บริษัทความปลอดภัยไซเบอร์ ReliaQuest เปิดเผยว่า ขณะนี้มีหลายกลุ่มภัยคุกคาม รวมถึงแก๊งแรนซัมแวร์ชื่อดัง RansomEXX และ BianLian เข้าร่วมการโจมตีช่องโหว่ความปลอดภัยระดับร้ายแรงใน SAP NetWeaver ซึ่งอาจเปิดทางให้ผู้ไม่หวังดีสามารถเข้าควบคุมระบบจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน
ช่องโหว่นี้อยู่ในฟีเจอร์ Visual Composer ของ SAP NetWeaver และมีรหัส CVE-2025-31324 โดยช่วยให้แฮ็กเกอร์สามารถอัปโหลดไฟล์อันตรายเข้าสู่ระบบได้โดยไม่ต้องใช้บัญชีผู้ใช้ ซึ่งหากโจมตีได้สำเร็จ อาจนำไปสู่การยึดระบบทั้งหมด ทั้งนี้ SAP ได้ออกแพตช์ฉุกเฉินเมื่อวันที่ 24 เมษายน เพื่อปิดช่องโหว่ดังกล่าว หลัง ReliaQuest ตรวจพบว่ามีการโจมตีจริงเกิดขึ้นในภาคสนาม
ล่าสุด ReliaQuest ได้อัปเดตคำแนะนำความปลอดภัย โดยระบุว่ากลุ่มแรนซัมแวร์ RansomEXX และ BianLian ได้แสดงพฤติกรรมพยายามใช้ประโยชน์จากช่องโหว่นี้เช่นกัน แม้ยังไม่พบการติดตั้งมัลแวร์แรนซัมแวร์ลงในระบบเป้าหมายอย่างสมบูรณ์
ReliaQuest พบหลักฐานเชื่อมโยงกลุ่ม BianLian กับเหตุการณ์หนึ่ง ด้วยความมั่นใจระดับปานกลาง โดยอ้างอิงจากที่อยู่ IP ที่เคยใช้เป็นเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ของกลุ่มดังกล่าวในอดีต
สำหรับกลุ่ม RansomEXX นักวิเคราะห์พบว่าแฮ็กเกอร์ได้ติดตั้ง backdoor แบบโมดูลาร์ชื่อ “PipeMagic” ลงในระบบ พร้อมทั้งใช้ช่องโหว่ CVE-2025-29824 ซึ่งเป็นช่องโหว่ในระบบไฟล์ของ Windows (CLFS) ที่เคยถูกใช้ในการโจมตีโดยกลุ่มนี้มาก่อน
ReliaQuest สรุปว่า การโจมตีครั้งนี้แสดงให้เห็นถึงความสนใจจากกลุ่มภัยคุกคามหลายกลุ่มในการใช้ประโยชน์จากช่องโหว่นี้ ซึ่งอาจนำไปสู่การโจมตีไซเบอร์ในวงกว้าง หากผู้ดูแลระบบยังไม่ดำเนินการอัปเดตแพตช์อย่างเร่งด่วน
คำแนะนำ: ผู้ใช้งาน SAP NetWeaver ควรตรวจสอบเวอร์ชันของระบบ และติดตั้งแพตช์อัปเดตล่าสุดโดยทันที เพื่อป้องกันการถูกโจมตีจากกลุ่มแรนซัมแวร์หรือภัยคุกคามอื่น ๆ ที่อาจใช้ช่องโหว่นี้เป็นช่องทางเข้าระบบ
รายละเอียด – BPC
