CISA แจ้งเตือนช่องโหว่บน Android และ Linux ที่กำลังถูกนำมาใช้ในการโจมตีจริง

สำนักงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกคำเตือนว่า แฮ็กเกอร์กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ต่าง ๆ ใน Linux Kernel และระบบปฏิบัติการ Android

ช่องโหว่ล่าสุดที่หน่วยงานได้เพิ่มเข้าไปในแคตตาล็อกช่องโหว่ที่มีการถูกนำไปใช้ในการโจมตีจริง (KEV catalog) คือ CVE-2025-48595 ซึ่งเป็นช่องโหว่ประเภท Integer Overflow ที่มีความรุนแรงระดับ High ใน Android Framework โดยช่องโหว่นี้สามารถถูกนำไปใช้เพื่อยกระดับสิทธิ์การเข้าถึงได้

ตามรายงานแจ้งเตือนด้านความปลอดภัยล่าสุดของ Google ช่องโหว่ด้านความปลอดภัยดังกล่าว ส่งผลกระทบต่อ Android เวอร์ชัน 14 ถึง 16 และสามารถถูกใช้โจมตีได้โดยไม่จำเป็นต้องมีการโต้ตอบใด ๆ จากผู้ใช้งาน

Google ระบุว่า CVE-2025-48595 อาจกำลังถูกนำไปใช้ในการโจมตีแบบเจาะจงเป้าหมายในวงจำกัด แต่ไม่ได้ให้รายละเอียดเฉพาะเจาะจงเกี่ยวกับการโจมตี หรือข้อมูลทางเทคนิคที่เกี่ยวกับช่องโหว่ หรือเหตุการณ์ที่เกิดขึ้น

ช่องโหว่นี้ได้รับการแก้ไขแล้วด้วยแพตช์ความปลอดภัยประจำเดือนมิถุนายน 2026 (security patch levels 2026-06-01 และ 2026-06-05)

ช่องโหว่ที่สองที่ CISA เพิ่มเข้าไปใน KEV catalog คือช่องโหว่ที่มีหมายเลข CVE-2022-0492 ซึ่งเป็นช่องโหว่ Privilege Escalation ที่มีความรุนแรงระดับ High โดยส่งผลกระทบต่อ Linux Kernel หลายเวอร์ชัน ตั้งแต่เวอร์ชัน 2.6 ถึง 4.20 และ 5.5 ถึง 5.17

ช่องโหว่นี้อยู่ในฟังก์ชัน ‘cgroup_release_agent_write()’ ของระบบย่อย cgroups v1 เนื่องจากการตรวจสอบการ authentication ที่ไม่รัดกุมพอ ผู้โจมตีในระดับ Local สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อ bypass namespace isolation ยกระดับสิทธิ์ และอาจ escape ออกจากคอนเทนเนอร์เพื่อเข้าถึงระบบโฮสต์ในระดับ Root ได้

ตามรายงานก่อนหน้านี้จาก Aqua Security และ Palo Alto Networks ช่องโหว่นี้ส่งผลกระทบเป็นหลักต่อสภาพแวดล้อมแบบคอนเทนเนอร์ที่ใช้ cgroups v1 และจะเป็นอันตรายอย่างยิ่งเมื่อคอนเทนเนอร์ได้รับสิทธิ์การทำงานที่สูงขึ้น

เวอร์ชันของ Linux Kernel ที่ได้รับการแก้ไขช่องโหว่นี้แล้ว ได้แก่ :

  • 4.9.301+
  • 4.14.266+
  • 4.19.229+
  • 5.4.177+
  • 5.10.97+
  • 5.15.20+
  • 5.16.6+
  • 5.17-rc3+

การเพิ่มช่องโหว่ทั้งสองรายการใน KEV ส่งผลให้หน่วยงานรัฐบาลกลางทั้งหมดที่อยู่ภายใต้คำสั่ง BOD 22-01 จะต้องติดตั้งอัปเดตความปลอดภัย และดำเนินการลดผลกระทบตามที่ผู้พัฒนาซอฟต์แวร์แนะนำ หรือให้หยุดใช้งานซอฟต์แวร์ที่ได้รับผลกระทบดังกล่าว โดย CISA ได้กำหนดเวลาภายในวันที่ 5 มิถุนายน 2026

อย่างไรก็ตาม KEV ยังเป็นเหมือนประกาศเตือนสำหรับหน่วยงานโครงสร้างพื้นฐานที่สำคัญ และองค์กรขนาดใหญ่โดยทั่วไป ซึ่งองค์กรเหล่านี้ควรดำเนินมาตรการรักษาความปลอดภัยเพื่อรับมือกับช่องโหว่เหล่านี้อย่างเร่งด่วนในระดับเดียวกัน

ทั้งนี้ ช่องโหว่ทั้งสองรายการยังไม่ได้ถูกระบุว่ามีการนำไปใช้โจมตีโดยกลุ่มแรนซัมแวร์ ซึ่งเป็นเครื่องหมายเตือนเฉพาะที่ CISA มักใช้ในรายการ KEV เพื่อเน้นย้ำถึงความรุนแรงเป็นพิเศษ และความเร่งด่วนในการอัปเดตแพตช์

 

ที่มา : bleepingcomputer.com