ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยในไลบรารี Axios ซึ่งเป็นไลบรารี JavaScript ที่ได้รับความนิยมอย่างแพร่หลายในการพัฒนาเว็บไซต์และเว็บแอปพลิเคชัน โดยพบช่องโหว่ที่อาจถูกใช้ในการโจมตีแบบ Server-Side Request Forgery (SSRF) ซึ่งอาจนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาต ขอให้ผู้ดูแลระบบเร่งดำเนินการตรวจสอบและอัปเดตแพตช์ความปลอดภัยโดยทันที
รายละเอียดช่องโหว่ [1]ช่องโหว่หมายเลข CVE-2026-40175 (CVSS 3.1: 10.0) [2] เป็นช่องโหว่ประเภท Server-Side Request Forgery (SSRF) ที่เกิดขึ้นในไลบรารี Axios ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถควบคุมหรือบิดเบือนคำร้องขอ (HTTP Request) ที่เซิร์ฟเวอร์เป็นผู้ส่งออกไป
ลักษณะของช่องโหว่นี้อาจเกี่ยวข้องกับการจัดการ request ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถหลีกเลี่ยงข้อจำกัดด้านการเข้าถึงทรัพยากรภายใน และใช้เซิร์ฟเวอร์เป็นตัวกลางในการเข้าถึงระบบหรือบริการที่ไม่ควรเข้าถึงได้
รูปแบบการโจมตี [3]ผู้โจมตีสามารถใช้ช่องโหว่นี้ผ่านการส่งข้อมูลที่ถูกออกแบบมาเป็นพิเศษไปยังแอปพลิเคชันที่ใช้งาน Axios โดยมีรูปแบบการโจมตีที่สำคัญ ได้แก่
2.1 การส่ง request เพื่อให้เซิร์ฟเวอร์ไปเรียกใช้งานทรัพยากรภายใน (Internal Services)
2.2 การเข้าถึง Cloud Metadata เช่นบริการของผู้ให้บริการ Cloud
2.3 การใช้เป็น pivot เพื่อโจมตีระบบภายในเครือข่าย
2.4 การยกระดับไปสู่ Remote Code Execution (RCE) ในบางกรณี
ผู้ดูแลระบบควรดำเนินการอัปเดต Axios เป็นเวอร์ชัน 1.15.0 หรือเวอร์ชันล่าสุดโดยทันที [4] สำหรับระบบที่ใช้ npm สามารถดำเนินการได้ด้วยคำสั่ง npm install axios@latest [5] ในกรณีที่ยังไม่สามารถอัปเดตได้ทันที ควรดำเนินมาตรการชั่วคราวเพื่อลดความเสี่ยง (Workaround) ดังนี้
จำกัดปลายทาง (destination) ที่สามารถเรียกใช้งานได้ (Allowlist) ป้องกันการเข้าถึงที่อยู่เครือข่าย (IP) ภายในระบบ ปิดการเข้าถึง metadata service ของ Cloud หากไม่จำเป็น ใช้ Web Application Firewall (WAF) เพื่อช่วยกรอง request ที่ผิดปกติ คำแนะนำด้านความปลอดภัยเพิ่มเติม5.1 ตรวจสอบช่องโหว่ประเภท Prototype Pollution ในไลบรารีที่ใช้งานร่วมอื่น ๆ
5.2 ใช้เครื่องมือ SCA (Software Composition Analysis) เพื่อตรวจสอบช่องโหว่ใน third-party libraries
5.3 กำหนดนโยบาย egress filtering เพื่อควบคุมการเชื่อมต่อออกจากเซิร์ฟเวอร์
5.4 บันทึกและตรวจสอบ log การเชื่อมต่อที่ผิดปกติอย่างสม่ำเสมอ
5.6 อัปเดตแพตช์ความปลอดภัยของระบบและไลบรารีอื่น ๆ อย่างต่อเนื่อง
Axios.png
แหล่งอ้างอิง
[1] https://dg.th/vyp38h5m46
[2] https://dg.th/bw3efhs42z
[3] https://dg.th/kv1noebhw2
[4] https://dg.th/9lvz6n7gsk
[5] https://dg.th/lgf9b3ceho