Google Threat Intelligence Group (GTIG) ได้ติดตามช่องโหว่ zero-day จำนวน 90 รายการ ที่ถูกนำมาใช้ในการโจมตีจริงตลอดปี 2025 โดยเกือบครึ่งหนึ่งของช่องโหว่เหล่านี้พบในซอฟต์แวร์ และอุปกรณ์สำหรับองค์กร

ตัวเลขดังกล่าวเพิ่มขึ้น 15% เมื่อเทียบกับปี 2024 ซึ่งมีการใช้ช่องโหว่ zero-day ในการโจมตี 78 รายการ แต่ยังคงต่ำกว่าสถิติสูงสุด 100 รายการที่บันทึกไว้ในปี 2023 (more…)

Cisco ออกอัปเดตแพตซ์ด้านความปลอดภัย เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงระดับสูงสุด 2 รายการในซอฟต์แวร์ Secure Firewall Management Center (FMC)

Secure FMC คือ web หรือ SSH-based interface สำหรับให้ Admin จัดการ Firewall ของ Cisco และตั้งค่า application control, intrusion prevention, URL filtering และระบบป้องกันมัลแวร์ขั้นสูง (more…)

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ของ VMware Aria Operations ที่มีหมายเลข CVE-2026-22719 ลงใน Known Exploited Vulnerabilities catalog พร้อมระบุว่าช่องโหว่นี้กำลังถูกใช้ในการโจมตี

ทางด้าน Broadcom ได้รับทราบรายงานของช่องโหว่ และระบุว่า ช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีแล้ว แต่ยังไม่สามารถยืนยันข้อเท็จจริงของรายงานเหล่านั้นได้ (more…)

นักวิจัยจาก Infoblox Threat Intel ตรวจพบแคมเปญ Phishing ที่มีความซับซ้อนสูง ซึ่งใช้ประโยชน์จากช่องโหว่ในโครงสร้างพื้นฐานของอินเทอร์เน็ต เพื่อ Bypass ระบบ Security ขององค์กร (more…)

เกิดเหตุการณ์ไฟฟ้าดับครั้งใหญ่ที่ศูนย์ข้อมูล AWS ภูมิภาคตะวันออกกลาง (me-central-1) เมื่อวันที่ 1 มีนาคม 2026 ที่ผ่านมา หลังจากถูกวัตถุภายนอกพุ่งชนจนเกิดเพลิงไหม้ ซึ่งเหตุการณ์ดังกล่าวส่งผลให้บริการ Amazon Elastic Compute Cloud (EC2), เครือข่าย API และทรัพยากรต่าง ๆ ประสบปัญหาขัดข้องอย่างรุนแรงในโซนให้บริการ mec1-az2

(more…)

นักวิจัยพบมัลแวร์บน Android ตัวแรกที่มีการนำ Generative AI มาใช้ในกระบวนการทำงาน โดยมีการใช้ Gemini model ของ Google เพื่อช่วยปรับรูปแบบการแฝงตัวบนระบบให้เข้ากับอุปกรณ์เครื่องต่าง ๆ

Lukas Stefanko นักวิจัยจาก ESET ได้อธิบายถึงวิธีที่มัลแวร์บน Android ตระกูลใหม่ที่ชื่อ "PromptSpy" นำ Gemini AI model ของ Google ไปใช้ในการโจมตี เพื่อช่วยให้สามารถแฝงตัวอยู่บนอุปกรณ์ที่ติดมัลแวร์ได้สำเร็จ

(more…)

นักวิจัยด้านความปลอดภัยจาก Oasis Security ได้เปิดเผยช่องโหว่ระดับความรุนแรงสูงที่เรียกว่า "ClawJacked" (CVE-2026-25253) ใน OpenClaw (หรือชื่อเดิม Moltbot / Clawdbot) ซึ่งเป็น AI agent ยอดนิยม ที่สามารถทำให้เว็บไซต์ที่เป็นอันตรายเข้าถึงอินสแตนซ์ที่ทำงานอยู่บนเครื่อง local โดยไม่ได้รับอนุญาต และสามาถควบคุมได้

Oasis Security ค้นพบปัญหา และรายงานไปยัง OpenClaw โดยมีการแก้ไขแล้วในเวอร์ชัน 2026.2.26 เมื่อวันที่ 26 กุมภาพันธ์ 2026

(more…)

กลุ่มแฮ็กเกอร์กำลังมุ่งเป้าโจมตีไปที่กลุ่มนักพัฒนาซอฟแวร์ โดยใช้การสมัครงานเป็นเหยื่อล่อ โดยจะสร้าง Malicious Repository ที่ปลอมเป็นโปรเจกต์ Next.

CISA เปิดเผยรายละเอียดใหม่เกี่ยวกับมัลแวร์ RESURGE ซึ่งเป็นโปรแกรมอันตรายที่แฝงตัวเข้ามา และกำลังอาจถูกใช้ในการโจมตีแบบ Zero-day โดยอาศัยช่องโหว่ CVE-2025-0282 เพื่อโจมตีระบบบนอุปกรณ์ Ivanti Connect Secure

ข้อมูลที่อัปเดตนี้เน้นไปที่ความสามารถของมัลแวร์ในการแฝงตัวอยู่บนอุปกรณ์โดยไม่ถูกตรวจพบ รวมถึงเทคนิคการหลบหลีก และการยืนยันตัวตนในระดับเครือข่ายที่มีความซับซ้อน ซึ่งจะช่วยให้มันสามารถสื่อสารกับผู้โจมตีได้อย่างลับ ๆ

ก่อนหน้านี้ CISA ได้รายงานข้อมูลของมัลแวร์ตัวนี้ไว้เมื่อวันที่ 28 มีนาคมปีที่แล้ว โดยระบุว่ามันสามารถแฝงตัวอยู่ได้แม้จะมีการรีบูตเครื่อง, สามารถสร้าง webshells เพื่อขโมยข้อมูล Credentials, สร้างบัญชีผู้ใช้ใหม่, รีเซ็ตรหัสผ่าน และยกระดับสิทธิ์การเข้าถึงระบบได้

ตามรายงานของนักวิจัยจากบริษัท Mandiant ระบุว่า ช่องโหว่ร้ายแรงระดับ Critical ดังกล่าวถูกติดตามด้วยหมายเลข CVE-2025-0282 และกำลังถูกนำมาใช้ในการโจมตีแบบ Zero-day ตั้งแต่ช่วงกลางเดือนธันวาคม 2024 โดยกลุ่มผู้ไม่หวังดีที่มีความเชื่อมโยงกับจีน ซึ่งทางบริษัทติดตามพฤติกรรมเป็นการภายในภายใต้ชื่อรหัส UNC5221

การซ่อนตัวในระดับเครือข่าย

ประกาศที่อัปเดตของ CISA ให้ข้อมูลทางเทคนิคเพิ่มเติมเกี่ยวกับ RESURGE ซึ่งเป็นไฟล์ Linux Shared Object แบบ 32 bit ที่เป็นอันตรายชื่อว่า libdsupgrade.

Zyxel ผู้ให้บริการอุปกรณ์เครือข่ายจากไต้หวัน ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อ Router มากกว่า 12 รุ่น ซึ่งช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถ Remote Command Execution บนอุปกรณ์ที่ยังไม่ได้อัปเดตแพตช์ได้

ช่องโหว่ด้านความปลอดภัยประเภท Command Injection นี้มีหมายเลข CVE-2025-13942 โดยพบในฟังก์ชัน UPnP ของอุปกรณ์ Zyxel 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONTs และอุปกรณ์ Wireless extenders

Zyxel ระบุว่า ผู้โจมตีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเรียกใช้ OS command ของอุปกรณ์ที่ได้รับผลกระทบ โดยใช้ UPnP SOAP requests ที่ถูกสร้างขึ้นมาเพื่อโจมตีโดยเฉพาะ

อย่างไรก็ตาม การโจมตีผ่านช่องโหว่ CVE-2025-13942 น่าจะอยู่ในวงจำกัดกว่าที่ระดับความรุนแรงได้ระบุไว้ เนื่องจากการจะโจมตีระบบให้สำเร็จได้นั้นจำเป็นต้องมีการเปิดใช้งาน UPnP และการเข้าถึงผ่าน WAN ซึ่งการเข้าถึงผ่าน WAN นั้นถูก Disable ไว้เป็นค่า Default อยู่แล้ว

Zyxel ระบุว่า "การเข้าถึงผ่าน WAN บนอุปกรณ์เหล่านี้จะถูก Disable ไว้เป็นค่า Default และการโจมตีจากระยะไกลจะเกิดขึ้นได้ก็ต่อเมื่อมีการเปิดใช้งานทั้งการเข้าถึงผ่าน WAN และฟังก์ชัน UPnP ที่มีช่องโหว่เท่านั้น แต่บริษัทขอแนะนำให้ผู้ใช้ทำการติดตั้งแพตช์เพื่อรักษาระดับการป้องกันให้มีประสิทธิภาพสูงสุด"

นอกจากนี้ เมื่อวันอังคารที่ผ่านมา Zyxel ยังได้ออกแพตช์แก้ไขช่องโหว่ประเภท Command Injection ระดับความรุนแรงสูงอีก 2 รายการ (CVE-2025-13943 และ CVE-2026-1459) ซึ่งเป็นช่องโหว่ที่เกิดขึ้นหลังจากการยืนยันตัวตน โดยอาจทำให้ผู้ไม่หวังดีสามารถเรียกใช้ OS command ได้ หากได้ข้อมูล Credential ที่ถูกขโมยมา

Shadowserver ซึ่งเป็นองค์กรเฝ้าระวังด้านความปลอดภัยบนอินเทอร์เน็ต ปัจจุบันกำลังติดตามอุปกรณ์ Zyxel ที่เชื่อมต่ออยู่บนอินเทอร์เน็ตเกือบ 120,000 เครื่อง ซึ่งในจำนวนนี้เป็น Router มากกว่า 76,000 เครื่อง

อุปกรณ์ของ Zyxel มักตกเป็นเป้าหมายในการโจมตีอยู่บ่อยครั้ง เนื่องจากผู้ให้บริการอินเทอร์เน็ต (ISP) หลายแห่งทั่วโลกมักนำไปใช้เป็นอุปกรณ์มาตรฐานแก่ลูกค้า เมื่อมีการเปิดใช้งานสัญญาบริการอินเทอร์เน็ตใหม่

CISA กำลังติดตามช่องโหว่ของ Zyxel จำนวน 12 รายการ ที่ส่งผลกระทบต่ออุปกรณ์ Router, Firewall และ NAS ของบริษัท ซึ่งเป็นช่องโหว่ที่เคยถูกนำไปใช้ หรือกำลังถูกนำไปใช้ในการโจมตีจริงในปัจจุบัน

เมื่อต้นเดือนที่ผ่านมา Zyxel ได้ออกมาแจ้งเตือนว่า บริษัทไม่มีแผนที่จะออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยแบบ Zero-day จำนวน 2 รายการ (CVE-2024-40891 และ CVE-2024-40891) ที่กำลังถูกนำไปใช้ในการโจมตีจริง และส่งผลกระทบต่อ Router รุ่นที่หมดระยะเวลาการ Support (EOL) ไปแล้ว แต่ยังคงมีวางจำหน่ายอยู่ในช่องทางออนไลน์ โดยบริษัทแนะนำให้ลูกค้าเปลี่ยนไปใช้อุปกรณ์ Router รุ่นใหม่ที่ Firmware ได้รับการอัปเดตแก้ไขช่องโหว่แล้วแทน

Zyxel ระบุว่า "อุปกรณ์รุ่น VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 และ SBG3500 ถือเป็นผลิตภัณฑ์รุ่นเก่าที่หมดระยะเวลาการ Support (EOL) ไปแล้วมานานหลายปีแล้ว ดังนั้น จึงขอแนะนำให้ผู้ใช้งานเปลี่ยนไปใช้ผลิตภัณฑ์รุ่นใหม่กว่า เพื่อการป้องกันที่มีประสิทธิภาพสูงสุด"

Zyxel อ้างว่าปัจจุบันมีองค์กรธุรกิจมากกว่า 1 ล้านแห่งใน 150 ตลาดทั่วโลก ที่กำลังใช้งานผลิตภัณฑ์เครือข่ายของบริษัท

 

ที่มา : bleepingcomputer.