สรุปสั้น
บริษัท Progress Software ออกมายืนยันแล้วว่าเหตุที่สั่งให้ลูกค้า ShareFile ปิดเซิร์ฟเวอร์ Storage Zone Controller อย่างเร่งด่วนเมื่อสัปดาห์ก่อนนั้น มีต้นตอมาจากช่องโหว่ zero-day ระดับความรุนแรงสูง (High-Severity) และบริษัทได้ปล่อยอัปเดตความปลอดภัยเพื่ออุดช่องโหว่ดังกล่าวเรียบร้อยแล้ว โดยก่อนหน้านี้ Progress เพียงระบุว่ากำลังรับมือ “ภัยคุกคามจากภายนอกที่น่าเชื่อถือ” (Credible External Security Threat) โดยไม่บอกรายละเอียดว่าคืออะไร ทำให้ผู้ดูแลระบบทั่วโลกต้องนำระบบออฟไลน์ทั้งที่ยังไม่รู้สาเหตุ
ล่าสุดบริษัทเปิดเผยว่าการสอบสวนพบช่องโหว่ชนิด path traversal ที่กระทบ ShareFile Storage Zone Controller ทุกเวอร์ชันในสาย 5.x และ 6.x ซึ่งเปิดทางให้ผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบและยืนยันตัวตนแล้ว สามารถอ่านไฟล์ที่บัญชีบริการเข้าถึงได้ เขียนเนื้อหาที่ผู้โจมตีควบคุมลงในไดเรกทอรีใดก็ได้ หรือสำรวจโครงสร้างระบบไฟล์ของเซิร์ฟเวอร์ Progress ได้ออกแพตช์เวอร์ชัน 5.12.5 และ 6.0.2 พร้อมเร่งให้ลูกค้าติดตั้งทันที และเมื่อติดตั้งแล้วจึงจะสามารถนำ Storage Zone Controller กลับมาออนไลน์ได้ บริษัทยังยืนยันว่าจนถึงขณะนี้ยังไม่พบสัญญาณว่ามีบัญชีหรือข้อมูลลูกค้ารายใดถูกเข้าถึงโดยไม่ได้รับอนุญาต และหมายเลข CVE ของช่องโหว่นี้จะถูกประกาศในอีกประมาณ 2 สัปดาห์ ข่าวนี้เป็นความคืบหน้าต่อเนื่องจากเหตุการณ์ที่เราเคยรายงานไปก่อนหน้า (โพสต์ 120)
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 14 กรกฎาคม พ.ศ. 2569 ว่า Progress Software ได้ยืนยันว่าช่องโหว่ zero-day ระดับรุนแรงสูงคือต้นเหตุที่ทำให้บริษัทต้องสั่งปิดเซิร์ฟเวอร์ ShareFile Storage Zone Controller อย่างฉุกเฉินเมื่อสัปดาห์ก่อน และได้ปล่อยอัปเดตความปลอดภัยเพื่อแก้ไขแล้ว
ก่อนหน้านี้เมื่อสัปดาห์ที่ผ่านมา Progress ได้กระตุ้นให้ลูกค้าที่ใช้ ShareFile Storage Zone Controller รีบปิดเซิร์ฟเวอร์ Windows ของตนทันที หลังได้รับคำเตือนเรื่อง “ภัยคุกคามจากภายนอกที่น่าเชื่อถือ” และในช่วงนั้นบริษัทได้ระงับการเข้าถึงบัญชี ShareFile ทั้งหมดที่ใช้ Storage Zone Controller เป็นการชั่วคราวระหว่างสอบสวนเหตุการณ์ร่วมกับผู้เชี่ยวชาญด้านความปลอดภัย
บริษัทให้ข้อมูลกับ BleepingComputer ว่า “เราดำเนินการด้วยความระมัดระวังอย่างยิ่งหลังได้รับข้อมูลจากแหล่งข่าวที่น่าเชื่อถือเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้นต่อ Storage Zone Controller จากนั้นการสอบสวนของเราจึงพบช่องโหว่ที่เรารีบแพตช์ก่อนที่มันจะถูกเปิดเผยต่อสาธารณะ” ในอีเมลที่ส่งถึงลูกค้า Progress ระบุว่าการสอบสวนพบช่องโหว่ path traversal ระดับรุนแรงสูงที่กระทบ ShareFile Storage Zone Controller ทุกเวอร์ชันในสาย 5.x และ 6.x
จุดที่น่าสังเกตคือ Progress เลือกที่จะยังไม่เปิดเผยหมายเลข CVE ทันที โดยระบุว่าได้จองหมายเลข CVE ไว้แล้วและจะเผยแพร่ในอีก 2 สัปดาห์ เมื่อถูกถามถึงเหตุผลของการหน่วงเวลา บริษัทอธิบายว่าการรอประกาศ CVE จะให้เวลาลูกค้าติดตั้งแพตช์ก่อนที่รายละเอียดจะกลายเป็นข้อมูลสาธารณะและตกไปอยู่ในมือผู้โจมตี พร้อมย้ำว่านี่เป็นแนวปฏิบัติมาตรฐานของบริษัท
รายละเอียดช่องโหว่
ช่องโหว่นี้เป็นชนิด path traversal ซึ่งเป็นข้อบกพร่องที่เปิดให้ผู้โจมตีหลอกให้แอปพลิเคชันเข้าถึงไฟล์หรือไดเรกทอรีนอกขอบเขตที่ควรอนุญาต โดยจากคำอธิบายในอีเมลที่ BleepingComputer เห็น ผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบและผ่านการยืนยันตัวตนแล้ว (Authenticated Administrative User) สามารถทำได้ 3 อย่างคือ อ่านไฟล์ใดก็ตามที่บัญชีบริการ (Service Account) ของแอปพลิเคชันเข้าถึงได้, เขียนเนื้อหาที่ผู้โจมตีควบคุมลงในไดเรกทอรีใดก็ได้ หรือสำรวจรายละเอียดโครงสร้างระบบไฟล์ของเซิร์ฟเวอร์
แม้ช่องโหว่จะต้องอาศัยสิทธิ์ผู้ดูแลระบบที่ยืนยันตัวตนแล้ว แต่ความสามารถในการเขียนไฟล์ลงในไดเรกทอรีใดก็ได้ถือว่าอันตรายมาก เพราะเปิดทางให้ผู้โจมตีวางไฟล์เว็บเชลล์ (Web Shell) หรือโค้ดอันตรายอื่นๆ ลงบนเซิร์ฟเวอร์เพื่อยึดการควบคุมต่อไปได้ ประเด็นสำคัญคือ Storage Zone Controller เป็นเซิร์ฟเวอร์ที่องค์กรรันเองและมักตั้งอยู่ที่ขอบเครือข่าย (Network Edge) ซึ่งเปิดให้เข้าถึงได้จากอินเทอร์เน็ต อีกทั้งยังเป็นที่จัดเก็บไฟล์ที่ถูกรับส่งผ่านระบบ จึงเป็นเป้าหมายที่มีมูลค่าสูงสำหรับกลุ่มรีดไถที่เน้นการขโมยข้อมูล (Data Theft) เพื่อนำมาเรียกค่าไถ่
Progress ได้ออกแพตช์เป็นเวอร์ชัน 5.12.5 และ 6.0.2 ของ ShareFile Storage Zone Controller และเรียกร้องให้ลูกค้าทุกรายติดตั้งอัปเดตความปลอดภัยโดยเร็วที่สุด โดยเมื่อติดตั้งเสร็จแล้วจึงจะสามารถนำ Storage Zone Controller กลับมาออนไลน์ได้ ทั้งนี้บริษัทยังไม่เปิดเผยว่าช่องโหว่ถูกค้นพบภายในเองหรือโดยนักวิจัยภายนอก และจะมีการเปิดเผยรายละเอียดเชิงเทคนิคเพิ่มเติมหรือไม่
ผลกระทบต่อไทย
องค์กรไทยในภาคการเงิน สาธารณสุข กฎหมาย และหน่วยงานที่ต้องเก็บไฟล์ไว้ในโครงสร้างพื้นฐานของตัวเองด้วยเหตุผลด้านการกำกับดูแล เป็นกลุ่มที่นิยมใช้ ShareFile พร้อม Storage Zone Controller เพื่อให้ข้อมูลอ่อนไหวยังคงอยู่ในระบบของตนเอง องค์กรเหล่านี้ที่ได้ปฏิบัติตามคำสั่งปิดระบบไปก่อนหน้านี้ ตอนนี้มีเส้นทางที่ชัดเจนในการกลับมาใช้งานแล้ว นั่นคือการติดตั้งแพตช์เวอร์ชัน 5.12.5 หรือ 6.0.2 ก่อนนำระบบกลับมาออนไลน์ อย่างไรก็ตาม เนื่องจากตัวควบคุมมักเปิดสู่อินเทอร์เน็ตและเก็บไฟล์สำคัญไว้ ผู้ที่รันระบบนี้อยู่ในไทยจึงไม่ควรรีบเปิดระบบกลับทันทีโดยไม่ตรวจสอบร่องรอยการบุกรุกก่อน แม้ Progress จะยืนยันว่ายังไม่พบการเข้าถึงข้อมูลลูกค้า แต่การตรวจสอบด้วยตนเองยังเป็นสิ่งจำเป็นเสมอ
คำแนะนำ
ผู้ดูแลระบบควรติดตั้งแพตช์เวอร์ชัน 5.12.5 (สำหรับสาย 5.x) หรือ 6.0.2 (สำหรับสาย 6.x) ของ ShareFile Storage Zone Controller โดยเร็วที่สุด และนำระบบกลับมาออนไลน์เฉพาะหลังจากติดตั้งอัปเดตเรียบร้อยแล้วเท่านั้น ก่อนเปิดระบบกลับ ควรถือว่าเซิร์ฟเวอร์ที่เปิดสู่อินเทอร์เน็ตในช่วงที่ผ่านมาอาจถูกบุกรุก จึงควรตรวจสอบร่องรอยอย่างละเอียด โดยเฉพาะการค้นหาไฟล์เว็บเชลล์หรือไฟล์แปลกปลอม เช่น ไฟล์ .aspx ที่ไม่คุ้นเคยในโฟลเดอร์เว็บ และไฟล์ที่ถูกเขียนลงในเส้นทางจัดเก็บที่ไม่ได้ตั้งค่าไว้เอง ควรเก็บรักษาล็อกไว้และเริ่มกระบวนการตอบสนองต่อเหตุการณ์ (Incident Response) หากพบสิ่งผิดปกติ นอกจากนี้ควรติดตามการประกาศหมายเลข CVE อย่างเป็นทางการที่จะออกมาในอีก 2 สัปดาห์ เพื่อรับทราบรายละเอียดและ Indicators of Compromise เพิ่มเติม พึงระลึกว่าเซิร์ฟเวอร์ที่ดูสะอาดไม่ใช่ข้อพิสูจน์ว่าปลอดภัยเสมอไป
แหล่งอ้างอิง
- Progress confirms ShareFile zero-day flaw behind Storage Zone shutdown — BleepingComputer
- ด่วน — Progress สั่งลูกค้า ShareFile ปิด Storage Zone Controller ทันที (รายงานก่อนหน้า — Cloud Thunder โพสต์ 120)
- URGENT - Progress Tells ShareFile Customers to Shut Down Storage Zone Controllers Over Security Threat — The Hacker News
