สำนักงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐอเมริกาประกาศเพิ่มช่องโหว่ใน Apache ActiveMQ เข้าสู่ Known Exploited Vulnerabilities (KEV) Catalog อย่างเป็นทางการ หลังพบหลักฐานชัดเจนว่ามีแฮกเกอร์นำช่องโหว่นี้ไปใช้โจมตีจริงในองค์กรหลายแห่ง

ช่องโหว่นี้คืออะไร

Apache ActiveMQ เป็น Message Broker ยอดนิยมที่ใช้ในระบบ Enterprise กว่า 500,000 องค์กรทั่วโลก ช่องโหว่ที่ถูกเพิ่มเข้า KEV เป็นประเภท Deserialization RCE ที่ช่วยให้ผู้โจมตีสามารถรันโค้ดบน Server ได้โดยไม่ต้อง Login เพียงแค่ส่ง Malicious Message เข้ามาในระบบ

ใครถูกโจมตีแล้วบ้าง

รายงานจาก Rapid7 และ Huntress Labs ระบุว่าพบการโจมตีในองค์กรด้านการเงิน, โลจิสติกส์ และโครงสร้างพื้นฐานสำคัญในอเมริกาเหนือและยุโรป โดยผู้โจมตีส่วนใหญ่ติดตั้ง Ransomware หรือ Cryptominer หลังจากเจาะระบบสำเร็จ

วิธีป้องกัน

CISA แนะนำให้ผู้ดูแลระบบดำเนินการ: อัปเกรด ActiveMQ เป็นเวอร์ชัน 5.15.16+, 5.16.7+, 5.17.6+, หรือ 5.18.3+ ทันที, หาก Patch ทันทีไม่ได้ให้ปิด Port 61616 และ 8161 ไว้ก่อน, ตรวจสอบ Log ย้อนหลังหาร่องรอยการบุกรุก และ Isolate ระบบที่ต้องสงสัย

เส้นตายของรัฐบาลสหรัฐฯ

หน่วยงานรัฐบาลกลางสหรัฐฯ ที่อยู่ภายใต้ BOD 22-01 มีเส้นตายแค่ 3 สัปดาห์ ในการแพตช์ช่องโหว่ที่อยู่ใน KEV Catalog CISA แนะนำให้ภาคเอกชนปฏิบัติตามไทม์ไลน์เดียวกันเพื่อลดความเสี่ยง

ที่มา: CISA / Cybersecurity Dive