สรุปสั้น

บริษัท Progress Software ออกคำสั่งให้ลูกค้า ShareFile ปิดเซิร์ฟเวอร์ Windows ที่รัน Storage Zone Controller ของตนทันที โดยยืนยันกับ The Hacker News ว่ากำลังตอบสนองต่อ “ภัยคุกคามความปลอดภัยจากภายนอกที่น่าเชื่อถือ” (Credible External Security Threat) บริษัทได้ระงับการเข้าถึงบัญชีที่ได้รับผลกระทบเป็นการชั่วคราว ซึ่งเป็นขั้นตอนที่ทำ “ด้วยความระมัดระวังอย่างยิ่ง” ระหว่างที่ทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยทั้งภายในและภายนอก โดยระบุว่ายังไม่พบสัญญาณการเข้าถึงบัญชีหรือข้อมูล ShareFile ใดๆ โดยไม่ได้รับอนุญาต และได้แจ้งลูกค้าหลังทราบเรื่องภัยคุกคาม

สิ่งที่ Progress ยังไม่เปิดเผยคือภัยคุกคามนี้คืออะไรและใครอยู่เบื้องหลัง คำสั่งดังกล่าวกลายเป็นเรื่องสาธารณะเมื่อลูกค้ารายหนึ่งโพสต์อีเมลของบริษัทลงบน Reddit ในกลุ่ม r/sysadmin เมื่อวันที่ 10 กรกฎาคม โดย Progress ยืนยันการหยุดชะงักบนหน้าสถานะของตน ระบุว่าลูกค้า Storage Zone Controller อยู่ในสถานะ “ไม่สามารถให้บริการได้” ทั้งนี้กระทบเฉพาะ Storage Zone Controller เท่านั้น ไม่กระทบบัญชี ShareFile แบบคลาวด์ล้วนที่เป็นมาตรฐาน การสั่งให้ปิดระบบทั้งหมดแทนที่จะเป็นการแพตช์ถือเป็นสัญญาณที่น่าจับตา เพราะมักหมายถึงช่องโหว่ที่เพิ่งค้นพบและยังไม่มีตัวแก้ไข

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 10 กรกฎาคม พ.ศ. 2569 ว่า Progress Software ได้แจ้งลูกค้า ShareFile ให้ปิดเซิร์ฟเวอร์ที่รัน Storage Zone Controller ทันที เนื่องจากกำลังรับมือกับภัยคุกคามความปลอดภัยจากภายนอกที่น่าเชื่อถือ โดยบริษัทได้ปิดการเข้าถึงบัญชีที่ได้รับผลกระทบไว้ชั่วคราวเพื่อความปลอดภัยสูงสุด

Storage Zone Controller คือเซิร์ฟเวอร์ที่องค์กรรันเอง เพื่อให้ไฟล์ยังคงอยู่บนที่จัดเก็บของตัวเองในขณะที่ยังใช้คลาวด์ของ ShareFile ในการแชร์และบริหารจัดการไฟล์ ตัวควบคุมนี้มักตั้งอยู่ที่ขอบเครือข่าย (Network Edge) ซึ่งเข้าถึงได้จากอินเทอร์เน็ต การเปิดสู่ภายนอกเช่นนี้ทำให้มันมีประโยชน์แต่ก็ตกเป็นเป้าหมายไปพร้อมกัน การสั่งให้ลูกค้านำระบบออฟไลน์ทั้งหมดแทนที่จะเพียงแค่แพตช์ จึงเป็นขั้นตอนที่ผิดปกติและน่าจับตา

ทางเลือกนี้เป็นสัญญาณในตัวเอง เพราะหากมีตัวแก้ไขสำหรับภัยคุกคามนี้ Progress ก็คงบอกให้ลูกค้าติดตั้ง การสั่งปิดจึงบ่งชี้ว่ายังไม่มีตัวแก้ไข ซึ่งมักหมายถึงช่องโหว่ที่เพิ่งถูกพบและบริษัทกำลังเร่งอุด แม้ขั้นตอนเดียวกันนี้อาจสอดคล้องกับภัยคุกคามที่แพตช์แก้ไม่ได้ เช่น กุญแจ (Key) ที่ถูกขโมย หรือปัญหาที่ฝั่ง Progress เองก็ตาม นอกจากนี้คำแถลงที่ว่าไม่มีบัญชีหรือข้อมูลใดถูกเข้าถึงก็เป็นถ้อยคำที่ระมัดระวัง และไม่ได้ตัดความเป็นไปได้ที่จะมีปัญหาบนตัวควบคุมเอง

บริบทและประวัติการโจมตี

ShareFile เคยเผชิญเหตุการณ์ลักษณะนี้มาก่อน ในปี 2566 ขณะที่ผลิตภัณฑ์ยังเป็นของ Citrix ผู้โจมตีเคยใช้ประโยชน์จากช่องโหว่ที่ไม่ต้องยืนยันตัวตนใน Storage Zones Controller ตัวเดียวกัน (CVE-2023-24489) โดย CISA ระบุว่าถูกใช้โจมตีจริง และ Citrix ได้ตัดการเชื่อมต่อตัวควบคุมที่ยังไม่ได้แพตช์ออกจากคลาวด์ ShareFile ซึ่งเป็นการบล็อกการเข้าถึงแบบเดียวกับที่ Progress ทำในตอนนี้ ทั้งนี้ Progress ที่เข้าซื้อ ShareFile ในปี 2567 เคยผ่านการโจมตีระบบรับส่งไฟล์ขนาดใหญ่มาแล้วคือ MOVEit ที่มีช่องโหว่ Zero-day ในปี 2566 ซึ่งถูกกลุ่ม Clop ใช้โจมตีองค์กรกว่า 2,700 แห่ง

นอกจากนี้ Storage Zones Controller ยังเคยมีช่องโหว่ร้ายแรง 2 รายการที่ บริษัท watchTowr เปิดเผยในเดือนเมษายนและ Progress แพตช์ในเดือนมีนาคม แม้บริษัทจะยังไม่ได้เชื่อมโยงภัยคุกคามปัจจุบันเข้ากับช่องโหว่เหล่านั้น และยังไม่มีรายงานว่าถูกใช้โจมตีจริง คำถามสำคัญจึงยังไม่มีคำตอบ นั่นคือ Progress ได้ดึงระบบเหล่านี้ออฟไลน์และทำงานร่วมกับผู้เชี่ยวชาญภายนอก แต่ยังไม่ได้บอกว่าภัยคุกคามคืออะไร หรือลูกค้าจะนำระบบกลับมาออนไลน์ได้อย่างปลอดภัยเมื่อใด

ผลกระทบต่อไทย

องค์กรไทยในภาคการเงิน สาธารณสุข กฎหมาย และหน่วยงานที่ต้องเก็บไฟล์ไว้ในโครงสร้างพื้นฐานของตัวเองด้วยเหตุผลด้านการกำกับดูแล มักเลือกใช้ ShareFile พร้อม Storage Zone Controller เพื่อให้ข้อมูลอ่อนไหวอยู่ในประเทศหรือในระบบของตนเอง องค์กรเหล่านี้จึงได้รับผลกระทบโดยตรงจากคำสั่งปิดระบบ ทั้งด้านความต่อเนื่องของการทำงานและความเสี่ยงด้านความปลอดภัย เนื่องจากตัวควบคุมมักเปิดสู่อินเทอร์เน็ต ผู้ที่รันระบบนี้อยู่ในไทยควรถือว่าเป็นเหตุการณ์ที่อาจถูกบุกรุกและดำเนินการตรวจสอบทันที ประวัติของ ShareFile และ MOVEit ที่เคยถูกโจมตีวงกว้างยิ่งเน้นย้ำว่าระบบรับส่งไฟล์ที่เปิดสู่ภายนอกเป็นเป้าหมายชั้นดีของผู้โจมตี

คำแนะนำ

ลูกค้าควรทำตามคำสั่งปิดระบบก่อนเป็นอันดับแรก โดยเก็บ Storage Zone Controller ที่ได้รับผลกระทบไว้ออฟไลน์จนกว่า Progress จะระบุว่าภัยคุกคามคืออะไรและปลอดภัยที่จะเปิดใช้เมื่อใด ควรตรวจสอบแยกต่างหากว่าเวอร์ชันที่ใช้เป็นปัจจุบันหรือไม่ คือ 5.12.4 หรือใหม่กว่าในสาย 5.x หรือเวอร์ชัน 6.x ซึ่งจะปิดช่องโหว่ที่แก้ไปก่อนหน้านี้ในปีนี้ แต่ Progress ยังไม่ได้ยืนยันว่าเคลียร์ภัยคุกคามปัจจุบัน จึงไม่ควรถือเป็นสัญญาณให้เปิดระบบกลับมา หากตัวควบคุมเปิดสู่อินเทอร์เน็ต ควรจัดการเสมือนเป็นเหตุการณ์บุกรุกที่อาจเกิดขึ้น เก็บรักษาล็อกไว้และเริ่มกระบวนการตอบสนองต่อเหตุการณ์ (Incident Response) จากนั้นตรวจหาไฟล์ .aspx ที่ไม่คุ้นเคยในโฟลเดอร์เว็บและเส้นทางจัดเก็บที่ไม่ได้ตั้งไว้เอง พึงระลึกว่าเซิร์ฟเวอร์ที่ดูสะอาดไม่ใช่ข้อพิสูจน์ว่าปลอดภัย

แหล่งอ้างอิง