สรุปสั้น
บริษัท SonicWall ออกประกาศแจ้งเตือนด่วนว่าช่องโหว่สองรายการในอุปกรณ์ SMA1000 กำลังถูกผู้โจมตีใช้ประโยชน์ในการโจมตีแบบ zero-day โดยช่องโหว่แรกคือ CVE-2026-15409 เป็นช่องโหว่ Server-Side Request Forgery (SSRF) ระดับวิกฤต (CVSS 10.0) ในส่วน Appliance Work Place ที่เปิดให้ผู้โจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตนสามารถบังคับให้อุปกรณ์ส่งคำขอไปยังปลายทางที่ไม่ได้ตั้งใจได้ ส่วนช่องโหว่ที่สองคือ CVE-2026-15410 เป็นช่องโหว่ code injection ระดับสูง (CVSS 7.2) ในส่วน Appliance Management Console ที่เปิดให้ผู้ดูแลระบบที่ผ่านการยืนยันตัวตนแล้วรันคำสั่งระบบปฏิบัติการใดก็ได้
ทีม PSIRT ของบริษัทยืนยันจากการสอบสวนหลายเหตุการณ์ว่าช่องโหว่ทั้งสองถูกโจมตีจริงในวงกว้าง โดยช่องโหว่กระทบ SMA1000 รุ่น 6210, 7210 และ 8200v ที่รันเฟิร์มแวร์สาย 12.4.3 และ 12.5.0 หลายเวอร์ชัน ทั้งนี้ไม่มีวิธี workaround หรือการบรรเทาอื่นใดนอกจากการอัปเดตเป็น platform-hotfix เวอร์ชัน 12.4.3-03453 หรือ 12.5.0-02835 ขึ้นไปเท่านั้น ขณะที่หน่วยงาน CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่ทั้งสองลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) แล้ว และกำหนดให้หน่วยงานรัฐบาลกลางต้องแก้ไขภายในวันที่ 17 กรกฎาคม พ.ศ. 2569
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 14 กรกฎาคม พ.ศ. 2569 ว่าบริษัท SonicWall ออกประกาศเตือนลูกค้าให้เร่งติดตั้งอัปเดตความปลอดภัยที่เพิ่งเผยแพร่ หลังพบว่าช่องโหว่ CVE-2026-15409 และ CVE-2026-15410 ในผลิตภัณฑ์ SMA1000 ถูกใช้โจมตีแบบ zero-day มาแล้วก่อนที่แพตช์จะออก โดยทีม SonicWall PSIRT ระบุว่าได้สอบสวนหลายกรณีที่บ่งชี้ถึงการโจมตีช่องโหว่ดังกล่าวจริง และเรียกร้องให้ลูกค้าอัปเกรดเป็น hotfix โดยเร็วที่สุด
แม้ CVE-2026-15410 จะต้องใช้สิทธิ์ผู้ดูแลระบบในการโจมตี แต่ SonicWall ให้คะแนน CVSS โดยรวมของประกาศฉบับนี้ที่ 10.0 เต็ม ซึ่งสะท้อนความรุนแรงเมื่อพิจารณาช่องโหว่ทั้งสองร่วมกัน อย่างไรก็ตามบริษัทยังไม่เปิดเผยว่าผู้โจมตีใช้ช่องโหว่ทั้งสองต่อเนื่องกันเป็น exploit chain หรือไม่ โดยเวอร์ชันที่ได้รับผลกระทบได้แก่ 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 และ 12.5.0-02800 ทั้งนี้บริษัทยืนยันว่าช่องโหว่ไม่กระทบ SSL-VPN ที่รันบนไฟร์วอลล์ SonicWall และไม่กระทบผลิตภัณฑ์สาย SMA 100 Series แต่อย่างใด
รายละเอียดช่องโหว่
CVE-2026-15409 (CVSS 10.0) เป็นช่องโหว่ SSRF ในอินเทอร์เฟซ Appliance Work Place ของ SMA1000 ที่เปิดให้ผู้โจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตนบังคับให้อุปกรณ์ส่ง request ไปยังปลายทางที่ผู้โจมตีควบคุม ซึ่งอาจนำไปสู่การเข้าถึงบริการภายในหรือขโมยข้อมูลรับรองตัวตนได้
CVE-2026-15410 (CVSS 7.2) เป็นช่องโหว่ post-authentication code injection ใน Appliance Management Console ที่เปิดให้ผู้ดูแลระบบที่ยืนยันตัวตนแล้วรันคำสั่งระบบปฏิบัติการโดยพลการบนตัวอุปกรณ์ได้ เมื่อนำมาใช้ร่วมกับช่องโหว่แรก ผู้โจมตีอาจยึดครองอุปกรณ์ได้อย่างสมบูรณ์ ทั้งนี้ SonicWall ได้เผยแพร่ Indicators of Compromise สำหรับตรวจสอบร่องรอยการบุกรุก เช่น การพบ request ไปยัง URI ปลอมอย่าง /__api__/login และ /__api__/logout ในไฟล์ล็อก ซึ่ง URI เหล่านี้ไม่มีอยู่ในการตั้งค่าปกติของอุปกรณ์
ผลกระทบต่อไทย
อุปกรณ์ SonicWall ถูกใช้งานแพร่หลายในองค์กรไทยทั้งภาคเอกชน สถาบันการศึกษา และหน่วยงานรัฐ โดยเฉพาะ SMA1000 ที่นิยมใช้เป็นช่องทาง remote access สำหรับพนักงานทำงานจากภายนอก ซึ่งอุปกรณ์ประเภท secure access gateway ที่เปิดสู่อินเทอร์เน็ตโดยตรงเช่นนี้เป็นเป้าหมายอันดับต้นของทั้งกลุ่ม ransomware และกลุ่ม APT ที่ต้องการช่องทางเจาะเข้าเครือข่ายภายใน หน่วยงานที่จัดเป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ควรถือเป็นกรณีเร่งด่วน เนื่องจากช่องโหว่ถูกโจมตีจริงแล้วและไม่มีวิธีบรรเทาอื่นนอกจากติดตั้งแพตช์ องค์กรที่ใช้เฉพาะไฟร์วอลล์ SonicWall (SSL-VPN บนไฟร์วอลล์) หรือ SMA 100 Series ไม่ได้รับผลกระทบจากช่องโหว่ครั้งนี้ แต่ควรตรวจสอบให้แน่ใจว่าไม่มี SMA1000 หลงเหลืออยู่ในระบบ
คำแนะนำ
- ตรวจสอบว่าองค์กรมี SMA1000 รุ่น 6210, 7210 หรือ 8200v ใช้งานอยู่หรือไม่ และรันเฟิร์มแวร์เวอร์ชันที่ได้รับผลกระทบหรือไม่
- อัปเดตเป็น platform-hotfix 12.4.3-03453 หรือ 12.5.0-02835 ขึ้นไปทันที — ไม่มี workaround อื่น
- ตรวจสอบ IoCs ตามตารางด้านล่างในไฟล์ล็อกของอุปกรณ์ทุกเครื่อง ก่อนสรุปว่าปลอดภัย
- หากพบร่องรอยการบุกรุก ให้ re-image อุปกรณ์กายภาพหรือ deploy เครื่องเสมือนใหม่ เปลี่ยนรหัสผ่านผู้ใช้และผู้ดูแลระบบทั้งหมด และรีเซ็ต TOTP token ทุกบัญชี
- เพิ่ม detection rule ใน SIEM สำหรับตรวจจับ request ไปยัง URI ผิดปกติของอุปกรณ์ และเฝ้าระวังการเชื่อมต่อขาออกที่ผิดปกติจากตัวอุปกรณ์
Indicators of Compromise (IoCs)
| Indicator | คำอธิบาย |
|---|---|
Request ไปยัง /__api__/login หรือ /__api__/logout สถานะ HTTP 200 ใน extraweb_access.log | URI เหล่านี้ไม่มีอยู่ในการตั้งค่าปกติ การพบ request สถานะสำเร็จบ่งชี้การบุกรุก |
Request ไปยัง /wsproxy พร้อมพารามิเตอร์ host ผิดปกติ สถานะ HTTP 101 ใน extraweb_access.log | ร่องรอยการใช้ช่องโหว่ SSRF ผ่าน WebSocket proxy |
รายการ hotfix rollback ที่มีชื่อไฟล์แบบ path traversal ใน ctrl-service.log | บ่งชี้ความพยายามฝังตัวหรือแก้ไขระบบผ่านกลไก hotfix |
Route สำหรับ /__api__/login หรือ /__api__/logout ในไฟล์ /var/lib/unit/conf.json | การตั้งค่าที่ผู้โจมตีเพิ่มเข้ามา ไม่มีในคอนฟิกที่ถูกต้อง |
