ระวังโดนแฮก! พบการโจมตีจริงบน NGINX และ openDCIM
แนะนำผู้ดูแลระบบ เร่งอัปเดตโดยด่วนก่อนระบบล่ม
หน่วยงานเฝ้าระวังความปลอดภัยไซเบอร์ VulnCheck ได้ออกโรงแจ้งเตือนถึงภัยคุกคามล่าสุด หลังพบกลุ่มแฮกเกอร์เริ่มเดินหน้า "ติดอาวุธ" (Weaponize) และนำช่องโหว่ที่เพิ่งถูกเปิดเผยไม่กี่วันของเว็บเซิร์ฟเวอร์ยอดนิยมอย่าง NGINX รวมถึงซอฟต์แวร์บริหารจัดการดาต้าเซ็นเตอร์ openDCIM มาใช้โจมตีเป้าหมายจริงบนโลกอินเทอร์เน็ตแล้ว
1. วิกฤต NGINX (CVE-2026-42945) ช่องโหว่เก่า 18 ปีที่เพิ่งปะทุ
ช่องโหว่รหัส CVE-2026-42945 ได้รับคะแนนความร้ายแรงสูงถึง 9.2 เต็ม 10 (CVSS score) โดยเป็นช่องโหว่ประเภท Heap Buffer Overflow ที่เกิดขึ้นในโมดูล ngx_http_rewrite_module ส่งผลกระทบต่อ NGINX ทั้งเวอร์ชันเชิงพาณิชย์ (NGINX Plus) และเวอร์ชันโอเพนซอร์ส (NGINX Open) ครอบคลุมตั้งแต่เวอร์ชัน 0.6.27 ไปจนถึง 1.30.0 ที่น่าตกใจคือ ข้อมูลจากบริษัทความปลอดภัยทางไซเบอร์ depthfirst ระบุว่า โค้ดที่มีปัญหานี้ถูกเขียนและฝังอยู่ในระบบมาอย่างยาวนานตั้งแต่ปี 2008 (พ.ศ. 2551) ก่อนจะถูกค้นพบและเริ่มถูกโจมตีในปัจจุบัน
ผลกระทบและความยากง่ายในการโจมตี
ผู้ไม่หวังดีที่ไม่มีสิทธิ์ในระบบ (Unauthenticated Attacker) สามารถส่งคำขอ HTTP (HTTP Requests) ที่ถูกดัดแปลงเป็นพิเศษเข้ามาเพื่อสร้างความเสียหายได้ 2 ระดับ
- ระดับทั่วไป (ทำลายระบบ): โจมตีเพื่อให้กระบวนการทำงานหลัก (Worker Processes) ของ NGINX พังทลายลง ส่งผลให้เว็บไซต์หรือบริการหยุดทำงานทันที (Denial of Service - DoS) ซึ่งการโจมตีในลักษณะนี้ทำได้ง่ายและหวังผลได้สูง
- ระดับสูงสุด (รันโค้ดจากระยะไกล - RCE): แฮกเกอร์อาจสามารถรันโค้ดอันตรายเพื่อเข้าควบคุมเซิร์ฟเวอร์ได้ อย่างไรก็ตาม Kevin Beaumont และทีมผู้ดูแลระบบ AlmaLinux ได้ให้ความเห็นตรงกันว่า การจะไต่ระดับไปถึงขั้น RCE นั้นไม่ใช่เรื่องง่ายในสภาวะแวดล้อมปกติ เนื่องจากระบบปฏิบัติการส่วนใหญ่ (รวมถึง AlmaLinux ทุกเวอร์ชัน) มีระบบป้องกันหน่วยความจำที่เรียกว่า ASLR (Address Space Layout Randomization) เปิดใช้งานอยู่เป็นค่าเริ่มต้น
การโจมตีจะประสบความสำเร็จจนถึงขั้นยึดเครื่องได้ ก็ต่อเมื่อเป้าหมายนั้นมีการปิดใช้งาน ASLR และมีการตั้งค่า NGINX ที่เฉพาะเจาะจงมาก ๆ เท่านั้น
สถานการณ์ล่าสุด: VulnCheck ตรวจพบความพยายามโจมตีผ่านช่องโหว่นี้บนเครือข่ายล่อลวง (Honeypot) แล้ว แม้จะยังไม่ทราบวัตถุประสงค์แน่ชัด แต่ผู้ดูแลระบบควรรีบดำเนินการอัปเดตแพตช์แก้ไขล่าสุดโดยด่วน
2. openDCIM โดนด้วย แฮกเกอร์จีนใช้ AI ยิงหมัดชุดหวังผล 100%
ในเวลาไล่เลี่ยกัน VulnCheck ยังได้เปิดเผยถึงภัยคุกคามที่มุ่งเป้าไปยัง openDCIM ซอฟต์แวร์โอเพนซอร์สสำหรับบริหารจัดการโครงสร้างพื้นฐานในดาต้าเซ็นเตอร์ โดยพบช่องโหว่ระดับวิกฤต (คะแนน CVSS สูงถึง 9.3) จำนวน 2 ช่องโหว่ ได้แก่
- CVE-2026-28515 (Missing Authorization): ช่องโหว่จากการขาดการตรวจสอบสิทธิ์ ทำให้ผู้ใช้ทั่วไปที่ล็อกอินแล้วสามารถข้ามไปเข้าถึงฟังก์ชันตั้งค่า LDAP ได้ และหากระบบมีการปรับใช้ผ่าน Docker ที่ตั้งค่า REMOTE_USER ไว้โดยไม่มีการบังคับสิทธิ์ที่เข้มงวด แฮกเกอร์จะสามารถเข้าไปแก้ไขการตั้งค่าของแอปพลิเคชันได้ทันทีโดยไม่ต้องใช้รหัสผ่าน
- CVE-2026-28517 (OS Command Injection): ช่องโหว่ในส่วนประกอบ report_network_map.php ที่รับพารามิเตอร์ชื่อ dot ไปประมวลผลโดยไม่มีการตรวจสอบข้อมูล (Sanitization) ทำให้แฮกเกอร์สามารถส่งคำสั่ง สั่งการระบบปฏิบัติการ (Shell Command) เข้าไปรันได้โดยตรง
การโจมตีแบบ Vulnerability Chaining
ความน่ากลัวสูงสุดของกรณี openDCIM คือ นักวิจัย Valentin Lobstein พบว่า ช่องโหว่ทั้งสองนี้ เมื่อนำมารวมกับช่องโหว่ SQL Injection (CVE-2026-28516) จะสามารถนำมาเชื่อมโยงกันเป็น "ห่วงโซ่การโจมตี" (Vulnerability Chain) ซึ่งช่วยให้แฮกเกอร์สามารถรันโค้ดจากระยะไกล (RCE) และเปิดช่องทางเชื่อมต่อกลับมายังเครื่องของแฮกเกอร์ (Spawn a Reverse Shell) ได้สำเร็จอย่างสมบูรณ์แบบ ด้วยการส่งคำขอ HTTP เพียง 5 ครั้งเท่านั้น
สถานการณ์ล่าสุด Caitlin Condon รองประธานฝ่ายวิจัยของ VulnCheck ระบุว่า กลุ่มผู้โจมตีที่ตรวจพบในขณะนี้มีต้นทางมาจาก IP เดียวในประเทศจีน โดยความน่ากลัวคือ ผู้โจมตีใช้เครื่องมือค้นหาช่องโหว่ด้วย AI ที่ชื่อว่า Vulnhuntr (เวอร์ชันปรับแต่งเฉพาะ) ในการสแกนหาเป้าหมายโดยอัตโนมัติ ก่อนจะฝังเว็บเชลล์ PHP (PHP Web Shell) เพื่อยึดครองระบบในขั้นตอนสุดท้าย
บทสรุปและคำแนะนำสำหรับผู้ดูแลระบบ
ทั้งสองกรณีแสดงให้เห็นว่า กลุ่มภัยคุกคามในปัจจุบันมีความสามารถในการนำช่องโหว่ใหม่มาปรับใช้และโจมตีอย่างรวดเร็ว (มักเกิดขึ้นภายในไม่กี่วันหลังเปิดเผยสู่สาธารณะ) รวมถึงมีการนำ AI มาช่วยในการสแกนหาเหยื่อแบบอัตโนมัติ
ข้อปฏิบัติทันที
1. NGINX: ตรวจสอบเวอร์ชันและเร่งอัปเดตแพตช์แก้ไขทันที พร้อมตรวจสอบให้แน่ใจว่าฟังก์ชันความปลอดภัยระดับ OS เช่น ASLR เปิดใช้งานอยู่
2. openDCIM: ตรวจสอบบันทึกการเข้าใช้งาน (Logs) เพื่อหาความผิดปกติ โดยเฉพาะจากส่วนประกอบ report_network_map.php และเร่งอัปเดตหรือจำกัดการเข้าถึงจากอินเทอร์เน็ตภายนอก
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #CyberAttack #Vulnerability #TechNews #NGINX #openDCIM
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2026 Blockdit
