ระวัง! แฮกเกอร์แอบเจาะเซิร์ฟเวอร์ Trend Micro Apex One หวังส่งมัลแวร์ไปล็อกเครื่องลูกข่าย

CVE-2026-34926 เป็นช่องโหว่ประเภท Directory Traversal ที่สามารถใช้โจมตีผลิตภัณฑ์ Apex One ในเวอร์ชัน On-Premise (ติดตั้งภายในองค์กร)

TrendAI (หน่วยธุรกิจระดับองค์กรของ Trend Micro) ได้แจ้งเตือนลูกค้าว่าบริษัทได้ดำเนินการออกแพตช์แก้ไขช่องโหว่บนผลิตภัณฑ์ Apex One อีกหนึ่งรายการ หลังจากพบว่าช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีจริงในธรรมชาติ (Exploited in the wild) เรียบร้อยแล้ว

ช่องโหว่ Zero-day ดังกล่าวได้รับการรหัสคือ CVE-2026-34926 เป็นช่องโหว่ประเภท Directory Traversal ที่มีความรุนแรงระดับปานกลาง (Medium-severity) ซึ่งเปิดโอกาสให้ผู้โจมตีในระบบ (Local attacker) ที่ยังไม่ได้ยืนยันตัวตน สามารถ "เข้าไปแก้ไขตารางคีย์ (Key Table) บนเซิร์ฟเวอร์ เพื่อฝังโค้ดอันตรายแล้วส่งต่อไปยังเอเจนต์ (Agents) ที่ติดตั้งอยู่ในระบบที่ได้รับผลกระทบได้"

อย่างไรก็ตาม TrendAI ข้อสังเกตว่า ผู้โจมตีจำเป็นต้องมีสิทธิ์ระดับผู้ดูแลระบบ (Admin credentials) ของเซิร์ฟเวอร์เครื่องนั้นอยู่ก่อนแล้ว และการโจมตีนี้จะส่งผลกระทบเฉพาะเวอร์ชัน On-premises ของ Apex One เท่านั้น (เวอร์ชันคลาวด์หรือ SaaS ไม่ได้รับผลกระทบ)

ทางบริษัทด้านความปลอดภัยไซเบอร์แห่งนี้ยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับพฤติกรรมการโจมตีของช่องโหว่ Zero-day ล่าสุดนี้ โดยตัวช่องโหว่ถูกค้นพบจากภายในโดยทีมตอบสนองต่อภัยคุกคาม (Incident Response Team) ของ TrendAI เอง

ในอดีตที่ผ่านมา ผลิตภัณฑ์ในตระกูล Apex มักตกเป็นเป้าหมายของกลุ่มแฮกเกอร์ในการเจาะหาช่องโหว่อยู่บ่อยครั้ง แต่ข้อมูลการระบุตัวตนผู้อยู่เบื้องหลัง (Attribution) มักไม่ค่อยได้รับการเปิดเผยต่อสาธารณะ ทั้งนี้ การโจมตีบางส่วนในอดีตเคยถูกเชื่อมโยงกับกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน และเมื่อพิจารณาจากระดับสิทธิ์ที่จำเป็นต้องใช้ในการเจาะช่องโหว่ CVE-2026-34926 นี้ จึงมีความเป็นไปได้สูงว่าช่องโหว่นี้อาจถูกนำไปใช้โดยกลุ่มภัยคุกคามระดับสูง (APT) เช่นกัน

ล่าสุดทางหน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ หรือ CISA ได้เพิ่มรหัส CVE-2026-34926 เข้าสู่บัญชีรายชื่อช่องโหว่ที่กำลังถูกโจมตีในปัจจุบัน (Known Exploited Vulnerabilities - KEV Catalog) เป็นที่เรียบร้อยแล้วเมื่อวันพฤหัสบดีที่ผ่านมา พร้อมทั้งสั่งการให้หน่วยงานรัฐบาลกลางดำเนินการแก้ไขให้เสร็จสิ้นภายในวันที่ 4 มิถุนายน

ปัจจุบัน บัญชีรายชื่อ KEV ของ CISA มีรหัส CVE ที่เกี่ยวข้องกับจุดบกพร่องของผลิตภัณฑ์ Apex อยู่ก่อนหน้านี้แล้วถึง 10 รายการ

นอกเหนือจากรหัส CVE-2026-34926 แล้ว อัปเดตล่าสุดของ Apex One ในครั้งนี้ยังได้แก้ไขช่องโหว่อื่นๆ อีกหลายรายการ ซึ่งทั้งหมดเป็นช่องโหว่ที่มีความรุนแรงระดับสูง (High-severity) ที่อาจถูกใช้เพื่อยกระดับสิทธิ์ในระบบ (Local Privilege Escalation) ได้

"โดยทั่วไปแล้ว การใช้ประโยชน์จากช่องโหว่ประเภทนี้กำหนดให้ผู้โจมตีต้องสิทธิ์เข้าถึงเครื่องที่มีช่องโหว่ (ไม่ว่าจะเข้าถึงหน้าเครื่องโดยตรงหรือผ่านระยะไกล) นอกเหนือจากการอัปเดตแพตช์และโซลูชันให้เป็นเวอร์ชันล่าสุดอย่างทันท่วงทีแล้ว เรายังแนะนำให้ลูกค้าตรวจสอบสิทธิ์การเข้าถึงระยะไกล (Remote Access) ของระบบวิกฤตต่างๆ พร้อมทั้งตรวจสอบให้มั่นใจว่านโยบายและความปลอดภัยรอบนอก (Perimeter Security) ได้รับการอัปเดตเป็นปัจจุบันแล้ว" TrendAI ระบุในรายงานแจ้งเตือน

คำแนะนำทางเทคนิค:
สำหรับผู้ดูแลระบบที่ใช้งาน Trend Micro Apex One แบบ On-premise ควรอัปเดตแพตช์ความปลอดภัยล่าสุดทันที และเนื่องจากการโจมตีนี้ต้องใช้สิทธิ์ Admin ร่วมด้วย จึงควรตรวจสอบ Log การล็อกอินและสิทธิ์การรีโมทเข้าเซิร์ฟเวอร์ Apex One อย่างเข้มงวดเพื่อป้องกันพฤติกรรมผิดปกติครับ

Reference : TrendAI Patches Apex One Zero-Day Exploited in the Wild