เจาะลึกการโจมตี: จาก F5 BIG‑IP ที่เปิดสู่ภายนอก สู่การยึดระบบ Linux และบุกเครือข่ายองค์กร

Copy Fail (CVE‑2026‑31431)

ช่องโหว่ “Copy Fail” ถูกเปิดเผยในเดือนเมษายน 2026 และส่งผลต่อ Linux kernel ที่สร้างตั้งแต่ปี 2017 เป็นต้นมา โดยเกี่ยวข้องกับโมดูล algif_aead ซึ่งเป็นส่วนหนึ่งของระบบ cryptography interface (AF_ALG) ใน kernel

ข้อผิดพลาดนี้ทำให้โปรเซสที่ไม่มีสิทธิ์สูงสามารถแก้ไขข้อมูลใน page cache ของระบบได้ และสามารถนำไปใช้เพื่อยกระดับสิทธิ์เป็น root ได้ในที่สุด

อย่างไรก็ตาม Copy Fail ไม่สามารถโจมตีจากระยะไกลได้โดยตรง ต้องมีการเข้าถึงเครื่องก่อน เช่น ผ่าน shell หรือช่องโหว่อื่น

Dirty Frag (CVE‑2026‑43284)

“Dirty Frag” เป็นชื่อเรียกรวมของช่องโหว่หลายรายการใน Linux kernel ที่เกี่ยวข้องกับส่วนเครือข่าย เช่นโมดูล IPsec ESP (esp4 และ esp6)

ช่องโหว่เหล่านี้ทำให้ผู้ใช้ในระบบสามารถแก้ไข page cache ผ่านเส้นทางการประมวลผลเครือข่ายของ kernel และยกระดับสิทธิ์เป็น root บนหลายดิสทริบิวชันของ Linux

เช่นเดียวกับ Copy Fail ช่องโหว่นี้เป็น post‑exploitation vulnerability หมายความว่าผู้โจมตีต้องมีโค้ดรันอยู่บนเครื่องก่อนจึงจะใช้ประโยชน์ได้

ขั้นที่ 3: เคลื่อนที่จาก Edge เข้าสู่ระบบภายในองค์กร

เมื่อผู้โจมตีได้สิทธิ์ root บนอุปกรณ์ edge แล้ว พวกเขาสามารถดึงข้อมูลสำคัญ เช่น

• รหัสผ่านหรือ credential ที่เก็บอยู่
• authentication token
• ใบรับรอง (certificates)
• configuration secrets

นักวิจัยด้านความปลอดภัยพบกรณีที่ผู้โจมตี เคลื่อนที่จากอุปกรณ์ F5 ที่ถูกยึดไปยังระบบภายในองค์กร เช่นเซิร์ฟเวอร์ Confluence ที่ใช้สำหรับเอกสารและการทำงานร่วมกัน

โครงสร้างพื้นฐาน edge มักมีความสัมพันธ์ด้านความเชื่อถือกับระบบภายในเครือข่าย เมื่อถูกยึดแล้ว ผู้โจมตีจึงสามารถ:

• เข้าถึงเครือข่ายบริหารจัดการภายใน
• ขโมย cookie หรือ certificate การยืนยันตัวตน
• เรียกใช้บริการ identity ขององค์กร
• เคลื่อนที่ไปยังเซิร์ฟเวอร์แอปพลิเคชันอื่น

นักวิจัยของ Microsoft ระบุว่าการโจมตีที่เริ่มจาก internet‑facing security appliances กำลังกลายเป็นแนวโน้มเพิ่มขึ้น เพราะอุปกรณ์เหล่านี้เปิดสู่ภายนอกแต่กลับได้รับความไว้วางใจสูงภายในเครือข่ายองค์กร

ทำไมการโจมตีแบบเชื่อมช่องโหว่จึงได้ผล

หากมองแยกกัน ช่องโหว่แต่ละตัวอาจดูมีข้อจำกัด แต่เมื่อเชื่อมต่อกันแล้วจะเกิดผลกระทบมหาศาล

• ช่องโหว่ RCE บนอุปกรณ์ edge ให้การเข้าถึงครั้งแรก
• ช่องโหว่ Linux privilege escalation ทำให้ได้สิทธิ์ควบคุมระบบเต็มรูปแบบ
• ตำแหน่งของอุปกรณ์ในเครือข่ายเปิดทางให้ เคลื่อนที่เข้าสู่ระบบภายใน

เพียง foothold ระดับต่ำบนอุปกรณ์ขอบเครือข่าย ก็อาจนำไปสู่การเจาะทั้งองค์กรได้ หากผู้โจมตีสามารถยกระดับสิทธิ์และเคลื่อนที่ภายในได้สำเร็จ

แนวทางป้องกันสำคัญสำหรับองค์กร

1. อัปเดตแพตช์ F5 BIG‑IP ทันที

องค์กรควรอัปเดตระบบ BIG‑IP APM เพื่อแก้ไขช่องโหว่ CVE‑2025‑53521 โดยเฉพาะอินสแตนซ์ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต

หน่วยงานด้านความปลอดภัยหลายแห่งแนะนำให้จัดลำดับความสำคัญสูง เนื่องจากมีรายงานการโจมตีจริงแล้ว

2. อัปเดต Linux Kernel ทั่วทั้งโครงสร้างพื้นฐาน

ควรติดตั้งแพตช์ที่แก้ไข:

• CVE‑2026‑31431 (Copy Fail)
• CVE‑2026‑43284 และช่องโหว่ Dirty Frag ที่เกี่ยวข้อง

ช่องโหว่เหล่านี้ส่งผลต่อ Linux kernel ในดิสทริบิวชันหลักจำนวนมากตั้งแต่ปี 2017 เป็นต้นมา

3. จำกัดการเข้าถึง Shell บนอุปกรณ์ Edge

เนื่องจาก Copy Fail และ Dirty Frag ต้องใช้การรันโค้ดภายในเครื่อง การจำกัดหรือปิด shell access บนอุปกรณ์ edge จะช่วยลดโอกาสถูกใช้โจมตี

ควรกำหนดสิทธิ์ผู้ดูแลอย่างเข้มงวดและมีระบบติดตามการใช้งาน

4. ปิดโมดูล Kernel ที่เสี่ยงหากยังแพตช์ไม่ได้

หากไม่สามารถติดตั้งแพตช์ได้ทันที อาจปิดการใช้งานโมดูลที่เกี่ยวข้องกับ Dirty Frag เช่น esp4 และ esp6 หลังจากตรวจสอบผลกระทบต่อระบบแล้ว

5. เสริมความปลอดภัยของคอนเทนเนอร์

ช่องโหว่ LPE ใน kernel อาจทำให้เกิด container escape ได้ องค์กรควร

• หลีกเลี่ยง privileged containers
• ลดการเปิดใช้งาน kernel modules ที่ไม่จำเป็น
• จำกัด workload ที่ไม่เชื่อถือ

6. เฝ้าระวังพฤติกรรมหลังการเจาะระบบ

สัญญาณที่ควรตรวจจับ เช่น

• shell session ที่ผิดปกติบนอุปกรณ์ edge
• การโหลด kernel module ที่ไม่คาดคิด
• การเปลี่ยนสิทธิ์เป็น root อย่างผิดปกติ
• การเชื่อมต่อออกจากระบบโครงสร้างพื้นฐาน
• ความพยายามเข้าสู่ระบบแพลตฟอร์มภายใน เช่น Confluence หรือระบบ identity

ข้อจำกัดของข้อมูลที่มีอยู่

รายงานด้านความปลอดภัยสนับสนุนรูปแบบการโจมตีโดยรวม คือ การเจาะอุปกรณ์ edge ที่เปิดสู่ภายนอก แล้วจึงยกระดับสิทธิ์บน Linux และเคลื่อนที่เข้าสู่ระบบภายใน

อย่างไรก็ตาม หลักฐานสาธารณะที่ยืนยันว่า มีแคมเปญเดียวที่ใช้ CVE‑2025‑53521 ร่วมกับ Copy Fail และ Dirty Frag ในทุกกรณี ยังมีจำกัด ช่องโหว่เหล่านี้สามารถเชื่อมต่อกันได้ในทางเทคนิค แต่รูปแบบการโจมตีจริงอาจแตกต่างกันไปตามสภาพแวดล้อมของแต่ละองค์กร

บทเรียนด้านความปลอดภัยสำหรับองค์กร

ในอดีต อุปกรณ์ edge มักถูกมองว่าเป็น “อุปกรณ์ความปลอดภัยที่แข็งแกร่ง” แต่ความจริงในปัจจุบันคือมันกำลังกลายเป็น จุดเริ่มต้นที่มีมูลค่าสูงสำหรับผู้โจมตี

เมื่ออุปกรณ์ที่เปิดสู่ภายนอกทำงานบน Linux ภายใน ช่องโหว่ใน ecosystem เดียวกันก็สามารถกลายเป็นส่วนหนึ่งของห่วงโซ่การโจมตีได้ทันที

ดังนั้น การแพตช์อย่างรวดเร็ว การควบคุมการเข้าถึงอย่างเข้มงวด และการตรวจจับพฤติกรรมผิดปกติรอบระบบ edge จึงเป็นหัวใจสำคัญของการป้องกันเครือข่ายองค์กรยุคใหม่