สรุปสั้น
ช่องโหว่รันโค้ดจากระยะไกลแบบไม่ต้องยืนยันตัวตน (Unauthenticated Remote Code Execution) ที่เพิ่งถูกเปิดเผยในเราเตอร์ Wi-Fi รุ่น Motorola MR2600 เปิดทางให้ผู้โจมตีที่อยู่ในเครือข่ายภายในสามารถอัปโหลดและติดตั้งเฟิร์มแวร์อันตรายได้โดยไม่ต้องล็อกอินเข้าหน้าจัดการของเราเตอร์ ตามรายงานของนักวิจัยชื่อ MrBruh เราเตอร์ Motorola MR2600 ซึ่งเฟิร์มแวร์ล่าสุดออกเมื่อกลางปี 2567 มีช่องโหว่ในฟังก์ชันอัปโหลดและตรวจสอบเฟิร์มแวร์
การโจมตีใช้กระบวนการอัปเดตเฟิร์มแวร์แบบ 2 ขั้นตอน ขั้นแรกผู้โจมตีส่งคำขอที่จัดรูปแบบมาเป็นพิเศษไปยัง endpoint สำหรับอัปโหลดเฟิร์มแวร์ของเราเตอร์ ตัวเราเตอร์ถูกออกแบบให้รับเฟิร์มแวร์ในรูปแบบ SEAMA และตรวจค่าส่วนหัว (Header) ที่คาดหวังก่อนรับการอัปโหลด แต่ตัวจัดการการอัปโหลดกลับตรวจสอบคำขอ HTTP multipart ทั้งก้อนอย่างผิดพลาด แทนที่จะดึงและตรวจเฉพาะไฟล์ที่อัปโหลดเข้ามา ผู้โจมตีจึงข้ามพฤติกรรมนี้ได้ด้วยการประกาศว่าเป็นการอัปโหลดแบบ multipart แต่ส่งไฟล์เฟิร์มแวร์ดิบเข้าไปตรงๆ
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 13 กรกฎาคม พ.ศ. 2569 ว่านักวิจัย MrBruh ได้เปิดเผยช่องโหว่ในกระบวนการอัปเดตเฟิร์มแวร์ของเราเตอร์ Motorola MR2600 ที่เปิดทางให้ผู้โจมตีรันโค้ดควบคุมอุปกรณ์ได้โดยไม่ต้องยืนยันตัวตน
แม้เราเตอร์จะทำการตรวจสอบสิทธิ์หลังจากรับการอัปโหลดแล้ว แต่การตรวจสอบเกิดขึ้นช้าเกินไป เพราะเมื่อถึงจุดนั้นไฟล์เฟิร์มแวร์ที่อัปโหลดได้ถูกบันทึกลงในเส้นทางจัดเก็บชั่วคราวของเราเตอร์ไปแล้ว และอุปกรณ์ไม่ได้ลบไฟล์ทิ้งเมื่อการยืนยันตัวตนล้มเหลว ทำให้ไฟล์อันตรายยังคงอยู่พร้อมสำหรับขั้นตอนถัดไปของการโจมตี
ข้อบกพร่องที่สองอยู่ที่ SOAP endpoint สำหรับตรวจสอบเฟิร์มแวร์ของเราเตอร์ ซึ่งควรต้องยืนยันตัวตนก่อนตรวจสอบและเขียน (Flash) อิมเมจที่บันทึกไว้บนอุปกรณ์ แต่ตรรกะการยืนยันตัวตนกลับใช้กฎการจับคู่ URL ที่ไม่สม่ำเสมอ โดยเราเตอร์ตรวจว่าเส้นทางที่ร้องขอมีสตริงที่อยู่ในรายการอนุญาต (Allowlist) หรือไม่ แต่กลับประเมิน endpoint เฟิร์มแวร์ที่ได้รับการป้องกันด้วยการเทียบเส้นทางแบบตรงตัวเป๊ะ ผู้โจมตีจึงสามารถต่อท้ายชื่อหน้าที่อยู่ในรายการอนุญาตเป็นพารามิเตอร์ URL ทำให้เราเตอร์เข้าใจว่าคำขอที่ได้รับการป้องกันนั้นเข้าถึงได้แบบสาธารณะ
รายละเอียดช่องโหว่
หลังข้ามการยืนยันตัวตนได้ ผู้โจมตีสามารถกระตุ้นฟังก์ชันตรวจสอบเฟิร์มแวร์ภายในของเราเตอร์ ซึ่งจะตรวจโครงสร้างอิมเมจ SEAMA และค่า CRC32 checksum ก่อนเรียกใช้ยูทิลิตีเขียนเฟิร์มแวร์ จุดสำคัญคือกระบวนการนี้ไม่ต้องการการเซ็นเฟิร์มแวร์ด้วยลายเซ็นดิจิทัล (Cryptographic Firmware Signing) ผู้โจมตีจึงสามารถสร้างอิมเมจอันตรายที่ดูถูกต้องและผ่านการตรวจเหล่านี้ได้ เมื่อเขียนลงไปแล้ว เราเตอร์จะรีบูตและเริ่มรันเฟิร์มแวร์ที่ผู้โจมตีควบคุม
สิ่งนี้เปิดทางให้เกิดการรันโค้ดแบบฝังตัวถาวร (Persistent Code Execution) ทำให้ผู้โจมตีสามารถแก้ไขการตั้งค่าเครือข่าย ดักดูทราฟฟิก ปล่อยมัลแวร์ หรือใช้เราเตอร์เป็นหัวสะพานโจมตีอุปกรณ์อื่นได้ การโจมตีนี้เปิดใช้ได้โดยผู้โจมตีที่ไม่ต้องยืนยันตัวตนในเครือข่ายภายใน และอาจใช้โจมตีผ่านอินเทอร์เน็ตได้ด้วยหากเปิดใช้การจัดการระยะไกล (Remote Management) โดยรายงานของ MrBruh ระบุว่า Shodan พบเราเตอร์ Motorola MR2600 ที่เปิดสู่ออนไลน์พร้อมเปิดการจัดการระยะไกลอยู่ในขณะที่เผยแพร่รายงาน
ประเด็นที่น่ากังวลคือ Motorola MR2600 นั้นถูกระบุว่าเป็นผลิตภัณฑ์ที่หมดอายุการสนับสนุน (End-of-life) แล้ว และนักวิจัยเผชิญความสับสนเมื่อพยายามรายงานช่องโหว่ไปยัง Motorola Mobility และ Motorola Solutions เนื่องจากทั้งสององค์กรต่างโยนเรื่องให้อีกฝ่าย ทำให้ช่องโหว่นี้ยังไม่มีการตอบสนองที่ชัดเจนจากผู้ผลิต
ผลกระทบต่อไทย
เราเตอร์ Wi-Fi สำหรับผู้บริโภคเป็นอุปกรณ์ที่ใช้แพร่หลายในบ้านและสำนักงานขนาดเล็กในไทย และผู้ใช้ส่วนใหญ่มักไม่อัปเดตเฟิร์มแวร์หรือไม่ทราบว่าอุปกรณ์หมดการสนับสนุนแล้ว ช่องโหว่ที่ให้ยึดเราเตอร์ได้โดยไม่ต้องล็อกอินนั้นอันตรายมาก เพราะเมื่อยึดเราเตอร์ได้ ผู้โจมตีจะควบคุมประตูสู่อินเทอร์เน็ตของทั้งเครือข่าย สามารถดักข้อมูล เปลี่ยนเส้นทาง DNS ไปยังเว็บปลอม หรือใช้เป็นฐานโจมตีอุปกรณ์อื่นในบ้านและองค์กร ยิ่งอุปกรณ์ที่เปิด remote management สู่อินเทอร์เน็ตยิ่งเสี่ยงถูกโจมตีจากระยะไกล และเนื่องจากเป็นอุปกรณ์ End-of-life ที่ไม่มีแพตช์ ความเสี่ยงจึงคงอยู่ถาวรจนกว่าจะเปลี่ยนอุปกรณ์
คำแนะนำ
องค์กรและผู้ใช้ตามบ้านควรปิดการจัดการระยะไกล (Remote Management) บนเราเตอร์ MR2600 ทันที และจำกัดการเข้าถึงหน้าจัดการให้อยู่เฉพาะเครือข่ายที่เชื่อถือได้ เนื่องจากอุปกรณ์นี้เป็น End-of-life และไม่มีแพตช์จากผู้ผลิต แนวทางที่ปลอดภัยที่สุดคือพิจารณาเปลี่ยนไปใช้ฮาร์ดแวร์รุ่นที่ยังได้รับการสนับสนุนและอัปเดตความปลอดภัยอยู่ ระหว่างที่ยังใช้อยู่ควรตั้งรหัสผ่านหน้าแอดมินที่แข็งแรง แยกเครือข่ายผู้มาเยือน (Guest Network) ออกจากอุปกรณ์สำคัญ และเฝ้าระวังพฤติกรรมผิดปกติของเครือข่าย เช่น การเปลี่ยนแปลงการตั้งค่า DNS หรือทราฟฟิกที่ไม่คาดคิด ซึ่งอาจบ่งชี้ว่าเราเตอร์ถูกยึดแล้ว
