เมื่อยักษ์ใหญ่พลาด! เจาะลึกช่องโหว่ Dell Zero-Day ที่แฮกเกอร์จีน ‘ซุ่ม’ โจมตีเงียบมานานกว่า 18 เดือน 🇨🇳
💻สาย Security ต้องอ่าน! นี่คือบทเรียนราคาแพงที่สุดครั้งหนึ่งในวงการไอที เมื่อช่องโหว่ระดับ CVSS 10.0 (เต็มสิบ!) ถูกใช้โจมตีองค์กรระดับโลกโดยไม่มีใครรู้ตัวมาตั้งแต่กลางปี 2024 จนถึงต้นปี 2026
🔴 จุดตายคืออะไร? (The Technical Flaw)
ช่องโหว่รหัส CVE-2026-22769 ในผลิตภัณฑ์ Dell RecoverPoint for Virtual Machines (RP4VMs) ไม่ได้เกิดจากบั๊กที่ซับซ้อน แต่เกิดจากสิ่งที่นักพัฒนาตกม้าตายบ่อยที่สุด นั่นคือ “Hardcoded Credentials”
พูดง่ายๆ คือ มี “Username/Password ของแอดมิน” ฝังตายตัวอยู่ในโค้ดของ Apache Tomcat Manager ทำให้แฮกเกอร์ที่รู้รหัสลับนี้สามารถ:
ล็อกอินเข้าระบบได้จากระยะไกลโดยไม่ต้องขออนุญาต
อัปโหลดไฟล์อันตราย (Malicious .WAR file) ผ่าน Endpoint ของ Tomcat
รันคำสั่งในฐานะ Root (อำนาจสูงสุด) ของเครื่องเซิร์ฟเวอร์ทันที!
🕵️ ยุทธวิธีสุดล้ำของกลุ่ม UNC6201
กลุ่มแฮกเกอร์ (ที่คาดว่าเชื่อมโยงกับจีน) ไม่ได้แค่เจาะแล้วจบ
แต่พวกเขาเน้น “อยู่ยาว” (Persistence) ด้วยเทคนิคที่หาตัวจับยาก:
Ghost NICs: สร้างการ์ดแลนเสมือน (Virtual NIC) บน VMware แบบเงียบๆ เพื่อใช้เป็นทางผ่าน (Pivot) ไปโจมตีระบบอื่นๆ ในเครือข่ายโดยไม่ผ่าน Log ปกติ
Malware วิวัฒนาการสูง: เริ่มจากการใช้มัลแวร์ BRICKSTORM จนกระทั่งปลายปี 2025 ได้เปลี่ยนมาใช้ GRIMBOLT ที่เขียนด้วยภาษา C# และใช้เทคนิค Native AOT (Ahead-of-Time) เพื่อหลบเลี่ยงการตรวจจับของ Antivirus แบบเดิมๆ
SPA (Single Packet Authorization): ใช้เครื่องมือปรับแต่ง iptables เพื่อให้เซิร์ฟเวอร์ตอบรับเฉพาะ “สัญญาณลับ” จากแฮกเกอร์เท่านั้น ทำให้คนอื่นมองเห็นเครื่องนี้เหมือนปิดเครื่องอยู่
💡 บทเรียนสำหรับคนทำระบบ
Hardcoded Credential คือระเบิดเวลา: เลิกฝังรหัสผ่านในซอฟต์แวร์ และเปลี่ยนไปใช้ระบบ Identity Management ที่รัดกุม
อย่าไว้ใจ Backup Appliance: Dell RecoverPoint เป็นระบบสำรองข้อมูล ซึ่งมักจะเป็น “เป้าหมายแรก” ที่แฮกเกอร์ต้องการทำลายหรือใช้เป็นจุดพักพิง
Patch Management: สำหรับใครที่ใช้ Dell RP4VMs เวอร์ชันก่อน 6.0.3.1 HF1 ให้รีบอัปเดตด่วนที่สุด! เพราะแฮกเกอร์รู้รหัสผ่านชุดนี้กันหมดแล้ว
คำถามชวนคิด: คุณคิดว่าระบบในบริษัทคุณ มี “รหัสลับ” ที่ลืมลบออกซ่อนอยู่บ้างหรือเปล่า?
#CyberSecurity #Dell #ZeroDay #Infosec #Hacker #TechNews #UNC6201 #VMware #SecurityAlert #EntechReview
About the Author
