ตรวจพบช่องโหว่บนคอมพิวเตอร์ของ Dell พบแฮกเกอร์จีน.
ตรวจพบช่องโหว่บนคอมพิวเตอร์ของ Dell พบแฮกเกอร์จีนนำไปใช้ติดตั้งมัลแวร์ลงเครื่อง
ซอฟต์แวร์สำหรับช่วยเหลือผู้ใช้งานคอมพิวเตอร์ที่เป็นซอฟต์แวร์เฉพาะของแต่ละแบรนด์นั้น มักจะมีฟีเจอร์ดี ๆ หลากหลายอย่าง แต่ถ้าซอฟต์แวร์เหล่านั้นมีช่องโหว่ ก็อาจจะก่อปัญหาที่คาดไม่ถึงได้
จากรายงานโดยเว็บไซต์ Cyberpress ได้กล่าวถึง การตรวจพบช่องโหว่ในรูปแบบของช่องโหว่ที่เกิดขึ้นระหว่างการพัฒนา หรือ Zero-Day ของซอฟต์แวร์ที่ติดตั้งมาพร้อมกับคอมพิวเตอร์ของ Dell อย่าง Dell RecoverPoint for Virtual Machines ที่มีรหัสว่า CVE-2026-22769 ซึ่งช่องโหว่นี้มีคะแนนความอันตราย หรือ CVSS ที่มากถึง 10.0 หรือ อันตรายสูงสุด โดยช่องโหว่นี้เกิดจากรหัสสำหรับเข้าใช้งานที่เป็นค่าเริ่มต้น หรือ Default Credential นั้นถูกบันทึกเป็นค่าคงที่ (Hardcoded) ไว้อยู่ภายในการตั้งค่า (Configuration) ของ Apache Tomcat Manager ทำให้แฮกเกอร์ที่มีข้อมูลเกี่ยวกับรหัสผ่านดังกล่าวนั้นสามารถเข้าถึงระบบในระดับผู้ดูแลสูงสุด หรือ Root ได้
โดยแฮกเกอร์นั้นจะใช้งานช่องโหว่ดังกล่าว ล็อกอินเข้าไปในระดับผู้ดูแลระบบ (Admin หรือ Administrator) แล้วทำการอัปโหลดไฟล์ WAR ซึ่งเป็นแพ็คเก็จแบบ Java ที่มีการบรรจุคำสั่งที่จะช่วยให้นำไปสู่การอัปเกรดสิทธิ์ในการเข้าถึงในระดับ Root จนสามารถเข้าควบคุมเค��รื่องได้อย่างสมบูรณ์ ซึ่งทางแหล่งข่าวได้เปิดเผยว่า แฮกเกอร์จากจีนที่มีชื่อกลุ่มว่า UNC6201 ได้มีการใช้งานช่องโหว่ดังกล่าวมาตั้งแต่ปี ค.ศ. 2024 (พ.ศ. 2567) แล้ว
ซึ่งแฮกเกอร์กลุ่มดังกล่าวนั้น หลังจากที่เข้าถึงเครื่องด้วยระดับ Root จากการทำงานผ่านขั้นตอนดังกล่าวเป็นที่เรียบร้อย ก็จะทำการ “Ghost NICs” ซึ่งเป็นอินเทอร์เฟซการใช้งานเครือข่ายแบบปลอม ๆ ขึ้นมาบนเซิร์ฟเวอร์ VMware แล้วค่อย ๆ ลักลอบเข้าสู่ระบบเครือข่ายภายใน (Internal Network) และ สภาพแวดล้อมคลาวด์ (Cloud Environment) แล้วทำการฝังมัลแวร์ภายใน โดยที่ผ่านมานั้นแฮกเกอร์ในกลุ่มเดียวกันเคยมีการใช้งานมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor ที่มีชื่อว่า BRICKSTORM และในช่วงเดือนกันยายน ค.ศ. 2025 (พ.ศ. 2568) ที่ผ่านมา ก็ได้อัปเกรดขึ้นเป็น GRIMBOLT ที่มีฟีเจอร์ในการเปลี่ยนโค้ดเป็นภาษาเครื่องทำให้สามารถทำงานได้อย่างรวดเร็วบนเครื่องของเหยื่อโดยใช้พลังงานที่ต่ำ รวมทั้งสามารถหลบเลี่ยงการถูกตรวจจับได้เป็นอย่างดี
นอกจากนั้นมัลแวร์ตัวดังกล่าวยังได้มีการสร้างความคงทนบนระบบ หรือ Persistence ด้วยการฝังไฟล์ไว้ใน /home/kos/kbox/src/installation/distribution/convert_hosts.sh เพื่อสั่งการให้เกิดการรันขึ้นมาใหม่ทุกครั้งที่มีการรีบูทระบบ นอกจากนั้นยังมีการใช้งานเครื่องมือแบบ Web Shell ที่มีชื่อว่า SLAYSTYLE ฝังไว้ใน /var/lib/tomcat9/ เพื่อใช้งานไฟล์ WAR ที่แฝงโค้ดอันตรายไว้อีกด้วย
ทาง Dell หลังจากทราบข่าวแล้วก็ไม่ได้นิ่งนอนใจ โดยทางบริษัทได้ทำการออกแพทช์เพื่ออัปเกรดเครื่องมือที่เป็นประเด็นขึ้นเป็นเวอร์ชัน 6.0.3.1 HF1 เพื่ออุดช่องโหว่ รวมทั้งแจกสคริปท์เพื่อช่วยจัดการกับเครื่องที่สงสัยว่าถูกใช้ช่องโหว่ดังกล่าวเพื่อแฮกเข้าเป็นที่เรียบร้อยแล้ว ขอให้ผู้ใช้งานทำการอัปเดตโดยด่วน
จากประสบการณ์ตรงเกี่ยวกับการรักษาความปลอดภัยคอมพิวเตอร์ Dell พบว่า ช่องโหว่ CVE-2026-22769 ใน Dell RecoverPoint for Virtual Machines ที่มีรหัสเป็น Hardcoded credential นั้นอันตรายมาก เพราะแฮกเกอร์ที่รู้รหัสนี้สามารถเข้าระบบระดับ Root ได้ทันที ผมเคยได้ยินเรื่องแฮกเกอร์กลุ่ม UNC6201 จากจีนที่ใช้ช่องโหว่เหล่านี้โจมตีจริง และทำการสร้าง Ghost NICs เพื่อซ่อนตัวในเครือข่าย VMware ซึ่งทำให้สามารถขยายการโจมตีไปยังระบบภายในและคลาวด์ได้โดยไม่ถูกจับได้ง่าย ๆ สิ่งที่น่ากังวลคือมัลแวร์ GRIMBOLT ซึ่งพัฒนาจาก BRICKSTORM มีความสามารถในการแปลงโค้ดเป็นภาษาเครื่อง ทำงานรวดเร็ว ใช้พลังงานต่ำและสามารถซ่อนตัวได้ดี การฝัง Web Shell ที่ชื่อว่า SLAYSTYLE ไว้ในไฟล์ WAR ยังเพิ่มความซับซ้อนในการสืบสวนและแก้ไข จากการลงมือแก้ไข ผมแนะนำให้ผู้ใช้งาน Dell ทุกรายที่ใช้ Dell RecoverPoint ปฏิบัติตามคำแนะนำของ Dell โดยเร่งอัปเดตเป็นเวอร์ชัน 6.0.3.1 HF1 โดยด่วน และตรวจสอบเครื่องทุกเครื่องด้วยสคริปท์ที่บริษัทจัดเตรียมไว้เพื่อลดความเสี่ยงจากการถูกโจมตี การรักษาความปลอดภัยไซเบอร์ไม่ควรถูกมองข้าม เพราะแค่ช่องโหว่เล็ก ๆ ในซอฟต์แวร์เครื่องมือที่มากับเครื่องนั้น สามารถเปิดประตูให้กับแฮกเกอร์ได้ง่ายมาก ๆ กระบวนการป้องกันที่ดีประกอบด้วยการอัปเดตแพทช์ทันทีและตรวจสอบกิจกรรมแปลกปลอมในเครือข่ายอย่างสม่ำเสมอ
