มีรายงานข่าวในช่วงนี้เกี่ยวกับเหตุการณ์การละเมิดข้อมูลครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์ ทำให้เกิดการรายงานข่าวในสื่อต่าง ๆ ที่เต็มไปด้วยคำเตือน และความตื่นตระหนก อย่างไรก็ตาม จากการตรวจสอบข้อมูล ดูเหมือนว่าเหตุการร์นี้จะเป็นการรวบรวมข้อมูลส่วนบุคคลที่รั่วไหลออกมาก่อนหน้านี้ ซึ่งถูกขโมยโดย infostealers malware, เหตุการณ์ data breaches และผ่านการโจมตีแบบ credential stuffing (more…)

Cloudflare เปิดเผยว่าได้ป้องกันการโจมตีแบบ DDoS ที่สร้างสถิติใหม่ในเดือนพฤษภาคม 2025 ด้วยปริมาณที่พุ่งสูงถึง 7.3 Tbps โดยมุ่งเป้าไปยังผู้ให้บริการ Hosting

การโจมตีแบบ DDoS คือการส่ง traffic จำนวนมหาศาลไปยังเป้าหมาย โดยมีจุดประสงค์เดียวคือทำให้เซิร์ฟเวอร์ทำงานอย่างหนัก และทำให้เกิดความล่าช้าในการให้บริการ จนถึงขั้นระบบหยุดชะงัก หรืออาจทำให้ระบบขัดข้องไปเลย

การโจมตีครั้งใหม่นี้มีขนาดใหญ่กว่าสถิติเดิมถึง 12% โดยมีการส่งข้อมูลมหาศาลถึง 37.4 TB ภายในเวลาเพียง 45 วินาที ถ้าเทียบเท่ากับการสตรีมมิ่งวิดีโอความละเอียดสูงระดับ HD ก็จะประมาณ 7,500 ชั่วโมง หรือถ้าเป็นรูปภาพ JPEG ก็จะประมาณ 12,500,000 รูป

Cloudflare เป็นบริษัทยักษ์ใหญ่ด้านโครงสร้างพื้นฐานเว็บไซต์ และความปลอดภัยทางไซเบอร์ที่เชี่ยวชาญด้านการป้องกันการโจมตีแบบ DDoS โดยให้บริการป้องกันในระดับเครือข่ายที่เรียกว่า 'Magic Transit' แก่ลูกค้าที่ตกเป็นเป้าหมายของการโจมตีในครั้งนี้

การโจมตีครั้งนี้มาจาก IP Address ต้นทางจำนวน 122,145 แห่ง ที่กระจายอยู่ใน 161 ประเทศ โดยส่วนใหญ่มาจากบราซิล, เวียดนาม, ไต้หวัน, จีน, อินโดนีเซีย และยูเครน

แพ็กเกจข้อมูลขยะ ถูกส่งไปยังพอร์ตปลายทางหลายพอร์ตบนระบบของเหยื่อ โดยเฉลี่ยอยู่ที่ 21,925 พอร์ตต่อวินาที และสูงสุดถึง 34,517 พอร์ตต่อวินาที

กลยุทธ์ในการกระจาย traffic ในลักษณะนี้ มีเป้าหมายเพื่อทำให้ firewall หรือระบบตรวจจับการบุกรุก (IDS) ทำงานหนักจนถึงขั้นขัดข้องในที่สุด อย่างไรก็ตาม Cloudflare ระบุว่า สามารถป้องกันการโจมตีได้สำเร็จโดยไม่ต้องอาศัยการแทรกแซงใด ๆ จากมนุษย์

เครือข่าย anycast ของ Cloudflare ได้ช่วยกระจาย traffic จากการโจมตีไปยังศูนย์ข้อมูล 477 แห่ง ใน 293 แห่งทั่วโลก โดยอาศัยเทคโนโลยีหลักต่าง ๆ เช่น การตรวจสอบ fingerprint แบบเรียลไทม์ (real-time fingerprinting) และการแลกเปลี่ยนข้อมูลภายในศูนย์ข้อมูล (intra-data center gossiping) เพื่อแบ่งปันข้อมูลภัยคุกคามแบบ real-time และสร้าง Rules เพื่อป้องกันโดยอัตโนมัติ

แม้ว่าปริมาณการโจมตีเกือบทั้งหมดจะมาจากเทคนิค UDP floods ซึ่งคิดเป็น 99.996% ของ traffic ทั้งหมด แต่ก็มีการโจมตีในรูปแบบอื่น ๆ อีกหลายรูปแบบเข้ามาเกี่ยวข้องด้วย ได้แก่ :

QOTD reflection – การโจมตีแบบ reflection โดยใช้โปรโตคอล QOTD (Quote of the Day)
Echo reflection – การโจมตีแบบ reflection โดยใช้โปรโตคอล Echo เพื่อสร้าง traffic จำนวนมาก
NTP amplification – การโจมตีแบบ amplification โดยใช้โปรโตคอล NTP (Network Time Protocol) เพื่อเพิ่มปริมาณข้อมูล
Mirai botnet UDP flood – การโจมตีแบบ UDP flood โดยใช้ Mirai botnet
Portmap flood – การโจมตีแบบ Portmap flood โดยส่งข้อมูลจำนวนมากผ่านพอร์ตที่ใช้บริการ Portmap เพื่อทำให้ระบบล่ม
RIPv1 amplification – การโจมตีแบบ amplification โดยใช้โปรโตคอล RIPv1 (Routing Information Protocol version 1) เพื่อสร้างปริมาณ traffic ที่มากผิดปกติ

การโจมตีแต่ละรูปแบบอาศัยช่องโหว่ของบริการที่ล้าสมัย หรือที่ถูกตั้งค่าผิดพลาด แม้ว่าส่วนนี้จะเป็นเพียงสัดส่วนเล็กน้อยของการโจมตีทั้งหมด แต่ก็เป็นส่วนหนึ่งของกลยุทธ์ในการหลบเลี่ยงการตรวจจับ และเพิ่มประสิทธิภาพของการโจมตี อีกทั้งยังอาจถูกใช้เพื่อตรวจสอบหาจุดอ่อน หรือช่องโหว่ในการตั้งค่าในระบบได้อีกด้วย

Cloudflare ระบุว่า Indicators of Compromise (IoCs) ที่ได้จากการโจมตีในครั้งนี้ได้ถูกนำมาใส่ในบริการ DDoS Botnet Threat Feed ของบริษัทแล้ว ซึ่งเป็นบริการฟรีที่ช่วยให้องค์กรต่าง ๆ สามารถบล็อก IP Address ที่เป็นอันตรายได้ล่วงหน้า

ปัจจุบันมีองค์กรกว่า 600 แห่งที่สมัครใช้บริการนี้แล้ว และ Cloudflare ก็ได้เรียกร้องให้องค์กรอื่น ๆ ที่เสี่ยงต่อถูกการโจมตีแบบ DDoS ขนาดใหญ่ มาสมัครใช้บริการเช่นเดียวกัน เพื่อสกัดกั้นการโจมตีก่อนที่จะเข้าถึงโครงสร้างพื้นฐานของพวกเขาได้

 

ที่มา : bleepingcomputer.

สภาเมือง Oxford ออกมาแจ้งเตือนถึงเหตุการณ์ข้อมูลรั่วไหล โดยผู้ไม่หวังดีสามารถเข้าถึงข้อมูลส่วนบุคคล (Personally Identifiable Information - PII) ที่จัดเก็บไว้ในระบบ (Legacy Systems) ขององค์กร

จากประกาศบนเว็บไซต์อย่างเป็นทางการ เหตุการณ์การเจาะระบบในครั้งนี้ยังส่งผลให้บริการด้านเทคโนโลยีสารสนเทศ (ICT) ของสภาเมือง Oxford หยุดชะงัก ถึงแม้ว่าระบบส่วนใหญ่ที่ได้รับผลกระทบจะสามารถกลับมาใช้งานได้แล้ว แต่ยังคงมีงานค้างจำนวนหนึ่งที่อาจทำให้เกิดความล่าช้าในการให้บริการต่อไป

สภาเมือง Oxford เป็นหน่วยงานปกครองส่วนท้องถิ่นที่รับผิดชอบให้บริการสาธารณะที่สำคัญในเมือง Oxford ประเทศอังกฤษ เช่น การจัดการถิ่นที่อยู่อาศัย, การวางผังเมือง, การจัดการของเสีย, การจัดการระบบสุขภาพ และสิ่งแวดล้อม รวมถึงการเลือกตั้ง

โดยหน่วยงานนี้ให้บริการประชาชนราว 155,000 รายในพื้นที่ แต่มีอิทธิพลครอบคลุมกว้างขวางทางภูมิศาสตร์มากกว่านั้น อันเนื่องมาจากชื่อเสียงในระดับนานาชาติของเมือง Oxford จากมหาวิทยาลัย Oxford การท่องเที่ยง และสถาบันวิจัยต่าง ๆ

จากแถลงการณ์บนเว็บไซต์ของสภาเมืองระบุว่า ผู้ไม่หวังดีสามารถเข้าถึงระบบ และฐานข้อมูลบางส่วนได้โดยไม่ได้รับอนุญาต ซึ่งระบบเหล่านั้นมีการจัดเก็บข้อมูลส่วนบุคคลอยู่ด้วย และจากการสอบสวนเบื้องต้น ระบบที่ได้รับผลกระทบมีข้อมูลของเจ้าหน้าที่สภาเมืองหลายรายทั้งในอดีต และปัจจุบัน ซึ่งมีการปฏิบัติงานในช่วงระหว่างปี ค.ศ. 2001 ถึง ค.ศ. 2022

โดยขณะนี้เราพบว่า บุคคลที่เคยได้ปฏิบัติงานซึ่งมีส่วนเกี่ยวข้องในการเลือกตั้งภายใต้การดูแลของสภาเมือง Oxford ระหว่างปี ค.ศ. 2001 ถึง 2022 และรวมถึงเจ้าหน้าที่ประจำหน่วยเลือกตั้ง และผู้ตรวจนับคะแนน อาจถูกเข้าถึงข้อมูลส่วนบุคคลของบุคลากรเหล่านี้โดยไม่ได้รับอนุญาต

แถลงการณ์ระบุว่า ยังไม่มีหลักฐานใดที่แสดงให้เห็นว่าข้อมูลที่รั่วไหลได้ถูกเผยแพร่ต่อไป และไม่มีการกล่าวถึงข้อมูลของประชาชนที่ได้รับผลกระทบจากเหตุการณ์นี้

ทั้งนี้ BleepingComputer ได้ติดต่อสภาเมือง Oxford เพื่อสอบถามข้อมูลเพิ่มเติมแล้ว ในเรื่องของการจัดเก็บข้อมูลของประชาชนในฐานข้อมูลว่าถูกเข้าถึงหรือไม่ และจะมีการอัปเดตอีกครั้งหากได้รับการตอบกลับ

ซึ่งทางองค์กรแจ้งว่ายังอยู่ในระหว่างการสืบสวนสอบสวนเหตุการณ์นี้อย่างต่อเนื่อง แต่ในปัจจุบันยังไม่พบหลักฐานใดที่บ่งชี้ว่ามีการนำข้อมูลจำนวนมากออกไปได้

โดยสภาเมือง Oxford แจ้งว่าได้เริ่มดำเนินการแจ้งเตือนผู้ที่ได้รับผลกระทบเป็นรายบุคคลแล้ว พร้อมให้ข้อมูลเกี่ยวกับเหตุการณ์ การช่วยเหลือที่มีให้ และยืนยันถึงการเพิ่มมาตรฐานการรักษาความปลอดภัยให้เข้มงวดยิ่งขึ้นเพื่อป้องกันการเกิดเหตุการณ์ข้อมูลรั่วไหลในอนาคต

นอกจากนี้ทางองค์กรได้แจ้งเหตุการณ์ไปยังหน่วยงานรัฐบาลที่เกี่ยวข้อง และเจ้าหน้าที่บังคับใช้กฏหมายเรียบร้อยแล้ว

 

ที่มา : bleepingcomputer.

Microsoft กำลังตรวจสอบปัญหาใน OneDrive ที่ทำให้การค้นหาแสดงผลเป็นหน้าว่างเปล่าสำหรับผู้ใช้บางราย หรือไม่แสดงผลลัพธ์ใด ๆ ออกมาเลย แม้ว่าจะเป็นการค้นหาไฟล์ที่ผู้ใช้ทราบว่าตนเองได้อัปโหลดไปแล้วก็ตาม

Microsoft เปิดเผยในเอกสารสนับสนุนที่อัปเดตในสัปดาห์นี้ว่า Bug ดังกล่าว ส่งผลกระทบต่อผู้ใช้งานบนระบบ Windows, Android, iOS และเวอร์ชันเว็บไซต์

Microsoft ได้อธิบายในเอกสารสนับสนุนที่เผยแพร่ในสัปดาห์นี้ว่า "ผู้ใช้บัญชีส่วนตัวของ OneDrive บางราย อาจสังเกตเห็นว่าผลการค้นหาแสดงเป็นหน้าว่างเปล่า หรือไม่แสดงไฟล์ที่พวกเขาทราบว่ามีอยู่จริง แม้ว่าไฟล์เหล่านั้นจะยังคงอยู่ และสามารถเข้าถึงได้ แต่ไฟล์เหล่านั้นจะไม่ปรากฏในผลการค้นหา"

"บริษัทกำลังตรวจสอบสาเหตุที่แท้จริงของปัญหานี้ แต่ดูเหมือนว่าปัญหานี้จะส่งผลกระทบต่อผู้ใช้งานเพียงบางส่วน และบริษัทกำลังทำงานร่วมกับทีมสนับสนุนอย่างใกล้ชิดเพื่อทำความเข้าใจขอบเขตของปัญหานี้ให้ดียิ่งขึ้น"

Microsoft กำลังพยายามค้นหาสาเหตุหลักของปัญหาการค้นหาที่กำลังเกิดขึ้นนี้ ซึ่งส่งผลกระทบต่อผู้ใช้ในเกือบทุกแพลตฟอร์มของ OneDrive โดย Microsoft ยังระบุเพิ่มเติมว่า ขณะนี้ยังไม่มีวิธีแก้ไขปัญหาชั่วคราวสำหรับผู้ใช้ที่ได้รับผลกระทบ และยังไม่สามารถระบุกรอบเวลาในการแก้ไขปัญหาดังกล่าวได้

Microsoft ระบุเพิ่มเติมว่า "บริษัทเข้าใจถึงผลกระทบที่เกิดจากปัญหานี้ และขอยืนยันว่ากำลังเร่งดำเนินการเพื่อแก้ไขปัญหานี้ให้เร็วที่สุด ขอบคุณสำหรับความอดทนในระหว่างที่กำลังมีการดำเนินการแก้ไขปัญหาดังกล่าว"

Microsoft กำลังตรวจสอบอีกปัญหาหนึ่งที่ส่งผลกระทบต่อผู้ใช้ iOS โดยปัญหานั้นจะทำให้วิดีโอที่ถ่ายในโหมดสโลว์โมชัน เมื่ออัปโหลดไปยัง OneDrive แล้ว กลับเล่นด้วยความเร็วที่ยังคงปกติอยู่เหมือนเดิม

โดยทาง Microsoft แนะนำให้ผู้ใช้ที่กำลังประสบปัญหานี้ ควรใช้วิธีแชร์วิดีโอจาก Gallery ของ iOS ไปยัง OneDrive แทนการอัปโหลดไฟล์ด้วยตนเอง หรือผ่านการสำรองข้อมูลอัตโนมัติจาก Camera Roll

ก่อนหน้านี้ ในเดือนมกราคม 2025 ที่ผ่านมา Microsoft ได้แก้ไขปัญหาอีกรายการหนึ่ง ที่ทำให้แอปพลิเคชันบน macOS ค้างเมื่อเปิด หรือบันทึกไฟล์ใน OneDrive

ตามที่ Microsoft ได้ออกมายอมรับถึง Bug ดังกล่าวในเดือนพฤศจิกายน 2024 ที่ผ่านมา ซึ่งปัญหานี้ส่งผลกระทบเฉพาะกับผู้ใช้ที่ใช้ระบบปฏิบัติการ macOS 15 Sequoia ของ Apple เท่านั้น

 

ที่มา : bleepingcomputer.

Microsoft ได้ประกาศแผนการที่จะลบไดรเวอร์รุ่นเก่าออกจาก catalog ของ Windows Update เป็นระยะ ๆ เพื่อลดความเสี่ยงด้านความปลอดภัย และความเข้ากันได้ของอุปกรณ์

Microsoft ระบุว่า "เหตุผลเบื้องหลังความคิดริเริ่มนี้ คือเพื่อให้แน่ใจว่ามีชุดไดรเวอร์ที่เหมาะสมที่สุดบน Windows Update ที่สามารถรองรับอุปกรณ์ hardware หลากหลายประเภททั่วทั้ง ecosystem ของ Windows ขณะเดียวกันก็ต้องมั่นใจว่าสถานะความปลอดภัยของ Microsoft Windows จะไม่ถูกลดทอนลงด้วยเช่นกัน"

"ความคิดริเริ่มนี้เกี่ยวข้องกับการ cleanup ไดรเวอร์ออกจาก Windows Update เป็นระยะ ๆ ซึ่งจะส่งผลให้ไดรเวอร์บางรายการจะไม่ถูกเสนอให้ติดตั้งกับอุปกรณ์ใด ๆ ใน ecosystem ของ Windows อีกต่อไป"

ตามที่ Microsoft ได้อธิบายเมื่อวันพฤหัสบดีที่ผ่านมาว่า ขั้นตอนแรกของกระบวนการ cleaning up นี้ จะเริ่มจากไดรเวอร์ที่มีเวอร์ชันใหม่กว่าที่ถูกเผยแพร่อยู่ใน Windows Update อยู่แล้ว

ในบริบทนี้ การ cleanup หมายถึง การทำให้ไดรเวอร์หมดอายุ โดยการลบความเชื่อมโยงของไดรเวอร์กับกลุ่มเป้าหมายใน Windows Update ออก ซึ่งจะทำให้ไดรเวอร์ดังกล่าวไม่ถูกนำเสนอให้ติดตั้งกับระบบ Windows ใด ๆ อีกต่อไป โดยกระบวนการนี้จะดำเนินการผ่านการลบการกำหนดกลุ่มเป้าหมายของไดรเวอร์ที่หมดอายุใน Hardware Development Center

Microsoft จะเริ่มจากการลบไดรเวอร์รุ่นเก่าออกก่อน และจะค่อย ๆ ขยายไปยังหมวดหมู่อื่น ๆ ที่สามารถลบได้เพื่อเพิ่มความปลอดภัย อย่างไรก็ตาม พาร์ทเนอร์ยังสามารถนำไดรเวอร์ที่ถูก Microsoft ลบออกในกระบวนการ clean-up นี้กลับมาเผยแพร่ใหม่ได้ หากพวกเขาสามารถให้เหตุผลทางธุรกิจที่สมเหตุสมผลได้

Microsoft ระบุเพิ่มเติมอีกว่า "การที่ Microsoft นำไดรเวอร์รุ่นเก่าออกจาก Windows Update เป็นมาตรการเชิงรุกเพื่อปกป้องความปลอดภัย และปรับปรุงคุณภาพของไดรเวอร์สำหรับผู้ใช้ Windows"

"จากนี้ไป คาดว่าการ cleanup นี้จะกลายเป็นแนวทางปฏิบัติที่เป็นกิจวัตรประจำ และเตรียมพบกับแนวทางการเผยแพร่ไดรเวอร์รูปแบบใหม่ ที่จะช่วยให้ผู้ใช้ Windows ทุกคนสามารถรักษาระบบของตนให้อยู่ในสถานะที่ปลอดภัย และเชื่อถือได้"

เมื่อเดือนพฤษภาคมที่ผ่านมา Microsoft ยังได้ประกาศการเปลี่ยนแปลงเกี่ยวกับการรับรองไดรเวอร์ในเวอร์ชันทดสอบ (pre-production) ซึ่งเป็นผลมาจากการที่ Certificate Authorities - CAs บางรายกำลังจะหมดอายุในเดือนกรกฎาคมที่จะถึงนี้ รวมถึงการยุติให้บริการ Windows Metadata and Internet Services (WMIS) และ Metadata ของอุปกรณ์

นอกจากนี้ เมื่อต้นสัปดาห์ที่ผ่านมา Microsoft ยังได้เปิดตัวการตั้งค่าความปลอดภัยเริ่มต้นใหม่สำหรับ Windows 365 Cloud PC และจะอัปเดตค่าความปลอดภัยเริ่มต้นสำหรับผู้ใช้ Microsoft 365 ทั้งหมดในเดือนกรกฎาคมที่จะถึงนี้ เพื่อบล็อกการเข้าถึงไฟล์ใน SharePoint, OneDrive และ Office โดยใช้โปรโตคอลการยืนยันตัวตนแบบเก่า (legacy authentication protocols) อีกด้วย

 

ที่มา : bleepingcomputer.

เมื่อวันพุธที่ 18 มิถุนายน 2025 ที่ผ่านมา Meta Platforms ประกาศว่าได้เพิ่มการรองรับ Passkeys ให้เป็นมาตรฐานรหัสผ่าน next-generation สำหรับ Facebook

Meta ระบุว่า "Passkey เป็นวิธีใหม่ในการยืนยันตัวตนสำหรับการเข้าสู่ระบบบัญชีที่ง่าย และปลอดภัยกว่ารหัสผ่านแบบเดิม"

การรองรับ Passkey คาดว่าจะพร้อมใช้งานในเร็ว ๆ นี้ บนอุปกรณ์มือถือระบบ Android และ iOS นอกจากนี้ ฟีเจอร์ดังกล่าวก็กำลังจะถูกเพิ่มเข้ามาใน Messenger platform ในอีกไม่กี่เดือนข้างหน้าเช่นกัน

Meta ระบุว่า Passkey ยังสามารถใช้เพื่อกรอกข้อมูลการชำระเงินแบบอัตโนมัติเมื่อทำการซื้อสินค้าผ่าน Meta Pay ได้อีกด้วย

ก่อนหน้านี้ Meta ได้เริ่มเปิดให้ใช้งาน Passkey สำหรับ WhatsApp บน Android ในเดือนตุลาคม 2023 และบน iOS ในเดือนเมษายน 2024 ที่ผ่านมา แต่ยังไม่มีการประกาศว่าจะนำ Passkey มาใช้กับ Instagram เมื่อใด

Passkey ได้รับการสนับสนุนโดย FIDO Alliance ซึ่งเป็นโซลูชันการยืนยันตัวตนแบบไม่ใช้รหัสผ่าน โดยจะอนุญาตให้ผู้ใช้เข้าสู่บริการออนไลน์ต่าง ๆ ได้อย่างปลอดภัยผ่านข้อมูลไบโอเมตริกซ์ เช่น ลายนิ้วมือ หรือการแสกนใบหน้า หรือใช้รหัส PIN ล็อกหน้าจอของอุปกรณ์

Meta ระบุว่า "Passkey ถือเป็นการยกระดับความปลอดภัยเมื่อเทียบกับรหัสผ่านแบบเดิม หรือรหัสผ่านแบบใช้ครั้งเดียว (SMS OTP) เนื่องจากสามารถป้องกันการคาดเดา หรือการขโมยจากเว็บไซต์ที่เป็นอันตรายหรือลิงก์หลอกลวงได้ ทำให้มีประสิทธิภาพในการป้องกันการโจมตีแบบ phishing และการสุ่มรหัสผ่าน (password spraying) ได้อีกด้วย"

เมื่อเดือนพฤษภาคม 2025 ที่ผ่านมา Microsoft ได้กำหนดให้ Passkey เป็นวิธีการเข้าสู่ระบบเริ่มต้นสำหรับบัญชีผู้ใช้งานทั่วไปที่ทำการเปิดบัญชีใหม่ และเมื่อไม่นานมานี้ Apple ก็ได้เปิดเผยการเปลี่ยนแปลงที่จะเกิดขึ้นกับแอป Passwords ของตน ที่จะช่วยให้ผู้ใช้สามารถนำเข้า และส่งออก Passkey ระหว่างแอป credential manager ที่รองรับบนอุปกรณ์ iOS, iPadOS, macOS และ visionOS 26 ได้

 

ที่มา : thehackernews.

พบช่องโหว่ด้านความปลอดภัยในระบบ Keyless Entry (KES) ที่ใช้งานในรถยนต์ KIA อย่างแพร่หลายในเอกวาดอร์ ช่องโหว่นี้ทำให้รถยนต์หลายพันคันเสี่ยงต่อการถูกโจรกรรม ช่องโหว่หมายเลข CVE-2025-6029 เป็นช่องโหว่ที่เกิดจากเทคโนโลยีล้าสมัยในรีโมตคีย์ (Key Fobs) และจัดจำหน่ายโดย KIA Ecuador รุ่นที่ได้รับผลกระทบได้แก่ Kia Soluto, Rio และ Picanto ที่ผลิตระหว่างปี 2022 ถึง 2025

ช่องโหว่ในรถยนต์ KIA (CVE-2025-6029)

ช่องโหว่ในระบบ Keyless Entry ถูกพบโดย Danilo Erazo นักวิจัยอิสระด้านความปลอดภัยฮาร์ดแวร์, Ethical Hacker และผู้ก่อตั้ง Reverse Everything Erazo ได้ศึกษาด้านความปลอดภัยของยานพาหนะมาอย่างยาวนาน โดยเฉพาะในส่วนของฮาร์ดแวร์ และโปรโตคอลความถี่วิทยุ (RF) ที่ใช้ในรีโมตคีย์ในละตินอเมริกา การวิจัยนี้แสดงให้เห็นถึงข้อผิดพลาดร้ายแรงในระบบ Keyless Entry ที่ติดตั้งในรถยนต์ KIA หลายรุ่นในเอกวาดอร์ ซึ่งยังคงใช้เทคโนโลยี "Learning Code" แทนที่จะเป็นเทคโนโลยี "Rolling Codes" ที่มีความปลอดภัยมากกว่า

รถยนต์สมัยใหม่ส่วนใหญ่ทั่วโลกใช้เทคโนโลยี Rolling Code ซึ่งจะเปลี่ยนรหัสการเข้าใช้งานทุกครั้งที่รีโมตคีย์ถูกใช้งาน ทำให้ความเสี่ยงจากการโจมตีแบบ Replay Attack หรือการ Cloning ลดลงอย่างมาก เทคโนโลยี Rolling Code เริ่มแพร่หลายในระบบความปลอดภัยของรถยนต์ตั้งแต่กลางทศวรรษ 1990 และกลายเป็นมาตรฐานในละตินอเมริกาตั้งแต่ต้นทศวรรษ 2000 ในทางตรงกันข้ามรีโมตคีย์ของ KIA ที่มีช่องโหว่ใช้โค้ดแบบ Fixed Learning Code ซึ่งเป็นรหัสคงที่ที่ยังคงเหมือนเดิมทุกครั้งที่ใช้รีโมตคีย์ส่งสัญญาณ

Learning Codes คืออะไร

Learning Codes คือรหัสคงที่ที่สามารถตั้งโปรแกรมได้ ซึ่งจัดเก็บไว้ทั้งในตัวรับสัญญาณของรถยนต์ และในตัวส่งสัญญาณของรีโมตคีย์ แตกต่างจากรหัสคงที่แบบถาวรที่ถูกตั้งค่าไว้แน่นอน Learning codes สามารถตั้งโปรแกรมใหม่ได้ โดยปกติรถยนต์แต่ละคันรองรับ Learning Codes ได้สูงสุดสี่รหัส เพื่อให้สามารถตั้งโปรแกรมกุญแจหลายดอกให้กับรถคันเดียวกันได้ อย่างไรก็ตาม รหัสเหล่านี้จะไม่เปลี่ยนแปลงแบบไดนามิกในแต่ละครั้งที่ใช้งาน ทำให้เสี่ยงต่อการถูกโจมตีด้วยวิธี replay หรือโคลนกุญแจ

ผู้ไม่หวังดีสามารถดักจับสัญญาณความถี่วิทยุที่รีโมตคีย์ส่งออกมาได้ด้วยเสาอากาศพิเศษ หรืออุปกรณ์ Software Defined Radio (SDR) จากนั้นก็สามารถส่งสัญญาณเดียวกันนี้ซ้ำเพื่อปลดล็อกประตูรถได้ ซึ่งเป็นที่มาของชื่อช่องโหว่นี้ว่า Keyless Entry Vulnerability

ชิป HS2240 และ EV1527

รีโมตคีย์ของ KIA Ecuador รุ่นปี 2022 และต้นปี 2023 ใช้ชิป HS2240 ส่วนรุ่นปี 2024 และ 2025 ใช้ชิป EV1527 ซึ่งทั้งสองชิปยังคงใช้เทคโนโลยี Learning Code ที่ไม่ปลอดภัย ชิปเหล่านี้มีรหัสคงที่ที่เป็นไปได้ประมาณ 1 ล้านชุด แต่ด้วยวิธีการโจมตีแบบ brute force ผู้ไม่หวังดีสามารถลองรหัสทั้งหมดอย่างเป็นระบบเพื่อเข้าถึงรถโดยไม่ได้รับอนุญาตได้

นอกจากการโจมตีแบบ Replay และ Brute Force แล้ว ระบบยังเปิดโอกาสให้เกิดช่องโหว่ในลักษณะ "backdoor" ได้อีกด้วย เนื่องจากตัวรับสัญญาณของรถยนต์สามารถรับ Learning Codes ได้สูงสุดสี่รหัส ผู้ไม่หวังดีจึงมีโอกาสเพิ่มรหัสคงที่ของตนเองเข้าไป ทำให้สามารถเข้าถึงรถได้อย่างถาวรโดยที่เจ้าของไม่รู้ตัว ช่องโหว่ backdoor นี้อาจถูกแทรกแซงได้ในทุกขั้นตอนของกระบวนการผลิต หรือ Supply Chain ก่อนที่รถจะถึงมือลูกค้า

ช่องโหว่นี้ส่งผลกระทบต่อรถยนต์ KIA หลายพันคันทั่วเอกวาดอร์ โดยมีการยืนยันกรณีที่เกี่ยวข้องกับรถยนต์รุ่น Kia Soluto, Rio และ Picanto ตั้งแต่ปี 2022 ถึง 2025 เหตุการณ์โจรกรรมในลานจอดรถสาธารณะ และที่จอดรถส่วนตัวก็ถูกเชื่อมโยงกับช่องโหว่นี้ แม้ว่าช่องโหว่นี้นี้จะถูกเปิดเผยสู่สาธารณะในเอกวาดอร์ แต่คาดว่าประเทศอื่น ๆ ในละตินอเมริกาก็ใช้ระบบ Keyless Entry ที่มีช่องโหว่คล้ายกันในรถยนต์ด้วย

ช่องโหว่ด้านความปลอดภัยนี้ยิ่งทวีความรุนแรงขึ้น เนื่องจาก KIA Ecuador ไม่เพียงแต่ติดตั้งรีโมตคีย์เหล่านี้เท่านั้น แต่ยังรับรอง และจัดจำหน่ายอย่างเป็นทางการอีกด้วย ที่น่าสนใจคือรีโมตคีย์ที่มีช่องโหว่นี้ยังสามารถซื้อได้บนเว็บไซต์ของ KIA Ecuador ทั้งที่ไม่ใช่ชิ้นส่วนที่ผลิตโดยผู้ผลิตอุปกรณ์ดั้งเดิม (OEM)

ที่มา : thecyberexpress.

ตามรายงานของ Insikt Group จาก Recorded Future เมื่อวันศุกร์ที่ผ่านมาพบว่า กลุ่ม GrayAlpha กลุ่มผู้ไม่หวังดีที่มีความเชื่อมโยงกับกลุ่ม FIN7 ได้ดำเนินการเปิดเว็บไซต์ที่มีโปรแกรม 7-Zip ปลอม และซอฟต์แวร์อื่น ๆ เพื่อแพร่กระจายมัลแวร์ NetSupport ซึ่งเป็น Remote Access Trojan (RAT) (more…)

BeyondTrust ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงระดับ High ในโซลูชัน Remote Support (RS) และ Privileged Remote Access (PRA) ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้ (more…)

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ local privilege escalation (LPE) ที่เพิ่งถูกค้นพบใหม่ 2 รายการ เพื่อยกระดับเป็นสิทธิ์ root บนระบบ Linux distributions หลักได้

ช่องโหว่แรก (CVE-2025-6018) ถูกพบในโครงสร้างการตั้งค่าของ Pluggable Authentication Modules (PAM) บน openSUSE Leap 15 และ SUSE Linux Enterprise 15 ซึ่งทำให้ผู้โจมตีในระดับ local สามารถยกระดับสิทธิ์ไปเป็น "allow_active" user ได้ (more…)