CISA เพิ่มช่องโหว่ความเสี่ยงสูงสองรายการในแคตตาล็อกที่ถูกใช้ประโยชน์: สิ่งที่ทีมรักษาความปลอดภัยควรทำตอนนี้

หน่วยงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ได้รีเฟรช แคตตาล็อกช่องโหว่ที่ถูกใช้ประโยชน์ที่รู้จัก (KEV)—แหล่งข้อมูลสำคัญสำหรับผู้ป้องกันทั้งภาครัฐและเอกชน เมื่อวันที่ 2 พฤษภาคม 2025 มีการเพิ่มช่องโหว่สองรายการที่ได้รับการยืนยันว่าถูกใช้ประโยชน์ในสภาพแวดล้อมจริง:

• CVE-2025-34028 – ช่องโหว่การเดินทางผ่านเส้นทางใน Commvault Command Center
• CVE-2024-58136 – ช่องโหว่เส้นทางทางเลือกใน YiiFramework: การป้องกันที่ไม่เหมาะสม

การขยายตัวเหล่านี้เน้นย้ำถึงความจำเป็นที่องค์กรในทุกภาคส่วนต้องระมัดระวังและดำเนินการเชิงรุกในการจัดการช่องโหว่แม้จะไม่มีข้อกำหนดจากรัฐบาลกลาง.

ทำไม CVE เหล่านี้ถึงมีความสำคัญ

CVE-2025-34028 ใน Commvault Command Center เป็นช่องโหว่การเดินทางผ่านเส้นทางที่ช่วยให้ผู้โจมตีสามารถอ่านไดเรกทอรีที่ไม่ได้รับอนุญาตหรือรันโค้ดนอกโครงสร้างไฟล์ที่ตั้งใจไว้ ช่องโหว่นี้เป็นเรื่องที่น่ากังวลเป็นพิเศษเนื่องจากลักษณะที่ละเอียดอ่อนของระบบสำรองข้อมูลและการป้องกันข้อมูล ซึ่งเป็นเป้าหมายที่ชื่นชอบของผู้โจมตีแรนซัมแวร์และผู้โจมตีจากรัฐชาติ.

CVE-2024-58136 ส่งผลกระทบต่อ Yii PHP Framework ที่ใช้กันทั่วไปในเว็บแอปพลิเคชัน เป็นผลมาจากการป้องกันเส้นทางทางเลือกที่ไม่เพียงพอ ซึ่งอาจอนุญาตให้ผู้โจมตีข้ามการควบคุมการเข้าถึงที่ออกแบบไว้ การใช้ประโยชน์จากมันอาจนำไปสู่การใช้ฟังก์ชันหรือข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต ซึ่งเป็นความเสี่ยงสำคัญต่อผู้พัฒนาและผู้ดูแลแพลตฟอร์ม.

บทบาทของ BOD 22-01

หน่วยงานสาขาบริหารพลเรือนของรัฐบาลกลาง (FCEB) ที่อยู่ภายใต้ คำสั่งปฏิบัติการที่บังคับใช้ 22-01 ต้องแก้ไขช่องโหว่ที่ระบุใน KEV ภายในระยะเวลาที่กำหนด คำสั่งนี้กำหนดให้มีการตอบสนองที่มีโครงสร้างและจัดลำดับความสำคัญต่อ CVE ที่ถูกใช้ประโยชน์อย่างแข็งขันเพื่อให้มีตำแหน่งความปลอดภัยที่แข็งแกร่งยิ่งขึ้นในเครือข่ายของรัฐบาล.
แม้ว่าคำสั่งนี้จะมุ่งเป้าไปที่หน่วยงานของรัฐบาลกลาง แต่ CISA แนะนำอย่างยิ่งให้องค์กรทั้งหมด—บริษัทเอกชน ผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญ และผู้ให้บริการ SaaS—ใช้แคตตาล็อก KEV เป็นรายการการแก้ไขเร่งด่วน.

คำแนะนำจากผู้เชี่ยวชาญสำหรับทีมรักษาความปลอดภัย

ที่ Security Briefing เราขอเรียกร้องให้ดำเนินการทันทีสำหรับผู้ดูแลที่ดูแลการติดตั้ง Commvault หรือ Yii:

• ตรวจสอบการติดตั้งทุกครั้งของ Commvault Command Center และเว็บแอปพลิเคชันที่ใช้ Yii.
• แก้ไขหรือใช้มาตรการบรรเทาทันทีที่ทำได้ การล่าช้าในการแก้ไขช่องโหว่ที่ถูกใช้ประโยชน์อย่างเปิดเผยอาจนำไปสู่การถูกโจมตีโดยตรง.
• ใช้การควบคุมการเข้าถึงไฟล์และไฟร์วอลล์แอปพลิเคชันเว็บ (WAFs) เพื่อระบุและป้องกันความพยายามในการเดินทางผ่านเส้นทางหรือการเข้าถึงเส้นทางทางเลือก.
• ติดตามแคตตาล็อก KEV ของ CISA เป็นรายสัปดาห์—รวมเข้ากับกระบวนการสแกนและแก้ไขช่องโหว่อัตโนมัติ.
• ตรวจสอบบันทึกการเข้าถึงและดำเนินการล่าภัยคุกคามสำหรับสัญญาณการใช้ประโยชน์ก่อนหน้านี้ โดยเฉพาะในระบบที่เผชิญกับภายนอก.

ความคิดสุดท้าย: การอัปเดตอย่างต่อเนื่องของ CISA ต่อแคตตาล็อก KEV เป็นระบบเตือนภัยที่สำคัญ การไม่ตอบสนองต่อคำเตือนเหล่านี้เหมือนกับการเปิดทางเข้าที่รู้จักให้กับอาชญากรไซเบอร์ที่กำลังใช้ประโยชน์จากมันอย่างแข็งขัน ไม่ว่าคุณจะอยู่ในภาคเอกชนหรือภาครัฐ ให้จัดการกับการเพิ่ม KEV แต่ละรายการด้วยความสำคัญสูงสุด การจัดการช่องโหว่เชิงรุกไม่ใช่ทางเลือกอีกต่อไป—มันเป็นสิ่งจำเป็นในการรักษาความปลอดภัยให้กับองค์กรสมัยใหม่.