ตรวจพบช่องโหว่บนคอมพิวเตอร์ของ Dell พบแฮกเกอร์จีนนำไปใช้ติดตั้งมัลแวร์ลงเครื่อง

ซอฟต์แวร์สำหรับช่วยเหลือผู้ใช้งานคอมพิวเตอร์ที่เป็นซอฟต์แวร์เฉพาะของแต่ละแบรนด์นั้น มักจะมีฟีเจอร์ดี ๆ หลากหลายอย่าง แต่ถ้าซอฟต์แวร์เหล่านั้นมีช่องโหว่ ก็อาจจะก่อปัญหาที่คาดไม่ถึงได้

จากรายงานโดยเว็บไซต์ Cyberpress ได้กล่าวถึง การตรวจพบช่องโหว่ในรูปแบบของช่องโหว่ที่เกิดขึ้นระหว่างการพัฒนา หรือ Zero-Day ของซอฟต์แวร์ที่ติดตั้งมาพร้อมกับคอมพิวเตอร์ของ Dell อย่าง Dell RecoverPoint for Virtual Machines ที่มีรหัสว่า CVE-2026-22769 ซึ่งช่องโหว่นี้มีคะแนนความอันตราย หรือ CVSS ที่มากถึง 10.0 หรือ อันตรายสูงสุด โดยช่องโหว่นี้เกิดจากรหัสสำหรับเข้าใช้งานที่เป็นค่าเริ่มต้น หรือ Default Credential นั้นถูกบันทึกเป็นค่าคงที่ (Hardcoded) ไว้อยู่ภายในการตั้งค่า (Configuration) ของ Apache Tomcat Manager ทำให้แฮกเกอร์ที่มีข้อมูลเกี่ยวกับรหัสผ่านดังกล่าวนั้นสามารถเข้าถึงระบบในระดับผู้ดูแลสูงสุด หรือ Root ได้

โดยแฮกเกอร์นั้นจะใช้งานช่องโหว่ดังกล่าว ล็อกอินเข้าไปในระดับผู้ดูแลระบบ (Admin หรือ Administrator) แล้วทำการอัปโหลดไฟล์ WAR ซึ่งเป็นแพ็คเก็จแบบ Java ที่มีการบรรจุคำสั่งที่จะช่วยให้นำไปสู่การอัปเกรดสิทธิ์ในการเข้าถึงในระดับ Root จนสามารถเข้าควบคุมเครื่องได้อย่างสมบูรณ์ ซึ่งทางแหล่งข่าวได้เปิดเผยว่า แฮกเกอร์จากจีนที่มีชื่อกลุ่มว่า UNC6201 ได้มีการใช้งานช่องโหว่ดังกล่าวมาตั้งแต่ปี ค.ศ. 2024 (พ.ศ. 2567) แล้ว

ซึ่งแฮกเกอร์กลุ่มดังกล่าวนั้น หลังจากที่เข้าถึงเครื่องด้วยระดับ Root จากการทำงานผ่านขั้นตอนดังกล่าวเป็นที่เรียบร้อย ก็จะทำการ “Ghost NICs” ซึ่งเป็นอินเทอร์เฟซการใช้งานเครือข่ายแบบปลอม ๆ ขึ้นมาบนเซิร์ฟเวอร์ VMware แล้วค่อย ๆ ลักลอบเข้าสู่ระบบเครือข่ายภายใน (Internal Network) และ สภาพแวดล้อมคลาวด์ (Cloud Environment) แล้วทำการฝังมัลแวร์ภายใน โดยที่ผ่านมานั้นแฮกเกอร์ในกลุ่มเดียวกันเคยมีการใช้งานมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor ที่มีชื่อว่า BRICKSTORM และในช่วงเดือนกันยายน ค.ศ. 2025 (พ.ศ. 2568) ที่ผ่านมา ก็ได้อัปเกรดขึ้นเป็น GRIMBOLT ที่มีฟีเจอร์ในการเปลี่ยนโค้ดเป็นภาษาเครื่องทำให้สามารถทำงานได้อย่างรวดเร็วบนเครื่องของเหยื่อโดยใช้พลังงานที่ต่ำ รวมทั้งสามารถหลบเลี่ยงการถูกตรวจจับได้เป็นอย่างดี

นอกจากนั้นมัลแวร์ตัวดังกล่าวยังได้มีการสร้างความคงทนบนระบบ หรือ Persistence ด้วยการฝังไฟล์ไว้ใน /home/kos/kbox/src/installation/distribution/convert_hosts.sh เพื่อสั่งการให้เกิดการรันขึ้นมาใหม่ทุกครั้งที่มีการรีบูทระบบ นอกจากนั้นยังมีการใช้งานเครื่องมือแบบ Web Shell ที่มีชื่อว่า SLAYSTYLE ฝังไว้ใน /var/lib/tomcat9/ เพื่อใช้งานไฟล์ WAR ที่แฝงโค้ดอันตรายไว้อีกด้วย

ทาง Dell หลังจากทราบข่าวแล้วก็ไม่ได้นิ่งนอนใจ โดยทางบริษัทได้ทำการออกแพทช์เพื่ออัปเกรดเครื่องมือที่เป็นประเด็นขึ้นเป็นเวอร์ชัน 6.0.3.1 HF1 เพื่ออุดช่องโหว่ รวมทั้งแจกสคริปท์เพื่อช่วยจัดการกับเครื่องที่สงสัยว่าถูกใช้ช่องโหว่ดังกล่าวเพื่อแฮกเข้าเป็นที่เรียบร้อยแล้ว ขอให้ผู้ใช้งานทำการอัปเดตโดยด่วน