สรุปสั้น

สำนักงานความมั่นคงไซเบอร์และโครงสร้างพื้นฐานสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ความปลอดภัยระดับร้ายแรงสูงสุด 2 รายการที่กระทบส่วนขยาย iCagenda และ Balbooa สำหรับ Joomla เข้าไปในแคตตาล็อกช่องโหว่ที่ถูกใช้โจมตีจริง (Known Exploited Vulnerabilities หรือ KEV) หลังมีรายงานการโจมตีแบบ Zero-day ในภาคสนาม โดยช่องโหว่ทั้งสองรายการได้คะแนน 10.0 เต็มบนระบบ CVSS ได้แก่ CVE-2026-48939 ซึ่งเป็นช่องโหว่ในส่วนขยาย iCagenda ที่เปิดให้อัปโหลดไฟล์ตามอำเภอใจผ่านฟีเจอร์แนบไฟล์ นำไปสู่การอัปโหลดและรันโค้ด PHP และ CVE-2026-56291 ในส่วนขยาย Balbooa Forms ที่เปิดให้อัปโหลดไฟล์ตามอำเภอใจ นำไปสู่การรันโค้ดจากระยะไกล (Remote Code Execution)

ตามข้อมูลของ บริษัท mySites.guru ผู้ให้บริการแดชบอร์ดบนคลาวด์สำหรับบริหารเว็บไซต์ WordPress และ Joomla ระบุว่า CVE-2026-48939 ถูกใช้โจมตีแบบ Zero-day มาตั้งแต่วันที่ 15 มิถุนายน 2569 ในการโจมตีอัตโนมัติที่พุ่งเป้าเว็บไซต์ Joomla ที่ติดตั้ง iCagenda ช่องโหว่อยู่ในฟังก์ชันฟอร์ม “Submit an Event” ที่ให้ผู้ใช้เสนอกิจกรรมเข้าสู่ปฏิทิน เนื่องจากการโจมตีเกิดขึ้นจริง หน่วยงานฝ่ายบริหารพลเรือนกลางสหรัฐฯ (FCEB) จึงต้องดำเนินการแก้ไขภายในวันที่ 13 กรกฎาคม 2569

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 13 กรกฎาคม พ.ศ. 2569 ว่า CISA เพิ่มช่องโหว่ CVSS 10.0 สองรายการในส่วนขยาย Joomla เข้าสู่แคตตาล็อก KEV หลังพบการโจมตีจริง โดย บริษัท mySites.guru เล่าว่าพบการโจมตี CVE-2026-48939 ครั้งแรกในล็อกการเข้าถึงของลูกค้ารายหนึ่ง ระบุว่า “สแกนเนอร์อัตโนมัติที่ระบุตัวเองว่า ‘icagenda-batch/1.0’ คว้าโทเคนมา โพสต์การอัปโหลดที่เป็นอันตรายไปยัง endpoint สำหรับส่งข้อมูล แล้วดึงเชลล์ที่ฝังไว้จากเส้นทางเดียวกับที่คอมโพเนนต์ใช้เขียนไฟล์แนบพอดี”

ช่องโหว่ CVE-2026-48939 กระทบ iCagenda เวอร์ชัน 4.x จนถึง 4.0.7 และเวอร์ชันเก่าสาย 3.x ตั้งแต่ 3.2.1 จนถึง 3.9.14 โดย JoomliC ได้ออกอัปเดตแก้ไขในเวอร์ชัน 4.0.8 และ 3.9.15 แล้ว เจ้าของเว็บไซต์ควรตรวจหาไฟล์ PHP ที่น่าสงสัยในโฟลเดอร์ “images/icagenda/frontend/attachments/” และลบทิ้ง

ส่วน mySites.guru ยังพบการโจมตีแบบ Zero-day ของ CVE-2026-56291 ที่กระทบ Balbooa Forms เวอร์ชันจนถึง 2.4.0 และได้รับการแพตช์ในเวอร์ชัน 2.4.1 โดยระบุว่า “จนถึงเวอร์ชัน 2.4.0 การอัปโหลดไฟล์แนบฝั่งหน้าเว็บมีข้อบกพร่องร้ายแรง คือรับไฟล์จากผู้เยี่ยมชมนิรนามคนใดก็ได้ โดยไม่ต้องล็อกอิน ไม่มี CSRF token และไม่มีการตรวจสอบชนิดของไฟล์ ผู้โจมตีสามารถอัปโหลดไฟล์ PHP เข้าไปในโฟลเดอร์สาธารณะแล้วรันมันได้ ซึ่งเป็นการรันโค้ดจากระยะไกลแบบไม่ต้องยืนยันตัวตน อันเป็นผลลัพธ์ที่เลวร้ายที่สุดที่ช่องโหว่เว็บจะเป็นได้” ช่องโหว่นี้ถูกค้นพบโดย mySites.guru เมื่อวันที่ 8 กรกฎาคม 2569 หลังเกิดการโจมตีสดกับลูกค้ารายหนึ่ง

รายละเอียดช่องโหว่

ช่องโหว่ทั้งสองรายการเป็นประเภทการอัปโหลดไฟล์ตามอำเภอใจ (Arbitrary File Upload) ที่เปิดทางให้ผู้โจมตีวางไฟล์ PHP อันตรายลงในโฟลเดอร์สาธารณะบนเซิร์ฟเวอร์ แล้วเรียกใช้งานไฟล์นั้นเพื่อรันโค้ดควบคุมเซิร์ฟเวอร์ ในกรณีของ iCagenda จุดอ่อนอยู่ที่ฟังก์ชัน “Submit an Event” ซึ่งเปิดให้ผู้ใช้ทั่วไปเสนอกิจกรรมพร้อมแนบไฟล์ ผู้โจมตีจึงอาศัยช่องนี้อัปโหลดเว็บเชลล์ ส่วน Balbooa Forms ร้ายแรงยิ่งกว่า เพราะรับไฟล์จากผู้ไม่ระบุตัวตนโดยไม่ต้องล็อกอิน ไม่มีการตรวจ CSRF token และไม่ตรวจชนิดไฟล์เลย ทำให้ผู้โจมตีรันโค้ดจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน

รูปแบบการโจมตีเป็นแบบอัตโนมัติ โดยสแกนเนอร์จะค้นหาเว็บไซต์ Joomla ที่ติดตั้งส่วนขยายเวอร์ชันมีช่องโหว่ แล้วยิงคำขออัปโหลดพร้อมดึงเว็บเชลล์ที่ฝังไว้กลับมาทันที ซึ่งเมื่อฝังเว็บเชลล์สำเร็จ ผู้โจมตีจะควบคุมเว็บเซิร์ฟเวอร์ได้อย่างต่อเนื่อง สามารถขโมยข้อมูล ปล่อยมัลแวร์ หรือใช้เป็นสะพานเจาะระบบภายในต่อไปได้

Indicators of Compromise (IoCs)

หมายเหตุ: ค่าบางส่วนถูก defang เพื่อความปลอดภัย

ประเภทค่าคำอธิบาย
User-Agenticagenda-batch/1.0สแกนเนอร์อัตโนมัติที่ใช้โจมตี CVE-2026-48939
เส้นทางไฟล์images/icagenda/frontend/attachments/โฟลเดอร์ที่ iCagenda เขียนไฟล์แนบ — ตรวจหาไฟล์ PHP แปลกปลอม
เส้นทางไฟล์images/baforms/uploadsโฟลเดอร์อัปโหลด Balbooa Forms (ค่าเริ่มต้น) — ตรวจหาไฟล์ที่ไม่ใช่รูป/เอกสาร โดยเฉพาะ .php
พฤติกรรมบัญชีผู้ดูแล (Administrator) ที่น่าสงสัยใน Joomlaตรวจรายชื่อผู้ใช้หาบัญชี admin ที่ถูกเพิ่มโดยไม่ทราบที่มา
พฤติกรรมไฟล์ PHP ที่เพิ่งแก้ไข/ไม่คุ้นเคยทั่วเว็บไซต์ตรวจสอบไฟล์ที่ถูกดัดแปลงล่าสุดทั้งไซต์

ผลกระทบต่อไทย

Joomla เป็นระบบจัดการเนื้อหา (CMS) ที่หน่วยงานราชการ สถาบันการศึกษา และธุรกิจในไทยจำนวนมากใช้สร้างเว็บไซต์ โดยเฉพาะเว็บที่มีปฏิทินกิจกรรมหรือฟอร์มรับข้อมูลจากประชาชน ซึ่ง iCagenda และ Balbooa Forms เป็นส่วนขยายยอดนิยมสำหรับงานลักษณะนี้ เนื่องจากการโจมตีเป็นแบบอัตโนมัติและไม่เลือกเป้าหมายตามภูมิภาค เว็บไซต์ไทยที่ติดตั้งส่วนขยายเวอร์ชันมีช่องโหว่จึงเสี่ยงถูกฝังเว็บเชลล์และยึดเซิร์ฟเวอร์ได้ทันที เมื่อถูกยึดแล้วอาจถูกใช้ขโมยข้อมูลประชาชน ปล่อยมัลแวร์ หรือเป็นฐานโจมตีต่อ ซึ่งกระทบทั้งความเชื่อมั่นและความรับผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)

คำแนะนำ

ผู้ดูแลเว็บไซต์ Joomla ควรอัปเดต iCagenda เป็นเวอร์ชัน 4.0.8 หรือ 3.9.15 และ Balbooa Forms เป็นเวอร์ชัน 2.4.1 โดยเร็วที่สุด จากนั้นตรวจสอบร่องรอยการบุกรุกตามรายการ IoCs ข้างต้น โดยเฉพาะการตรวจหาไฟล์ PHP แปลกปลอมในโฟลเดอร์ “images/icagenda/frontend/attachments/” และ “images/baforms/uploads” ตรวจรายชื่อผู้ดูแลระบบ Joomla ว่ามีบัญชีที่น่าสงสัยถูกเพิ่มเข้ามาหรือไม่ และตรวจไฟล์ PHP ที่เพิ่งถูกแก้ไขหรือไม่คุ้นเคยทั่วทั้งเว็บไซต์ หากพบว่าถูกบุกรุก ควรเก็บล็อกไว้เป็นหลักฐาน เริ่มกระบวนการตอบสนองต่อเหตุการณ์ และพิจารณากู้คืนระบบจากข้อมูลสำรองที่สะอาด รวมถึงรีเซ็ตรหัสผ่านและโทเคนทั้งหมด นอกจากนี้ควรจำกัดสิทธิ์การเขียนไฟล์ในโฟลเดอร์อัปโหลด และวาง Web Application Firewall (WAF) เสริมเพื่อกรองการอัปโหลดที่เป็นอันตราย

แหล่งอ้างอิง