สรุปสั้น

หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้สั่งให้หน่วยงานรัฐบาลกลางรักษาความปลอดภัยระบบภายในวันเสาร์ เพื่อป้องกันการโจมตีที่กำลังดำเนินอยู่ซึ่งใช้ช่องโหว่วิกฤตในแอปพลิเคชันด้านการเงิน Oracle E-Business Suite (EBS) ช่องโหว่นี้ถูกค้นพบในคอมโพเนนต์ File Transmission ของผลิตภัณฑ์ Oracle Payments และถูกติดตามในชื่อ CVE-2026-46817 ซึ่งเปิดทางให้ผู้ก่อภัยคุกคามที่ไม่ต้องยืนยันตัวตน (Unauthenticated) และมีการเข้าถึงเครือข่ายผ่าน HTTP สามารถยึดระบบที่มีช่องโหว่ได้ในการโจมตีที่มีความซับซ้อนต่ำ บริษัท Oracle ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขปัญหานี้ตั้งแต่ Critical Security Patch Update เดือนพฤษภาคม 2026 และเรียกร้องให้ลูกค้าเร่งแพตช์ทันที ช่องโหว่นี้มีคะแนนความรุนแรง CVSS สูงถึง 9.8 CISA ได้ยืนยันว่าแฮ็กเกอร์กำลังใช้ช่องโหว่นี้โจมตีจริงและเพิ่มเข้าในบัญชีช่องโหว่ที่ถูกใช้โจมตี (KEV) พร้อมสั่งให้หน่วยงานรัฐแพตช์ภายในวันที่ 18 กรกฎาคม

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่า CISA ได้สั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ เร่งอุดช่องโหว่ CVE-2026-46817 ใน Oracle E-Business Suite ภายในวันเสาร์ที่ 18 กรกฎาคม ตามที่กำหนดในคำสั่งปฏิบัติการที่มีผลผูกพัน (Binding Operational Directive หรือ BOD) 26-04 โดย CISA ระบุว่า “Oracle E-Business Suite มีช่องโหว่การจัดการสิทธิ์ที่ไม่เหมาะสม ซึ่งเปิดทางให้ผู้โจมตีที่ไม่ยืนยันตัวตนและเข้าถึงเครือข่ายผ่าน HTTP สามารถเจาะ Oracle Payments ได้ การโจมตีที่สำเร็จอาจนำไปสู่การยึดครอง Oracle Payments”

แม้ Oracle จะยังไม่ได้ระบุอย่างเป็นทางการว่า CVE-2026-46817 ถูกใช้โจมตีในโลกจริง แต่บริษัทข่าวกรองภัยคุกคาม Defused ได้แจ้งเมื่อวันที่ 29 มิถุนายนว่าผู้ไม่หวังดีเริ่มใช้ช่องโหว่นี้โจมตีแล้ว โดยระบุว่า “CVE-2026-46817 (CVSS 9.8 การยึดครองผ่าน HTTP โดยไม่ต้องยืนยันตัวตนใน Oracle E-Business) กำลังถูกใช้โจมตี ในช่วงสุดสัปดาห์ที่ผ่านมา เราพบผู้ก่อภัยใช้ช่องโหว่นี้โจมตี honeypot ของ Oracle E-Business ของเรา ช่องโหว่นี้ไม่เคยมีการโจมตีมาก่อนและไม่มีโค้ด PoC สาธารณะ” ด้านองค์กรเฝ้าระวังความปลอดภัยอินเทอร์เน็ต Shadowserver ปัจจุบันติดตามเซิร์ฟเวอร์ Oracle EBS ที่เปิดสู่อินเทอร์เน็ตมากกว่า 1,000 เครื่อง ซึ่งกว่าครึ่งอยู่ในสหรัฐฯ แม้จะยังไม่มีข้อมูลว่ามีกี่เครื่องที่เป็น honeypot หรือได้รับการป้องกันแล้ว

เมื่อวันพุธที่ผ่านมา CISA ยังยืนยันว่าแฮ็กเกอร์กำลังใช้ช่องโหว่นี้โจมตีอย่างต่อเนื่อง จึงเพิ่มเข้าในบัญชี KEV Oracle เองก็เคยเตือนตอนออกแพตช์ว่า “ในบางกรณี มีรายงานว่าผู้โจมตีประสบความสำเร็จเพราะลูกค้าเป้าหมายไม่ได้ติดตั้งแพตช์ที่มีอยู่ Oracle จึงแนะนำอย่างยิ่งให้ลูกค้าใช้เวอร์ชันที่ยังได้รับการสนับสนุนและติดตั้งแพตช์ความปลอดภัยโดยไม่ล่าช้า”

CISA orders feds to patch actively exploited Oracle E-Business Suite flaw

รายละเอียดช่องโหว่

CVE-2026-46817 เป็นช่องโหว่ในคอมโพเนนต์ File Transmission ของผลิตภัณฑ์ Oracle Payments ภายใน Oracle E-Business Suite ซึ่งเป็นชุดแอปพลิเคชันบริหารจัดการองค์กร (ERP) ที่ครอบคลุมงานการเงิน จัดซื้อ และห่วงโซ่อุปทาน จุดอันตรายคือช่องโหว่นี้ถูกโจมตีได้จากระยะไกลผ่าน HTTP โดยไม่ต้องมีบัญชีหรือสิทธิ์ใด ๆ มาก่อน (Unauthenticated) และมีความซับซ้อนในการโจมตีต่ำ จึงได้คะแนน CVSS 9.8 ผลลัพธ์ของการโจมตีที่สำเร็จคือการยึดครอง Oracle Payments ซึ่งเป็นส่วนที่จัดการธุรกรรมการเงิน ทำให้ผู้โจมตีอาจเข้าถึงข้อมูลการชำระเงินที่อ่อนไหวหรือควบคุมระบบได้ ทั้งนี้ ในรอบหลายปีที่ผ่านมา CISA ได้ระบุช่องโหว่ในผลิตภัณฑ์ Oracle ต่าง ๆ ที่ถูกใช้โจมตีจริงถึง 43 รายการ โดย 12 รายการถูกกลุ่มแรนซัมแวร์นำไปใช้ด้วย

ผลกระทบต่อไทย

Oracle E-Business Suite เป็นระบบ ERP ที่องค์กรขนาดใหญ่ หน่วยงานรัฐ และรัฐวิสาหกิจของไทยจำนวนมากใช้บริหารงานการเงินและจัดซื้อ การที่ช่องโหว่นี้เปิดทางให้ยึดระบบ Oracle Payments ได้โดยไม่ต้องยืนยันตัวตนผ่าน HTTP หมายความว่าองค์กรไทยที่เปิดระบบ EBS สู่อินเทอร์เน็ตมีความเสี่ยงสูงที่จะถูกเจาะเข้าถึงข้อมูลการเงินและธุรกรรมที่อ่อนไหว แม้คำสั่ง BOD ของ CISA จะบังคับเฉพาะหน่วยงานรัฐกลางสหรัฐฯ แต่การที่ช่องโหว่ถูกโจมตีจริงและไม่มี PoC สาธารณะบ่งชี้ว่าผู้โจมตีมีความสามารถสูง องค์กรไทยจึงควรถือว่านี่เป็นภัยเร่งด่วนเช่นกัน โดยเฉพาะเมื่อกลุ่มแรนซัมแวร์มีประวัติใช้ช่องโหว่ Oracle โจมตี

คำแนะนำ

องค์กรที่ใช้ Oracle E-Business Suite ควรติดตั้งแพตช์ Critical Security Patch Update เดือนพฤษภาคม 2026 ที่แก้ CVE-2026-46817 โดยทันที และตรวจสอบให้แน่ใจว่าใช้เวอร์ชันที่ยังได้รับการสนับสนุนอยู่ ควรลดการเปิดระบบ EBS สู่อินเทอร์เน็ตสาธารณะเท่าที่จำเป็น และวางไว้หลังไฟร์วอลล์หรือ VPN พร้อมจำกัดการเข้าถึงเฉพาะเครือข่ายที่เชื่อถือได้ ควรตรวจสอบล็อกและร่องรอยการเข้าถึง Oracle Payments ที่ผิดปกติเพื่อหาสัญญาณการถูกเจาะที่อาจเกิดขึ้นแล้ว และติดตามประกาศจาก Oracle และ CISA อย่างใกล้ชิด รวมถึงเตรียมแผนตอบสนองเหตุการณ์และการสำรองข้อมูลให้พร้อมรับมือ

แหล่งอ้างอิง