สรุปสั้น

บริษัท SonicWall ออกประกาศแจ้งเตือนด่วนว่าช่องโหว่สองรายการในอุปกรณ์ SMA1000 กำลังถูกผู้โจมตีใช้ประโยชน์ในการโจมตีแบบ zero-day โดยช่องโหว่แรกคือ CVE-2026-15409 เป็นช่องโหว่ Server-Side Request Forgery (SSRF) ระดับวิกฤต (CVSS 10.0) ในส่วน Appliance Work Place ที่เปิดให้ผู้โจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตนสามารถบังคับให้อุปกรณ์ส่งคำขอไปยังปลายทางที่ไม่ได้ตั้งใจได้ ส่วนช่องโหว่ที่สองคือ CVE-2026-15410 เป็นช่องโหว่ code injection ระดับสูง (CVSS 7.2) ในส่วน Appliance Management Console ที่เปิดให้ผู้ดูแลระบบที่ผ่านการยืนยันตัวตนแล้วรันคำสั่งระบบปฏิบัติการใดก็ได้

ทีม PSIRT ของบริษัทยืนยันจากการสอบสวนหลายเหตุการณ์ว่าช่องโหว่ทั้งสองถูกโจมตีจริงในวงกว้าง โดยช่องโหว่กระทบ SMA1000 รุ่น 6210, 7210 และ 8200v ที่รันเฟิร์มแวร์สาย 12.4.3 และ 12.5.0 หลายเวอร์ชัน ทั้งนี้ไม่มีวิธี workaround หรือการบรรเทาอื่นใดนอกจากการอัปเดตเป็น platform-hotfix เวอร์ชัน 12.4.3-03453 หรือ 12.5.0-02835 ขึ้นไปเท่านั้น ขณะที่หน่วยงาน CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่ทั้งสองลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) แล้ว และกำหนดให้หน่วยงานรัฐบาลกลางต้องแก้ไขภายในวันที่ 17 กรกฎาคม พ.ศ. 2569

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 14 กรกฎาคม พ.ศ. 2569 ว่าบริษัท SonicWall ออกประกาศเตือนลูกค้าให้เร่งติดตั้งอัปเดตความปลอดภัยที่เพิ่งเผยแพร่ หลังพบว่าช่องโหว่ CVE-2026-15409 และ CVE-2026-15410 ในผลิตภัณฑ์ SMA1000 ถูกใช้โจมตีแบบ zero-day มาแล้วก่อนที่แพตช์จะออก โดยทีม SonicWall PSIRT ระบุว่าได้สอบสวนหลายกรณีที่บ่งชี้ถึงการโจมตีช่องโหว่ดังกล่าวจริง และเรียกร้องให้ลูกค้าอัปเกรดเป็น hotfix โดยเร็วที่สุด

แม้ CVE-2026-15410 จะต้องใช้สิทธิ์ผู้ดูแลระบบในการโจมตี แต่ SonicWall ให้คะแนน CVSS โดยรวมของประกาศฉบับนี้ที่ 10.0 เต็ม ซึ่งสะท้อนความรุนแรงเมื่อพิจารณาช่องโหว่ทั้งสองร่วมกัน อย่างไรก็ตามบริษัทยังไม่เปิดเผยว่าผู้โจมตีใช้ช่องโหว่ทั้งสองต่อเนื่องกันเป็น exploit chain หรือไม่ โดยเวอร์ชันที่ได้รับผลกระทบได้แก่ 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 และ 12.5.0-02800 ทั้งนี้บริษัทยืนยันว่าช่องโหว่ไม่กระทบ SSL-VPN ที่รันบนไฟร์วอลล์ SonicWall และไม่กระทบผลิตภัณฑ์สาย SMA 100 Series แต่อย่างใด

รายละเอียดช่องโหว่

CVE-2026-15409 (CVSS 10.0) เป็นช่องโหว่ SSRF ในอินเทอร์เฟซ Appliance Work Place ของ SMA1000 ที่เปิดให้ผู้โจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตนบังคับให้อุปกรณ์ส่ง request ไปยังปลายทางที่ผู้โจมตีควบคุม ซึ่งอาจนำไปสู่การเข้าถึงบริการภายในหรือขโมยข้อมูลรับรองตัวตนได้

CVE-2026-15410 (CVSS 7.2) เป็นช่องโหว่ post-authentication code injection ใน Appliance Management Console ที่เปิดให้ผู้ดูแลระบบที่ยืนยันตัวตนแล้วรันคำสั่งระบบปฏิบัติการโดยพลการบนตัวอุปกรณ์ได้ เมื่อนำมาใช้ร่วมกับช่องโหว่แรก ผู้โจมตีอาจยึดครองอุปกรณ์ได้อย่างสมบูรณ์ ทั้งนี้ SonicWall ได้เผยแพร่ Indicators of Compromise สำหรับตรวจสอบร่องรอยการบุกรุก เช่น การพบ request ไปยัง URI ปลอมอย่าง /__api__/login และ /__api__/logout ในไฟล์ล็อก ซึ่ง URI เหล่านี้ไม่มีอยู่ในการตั้งค่าปกติของอุปกรณ์

ผลกระทบต่อไทย

อุปกรณ์ SonicWall ถูกใช้งานแพร่หลายในองค์กรไทยทั้งภาคเอกชน สถาบันการศึกษา และหน่วยงานรัฐ โดยเฉพาะ SMA1000 ที่นิยมใช้เป็นช่องทาง remote access สำหรับพนักงานทำงานจากภายนอก ซึ่งอุปกรณ์ประเภท secure access gateway ที่เปิดสู่อินเทอร์เน็ตโดยตรงเช่นนี้เป็นเป้าหมายอันดับต้นของทั้งกลุ่ม ransomware และกลุ่ม APT ที่ต้องการช่องทางเจาะเข้าเครือข่ายภายใน หน่วยงานที่จัดเป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ควรถือเป็นกรณีเร่งด่วน เนื่องจากช่องโหว่ถูกโจมตีจริงแล้วและไม่มีวิธีบรรเทาอื่นนอกจากติดตั้งแพตช์ องค์กรที่ใช้เฉพาะไฟร์วอลล์ SonicWall (SSL-VPN บนไฟร์วอลล์) หรือ SMA 100 Series ไม่ได้รับผลกระทบจากช่องโหว่ครั้งนี้ แต่ควรตรวจสอบให้แน่ใจว่าไม่มี SMA1000 หลงเหลืออยู่ในระบบ

คำแนะนำ

  1. ตรวจสอบว่าองค์กรมี SMA1000 รุ่น 6210, 7210 หรือ 8200v ใช้งานอยู่หรือไม่ และรันเฟิร์มแวร์เวอร์ชันที่ได้รับผลกระทบหรือไม่
  2. อัปเดตเป็น platform-hotfix 12.4.3-03453 หรือ 12.5.0-02835 ขึ้นไปทันที — ไม่มี workaround อื่น
  3. ตรวจสอบ IoCs ตามตารางด้านล่างในไฟล์ล็อกของอุปกรณ์ทุกเครื่อง ก่อนสรุปว่าปลอดภัย
  4. หากพบร่องรอยการบุกรุก ให้ re-image อุปกรณ์กายภาพหรือ deploy เครื่องเสมือนใหม่ เปลี่ยนรหัสผ่านผู้ใช้และผู้ดูแลระบบทั้งหมด และรีเซ็ต TOTP token ทุกบัญชี
  5. เพิ่ม detection rule ใน SIEM สำหรับตรวจจับ request ไปยัง URI ผิดปกติของอุปกรณ์ และเฝ้าระวังการเชื่อมต่อขาออกที่ผิดปกติจากตัวอุปกรณ์

Indicators of Compromise (IoCs)

Indicatorคำอธิบาย
Request ไปยัง /__api__/login หรือ /__api__/logout สถานะ HTTP 200 ใน extraweb_access.logURI เหล่านี้ไม่มีอยู่ในการตั้งค่าปกติ การพบ request สถานะสำเร็จบ่งชี้การบุกรุก
Request ไปยัง /wsproxy พร้อมพารามิเตอร์ host ผิดปกติ สถานะ HTTP 101 ใน extraweb_access.logร่องรอยการใช้ช่องโหว่ SSRF ผ่าน WebSocket proxy
รายการ hotfix rollback ที่มีชื่อไฟล์แบบ path traversal ใน ctrl-service.logบ่งชี้ความพยายามฝังตัวหรือแก้ไขระบบผ่านกลไก hotfix
Route สำหรับ /__api__/login หรือ /__api__/logout ในไฟล์ /var/lib/unit/conf.jsonการตั้งค่าที่ผู้โจมตีเพิ่มเข้ามา ไม่มีในคอนฟิกที่ถูกต้อง

แหล่งอ้างอิง