CISA เตือนพบการโจมตีช่องโหว่บน Oracle WebLogic Server เพื่อเข้าถึงข้อมูลสำคัญ
-
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบการแจ้งเตือนเกี่ยวช่องโหว่ระดับความรุนแรงสูงในระบบ Oracle WebLogic Server ซึ่งแม้ทางบริษัทผู้พัฒนาจะได้ออก Patch เพื่อแก้ไขช่องโหว่มาตั้งแต่เดือนกรกฎาคม 2567 แล้วก็ตาม แต่ยังพบว่ามีระบบจำนวนมากที่ไม่ได้อัปเดต และยังถูกเปิดให้เข้าถึงได้ผ่านอินเทอร์เน็ต โดยล่าสุด สำนักงานความมั่นคงปลอดภัยไซเบอร์สหรัฐฯ (CISA) ได้ยืนยันว่าช่องโหว่นี้ถูกนำไปใช้โจมตีจริงแล้ว และได้เพิ่มลงในฐานข้อมูลภัยคุกคามระดับประเทศ (KEV) แล้ว [1]
- รายละเอียดช่องโหว่
ช่องโหว่ CVE-2024-21182 (ระดับความรุนแรง CVSS 3.1: 7.5) [2] เป็นช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ Oracle WebLogic Server ภายใต้ระบบโครงสร้างพื้นฐานแอปพลิเคชัน (Oracle Fusion Middleware) การโจมตีผ่านช่องโหว่นี้ สามารถกระทำได้ง่ายผ่านเครือข่าย โดยผู้ไม่หวังดีจะอาศัยช่องทางการสื่อสารผ่านโปรโตคอล T3 และ IIOP (Internet Inter-ORB Protocol) เพื่อทำการเจาะระบบและเข้าควบคุม (Compromise) เซิร์ฟเวอร์ได้ทันทีโดยไม่ต้องใช้สิทธิ์ใด ๆ และไม่ต้องอาศัยการตอบสนองจากผู้ใช้งาน (Zero-click)
หากการโจมตีสำเร็จ ผู้เจาะระบบจะสามารถลักลอบเข้าถึงข้อมูลสำคัญทั้งหมดที่ Oracle WebLogic Server ดังกล่าวมีสิทธิ์ในการจัดการ [3]
- ลักษณะการโจมตี
CISA ได้ประกาศเพิ่มช่องโหว่นี้ลงในฐานข้อมูล KEV (Known Exploited Vulnerabilities Catalog) เมื่อวันที่ 1 มิถุนายน 2569 พร้อมมีคำสั่งให้หน่วยงานของรัฐบาลกลางดำเนินการแก้ไขด่วนภายในวันที่ 4 มิถุนายน 2569 ตามข้อกำหนด Binding Operational Directive (BOD) 22-01
ช่องโหว่นี้สามารถถูกโจมตีผ่านเครือข่าย โดยเฉพาะระบบ Oracle WebLogic Server ที่เปิดให้เข้าถึงบริการผ่านโปรโตคอล T3 หรือ IIOP จากเครือข่ายภายนอก ปัจจุบันยังไม่มีการเปิดเผยรายละเอียดรูปแบบการโจมตี หรือข้อมูลตัวบ่งชี้การโจมตี (Indicators of Compromise: IoCs) สู่สาธารณะ [4]
-
ผลกระทบ
3.1 ผู้โจมตีที่ไม่ได้ยืนยันตัวตนอาจใช้ช่องโหว่ผ่านเครือข่ายเพื่อ compromise Oracle WebLogic Server
3.2 ผู้โจมตีอาจเข้าถึงข้อมูลสำคัญที่อยู่ภายใต้การเข้าถึงของ Oracle WebLogic Server
3.3 อาจเกิดการรั่วไหลของข้อมูลสำคัญของหน่วยงานหรือข้อมูลที่เกี่ยวข้องกับระบบแอปพลิเคชันภายใน
3.4 ระบบ WebLogic Server ที่เปิดบริการ T3 หรือ IIOP ออกสู่อินเทอร์เน็ต หรืออยู่ในเครือข่ายที่ควบคุมการเข้าถึงไม่รัดกุม มีความเสี่ยงสูงขึ้น -
ผลิตภัณฑ์ที่ได้รับผลกระทบ
4.1 Oracle WebLogic Server 12.2.1.4.0
4.2 Oracle WebLogic Server 14.1.1.0.0
4.3 ระบบ Oracle Fusion Middleware ที่ใช้งาน Oracle WebLogic Server เวอร์ชันที่ได้รับผลกระทบ และยังไม่ได้ติดตั้งแพตช์ความปลอดภัยที่เกี่ยวข้อง -
แนวทางการแก้ไขและป้องกัน
5.1 ติดตั้งแพตช์ความปลอดภัยจาก Oracle โดยเร็ว โดยอย่างน้อยต้องติดตั้ง Oracle Critical Patch Update ประจำเดือนกรกฎาคม 2567 หรือแพตช์รุ่นใหม่กว่าที่ครอบคลุมการแก้ไข CVE-2024-21182
5.2 ตรวจสอบระบบ Oracle WebLogic Server ภายในหน่วยงานว่ามีการใช้งานเวอร์ชัน 12.2.1.4.0 หรือ 14.1.1.0.0 หรือไม่ และจัดลำดับความสำคัญในการอัปเดตระบบที่เปิดให้เข้าถึงจากภายนอกก่อน
5.3 จำกัดการเข้าถึงโปรโตคอล T3 และ IIOP ให้เฉพาะระบบหรือเครือข่ายที่จำเป็นและเชื่อถือได้เท่านั้น
5.4 หลีกเลี่ยงการเปิด Oracle WebLogic Server หรือพอร์ตบริการที่เกี่ยวข้องกับ WebLogic ให้เข้าถึงจากอินเทอร์เน็ตโดยตรง หากไม่มีความจำเป็น
5.5 ใช้มาตรการควบคุมการเข้าถึงผ่าน firewall, network segmentation, VPN, allowlist และ access control เพื่อลดความเสี่ยงจากการโจมตีผ่านเครือข่าย
5.6 ตรวจสอบ log ของ Oracle WebLogic Server และอุปกรณ์เครือข่ายที่เกี่ยวข้อง เพื่อค้นหาการเชื่อมต่อที่ผิดปกติผ่าน T3/IIOP หรือความพยายามเข้าถึงจากแหล่งที่ไม่น่าเชื่อถือ
5.7 หากไม่สามารถติดตั้งแพตช์หรือดำเนินการลดความเสี่ยงตามคำแนะนำของผู้ผลิตได้ ควรพิจารณาปิดใช้งานระบบหรือแยกระบบออกจากเครือข่ายที่มีความเสี่ยงจนกว่าจะดำเนินการแก้ไขแล้วเสร็จ
แหล่งอ้างอิง
[1] https://dg.th/rsqmyd5hjo
[2] https://dg.th/rm30wvxu4l
[3] https://dg.th/76w2kbdqsp
[4] https://dg.th/fjrdq9p2wo
ด้วยความปรารถนาดี สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) / ThaiCERT
#ThaiCERT #CyberSecurity #Alert #NCSA #แจ้งเตือนภัยไซเบอร์ #OracleWebLogic #CVE202421182 #ช่องโหว่ความปลอดภัย #Patchด่วน #ภัยคุกคามไซเบอร์ #DataSecurity #WebLogicServer
#ความมั่นคงปลอดภัยไซเบอร์ - รายละเอียดช่องโหว่
