะผู้ใช้ไม่จำเป็นต้องคลิกลิงก์หรือดาวน์โหลดไฟล์ใดๆ ประกอบกับที่ผ่านมามีกลุ่มโจมตีที่พุ่งเป้าเซิร์ฟเวอร์ Zimbra ที่เปิดสู่อินเทอร์เน็ตและยังไม่ได้แพตช์อยู่เสมอ องค์กรไทยที่ยังใช้ Classic Web Client จึงมีความเสี่ยงถูกขโมยเซสชัน ข้อมูลกล่องจดหมาย และถูกยึดบัญชี ซึ่งอาจลุกลามเป็นการเจาะระบบภายในองค์กรต่อไปได้
คำแนะนำ
ผู้ดูแลระบบควรอัปเดต Zimbra Collaboration Suite เป็นเวอร์ชัน 10.1.19 โดยเร็วที่สุด เพื่ออุดช่องโหว่ Stored XSS นี้ หากยังไม่สามารถอัปเดตได้ทันที ควรพิจารณาจำกัดการเข้าถึง Classic Web Client จากภายนอก หรือแนะนำให้ผู้ใช้เปลี่ยนไปใช้เว็บไคลเอนต์รุ่นใหม่ (Modern Web Client) ชั่วคราว ควรเฝ้าระวังความผิดปกติในระบบ เช่น การเข้าถึงกล่องจดหมายหรือการตั้งค่าบัญชีที่ไม่ปกติ ตรวจสอบล็อกการเข้าใช้งาน และแจ้งเตือนผู้ใช้ให้ระวังอีเมลที่น่าสงสัย นอกจากนี้ควรวางระบบให้อัปเดตแพตช์ความปลอดภัยของ Zimbra อย่างสม่ำเสมอ เพราะผลิตภัณฑ์นี้ตกเป็นเป้าหมายการโจมตีต่อเนื่องมาหลายปี
