องค์กรกำกับดูแลการลงทุนแห่งประเทศแคนาดา (CIRO) ยืนยันว่า เหตุการณ์การละเมิดข้อมูลที่เกิดขึ้นกับองค์กรเมื่อปีที่แล้ว ได้ส่งผลกระทบต่อนักลงทุนชาวแคนาดาประมาณ 750,000 ราย

ทางองค์กรได้เปิดเผยถึงเหตุการณ์ดังกล่าวเมื่อวันที่ 18 สิงหาคม 2025 แต่กระบวนการสืบสวนทางนิติวิทยาศาสตร์อย่างละเอียดเสร็จสิ้นลงในปีนี้ เมื่อวันที่ 14 มกราคม 2026

CIRO เป็นองค์กรกำกับดูแลตนเองระดับชาติของแคนาดา ทำหน้าที่ดูแลผู้ค้าหลักทรัพย์, ผู้ค้ากองทุนรวม และกิจกรรมการซื้อขายหลักทรัพย์ต่าง ๆ ก่อตั้งขึ้นในปี 2023 และปัจจุบันถือเป็นหนึ่งในเสาหลักสำคัญของกรอบการกำกับดูแลทางการเงินของประเทศ

เมื่อช่วงฤดูร้อนที่ผ่านมา CIRO ประกาศว่าองค์กรฯ ได้ตรวจพบภัยคุกคามทางไซเบอร์ในระบบเมื่อวันที่ 11 สิงหาคม 2025 และได้ตอบสนองโดยการระงับการใช้งานระบบบางส่วนที่ไม่ส่งผลกระทบต่อการดำเนินงานหลัก ในขณะที่เริ่มดำเนินการสอบสวน

ผลการตรวจสอบเบื้องต้นแสดงให้เห็นว่า ข้อมูลส่วนบุคคลบางส่วนของบริษัทสมาชิก และพนักงานที่ลงทะเบียนไว้บางส่วนถูกขโมยไป อย่างไรก็ตาม การประเมินขอบเขตความเสียหายทั้งหมดของเหตุการณ์จำเป็นต้องใช้เวลาเพิ่มเติม

ในการประกาศเมื่อต้นสัปดาห์นี้ CIRO ได้แจ้งข้อมูลเพิ่มเติมว่าเหตุการณ์ดังกล่าวส่งผลกระทบต่อนักลงทุนในประเทศประมาณ 750,000 ราย ซึ่งกลุ่มนี้ถือเป็นส่วนหนึ่งของสมาชิกของ CIRO ทั้งในปัจจุบัน และในอดีต โดยข้อมูลที่ถูกเข้าถึงนั้นจะแตกต่างกันไปในแต่ละบุคคล และอาจประกอบด้วย:

วันเดือนปีเกิด
หมายเลขโทรศัพท์
รายได้ต่อปี
หมายเลขประกันสังคม
หมายเลขบัตรประจำตัวประชาชนที่ออกโดยรัฐบาล
หมายเลขบัญชีการลงทุน
รายการเดินบัญชี

CIRO เน้นย้ำว่า ข้อมูลการเข้าสู่ระบบ หรือคำถามรักษาความปลอดภัยของบัญชีนั้นไม่ได้รับผลกระทบ เนื่องจากทางองค์กรไม่ได้จัดเก็บข้อมูลดังกล่าวไว้ในระบบ

ทางองค์กรระบุว่า ได้ใช้เวลาไปกว่า 9,000 ชั่วโมงในการสอบสวนเหตุการณ์นี้ และยังไม่พบหลักฐานว่าข้อมูลที่ถูกขโมยไปนั้นถูกนำไปใช้ในทางที่ผิด หรือถูกเผยแพร่บน Dark Web แต่อย่างใด

อย่างไรก็ตาม เพื่อช่วยบรรเทาความเสี่ยง CIRO จะให้บริการตรวจสอบเครดิต และป้องกันการโจรกรรมข้อมูลส่วนบุคคลฟรีเป็นเวลา 2 ปีแก่ผู้ลงทุนที่ได้รับผลกระทบทั้งหมด

ผู้ที่ได้รับการยืนยันว่าได้รับผลกระทบจะได้รับการติดต่อโดยตรง พร้อมคำแนะนำเกี่ยวกับวิธีการลงทะเบียนเพื่อรับบริการดังกล่าว ส่วนผู้ที่ไม่ได้รับหนังสือแจ้งเตือนสามารถติดต่อทาง CIRO ได้โดยตรงเพื่อตรวจสอบว่าตนได้รับผลกระทบหรือไม่

เหตุข้อมูลรั่วไหลของ CIRO ในครั้งนี้ถือเป็นหนึ่งในเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่รุนแรงที่สุดในแคนาดาเมื่อปีที่แล้ว ซึ่งเกิดขึ้นไล่เลี่ยกับเหตุการณ์คล้ายคลึงกันที่ Nova Scotia Power, House of Commons, WestJet, Toys “R” Us และ Freedom Mobile

ที่มา : bleepingcomputer

 

นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ระดับ critical ในโปรโตคอล Fast Pair ของ Google ซึ่งอาจทำให้ผู้โจมตีสามารถเข้ายึดการควบคุมอุปกรณ์ Bluetooth audio เพื่อติดตามพิกัดของผู้ใช้ และดักฟังบทสนทนาได้

(more…)

แฮ็กเกอร์กำลังใช้การโจมตีจากช่องโหว่ที่มีความรุนแรงระดับสูงสุดใน Modular DS plugin ของ WordPress ที่อาจทำให้พวกเขาสามารถ Bypass การยืนยันตัวตนจากระยะไกล และเข้าควบคุมเว็บไซต์ที่มีช่องโหว่ด้วยสิทธิ์ระดับผู้ดูแลระบบได้

(more…)

มีการค้นพบ framework มัลแวร์บน Linux แบบ Cloud-native ตัวใหม่ในชื่อ VoidLink ที่มุ่งเน้นโจมตีสภาพแวดล้อมบนคลาวด์ โดยจัดเตรียมเครื่องมือต่าง ๆ ให้แก่ผู้โจมตี ไม่ว่าจะเป็น Custom loaders, Implants, Rootkits และ Plugins ที่ถูกออกแบบมาเพื่อเป็นโครงสร้างพื้นฐานสมัยใหม่โดยเฉพาะ

(more…)

 

มัลแวร์ Gootloader ซึ่งปกติใช้เป็นเครื่องมือสำหรับการเข้าถึงระบบในเบื้องต้น ได้พัฒนาเทคนิคใหม่ในการหลบเลี่ยงการตรวจจับ โดยใช้ไฟล์ ZIP ที่มีโครงสร้างผิดปกติ ซึ่งเกิดจากการรวมไฟล์ archives เข้าด้วยกันสูงสุดถึง 1,000 ไฟล์ (more…)

 

กลุ่มผู้โจมตีรายหนึ่ง ซึ่งคาดว่ามีความเชื่อมโยงกับประเทศจีน ถูกพบว่าดำเนินการโจมตีที่มุ่งเป้าไปยังระบบโครงสร้างพื้นฐานที่สำคัญในอเมริกาเหนือมาอย่างต่อเนื่อง อย่างน้อยตั้งแต่ปีที่ผ่านมา (more…)

 

Microsoft ประกาศว่าเมื่อวัน 14 มกราคม 2026 ได้เข้าขัดขวาง RedVDS ที่เป็นแพลตฟอร์มอาชญากรรมทางไซเบอร์ขนาดใหญ่ที่มีความเชื่อมโยงกับความเสียหายที่มีผู้รายงานเข้ามาแล้วอย่างน้อย 40 ล้านดอลลาร์เฉพาะในสหรัฐอเมริกาเพียงแห่งเดียว นับตั้งแต่เดือนมีนาคม 2025 (more…)

มีการเผยแพร่รายละเอียดทางเทคนิค และโค้ดการโจมตีระบบ สำหรับช่องโหว่ระดับ critical ที่ส่งผลกระทบต่อโซลูชัน Security Information and Event Management (SIEM) ของ Fortinet ออกสู่สาธารณะ โดยผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องยืนผ่านการยันตัวตน สามารถใช้ช่องโหว่ดังกล่าวเพื่อเรียกใช้คำสั่ง หรือโค้ดใด ๆ ก็ได้ (more…)

Microsoft ออก Patch Tuesday ประจำเดือนมกราคม 2026 โดยแก้ไขช่องโหว่ 114 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 1 รายการ และ ช่องโหว่ Zero-Days ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะแล้ว 2 รายการ

โดย Patch Tuesday ประจำเดือนมกราคม 2026 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 8 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution 6 รายการ และช่องโหว่ Privilege Escalation 2 รายการ

ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 57 รายการ
ช่องโหว่การ Bypass คุณสมบัติด้านความปลอดภัย (Security Feature Bypass) 3 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 22 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 22 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 2 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 5 รายการ

ช่องโหว่ Zero-Days 3 รายการ ที่ถูกแก้ไข

Patch Tuesday ประจำเดือนมกราคม 2026 มีการแก้ไขช่องโหว่ Zero-days 1 รายการ ที่กำลังถูกใช้ในการโจมตี และช่องโหว่ Zero-days 2 รายการ ที่เปิดเผยต่อสาธารณะ
**

ช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี
**

CVE-2026-20805 - Desktop Window Manager Information Disclosure Vulnerability
Microsoft ได้แก้ไขช่องโหว่ Desktop Window Manager ที่กำลังถูกนำไปใช้ในการโจมตี ซึ่งเกิดจากการเปิดเผยข้อมูลที่สำคัญใน Desktop Windows Manager ทำให้ Hacker ที่ได้รับ authorized สามารถเปิดเผยข้อมูลในเครื่องได้ เมื่อโจมตีช่องโหว่นี้สำเร็จ จะทำให้ Hacker สามารถอ่าน memory addresses ที่เกี่ยวข้องกับ ALPC port ซึ่งเป็นหน่วยความจำในโหมดผู้ใช้จากระยะไกลได้

Microsoft ระบุว่า Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Security Response Center (MSRC) เป็นผู้ค้นพบช่องโหว่ดังกล่าว แต่ไม่ได้เปิดเผยวิธีการโจมตีช่องโหว่

ช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ

CVE-2026-21265 - Secure Boot Certificate Expiration Security Feature Bypass Vulnerability

Microsoft ได้แจ้งเตือนว่า Certificate ของ Windows Secure Boot ที่ออกในปี 2011 ใกล้หมดอายุแล้ว และระบบที่ไม่ได้รับการอัปเดตมีความเสี่ยงเพิ่มขึ้นที่จะถูก Bypassing Secure Boot ได้

โดยการอัปเดตความปลอดภัยจะต่ออายุ Certificate ที่ได้รับผลกระทบเพื่อรักษา Secure Boot trust chain และ verification of boot components ต่อไปได้

CVE-2023-31096 Windows Agere Soft Modem Driver Elevation of Privilege Vulnerability

ก่อนหน้านี้ Microsoft ได้แจ้งเตือนเกี่ยวกับช่องโหว่ที่กำลังถูกใช้ในการโจมตี Agere Modem driver ของ third-party ซึ่งมาพร้อมกับ Windows เวอร์ชันที่รองรับ เมื่อโจมตีสำเร็จจะสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบ บนระบบที่มีช่องโหว่ได้ ซึ่งถูกระบุว่าจะถูกลบออกในการอัปเดตในอนาคต

ใน Patch Tuesday ประจำเดือนมกราคม 2026 ทาง Microsoft ได้ลบไดรเวอร์ที่มีช่องโหว่ (agrsm64.sys และ agrsm.

Palo Alto Networks ออกแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง ที่อาจทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถหยุดการทำงานของ firewall ผ่านการโจมตีแบบ Denial-of-Service (DoS) ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-0227 โดยส่งผลกระทบต่อ Next-Generation Firewall (ที่ทำงานบนระบบปฏิบัติการ PAN-OS เวอร์ชัน 10.1 หรือใหม่กว่า) และมีการกำหนดค่า Prisma Access ของ Palo Alto Networks เมื่อมีการเปิดใช้งาน gateway หรือ portal ของ GlobalProtect

ทางบริษัทระบุว่า Prisma Access instances บนคลาวด์ส่วนใหญ่ได้รับการแพตช์แก้ไขแล้ว ส่วนระบบที่เหลือมีกำหนดการที่จะได้รับการอัปเกรดเพื่อความปลอดภัยแล้วเช่นกัน

Palo Alto Networks อธิบายว่า "ช่องโหว่ในซอฟต์แวร์ PAN-OS ของ Palo Alto Networks เอื้อประโยชน์ให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถทำให้ firewall เกิดสภาวะ denial of service (DoS) ได้ ซึ่งหากมีความพยายามโจมตีช่องโหว่นี้ซ้ำ ๆ จะส่งผลให้ firewall เข้าสู่ Maintenance mode ทันที"

"บริษัทได้ดำเนินการอัปเกรด Prisma Access ให้กับลูกค้าส่วนใหญ่เสร็จสิ้นแล้ว ยกเว้นเพียงส่วนน้อยที่ยังอยู่ระหว่างดำเนินการเนื่องจากติดปัญหาเรื่องตารางเวลาการอัปเกรดที่ไม่ตรงกัน สำหรับลูกค้าที่เหลือจะได้รับการจัดตารางเวลาเพื่ออัปเกรดโดยเร็วที่สุด ผ่านกระบวนการมาตรฐานของบริษัท"

Shadowserver ซึ่งเป็นหน่วยงานเฝ้าระวังความปลอดภัยทางอินเทอร์เน็ตตรวจพบว่า ขณะนี้มี firewall ของ Palo Alto Networks เกือบ 6,000 ตัวที่เปิดให้เข้าถึงได้ผ่านทางออนไลน์ อย่างไรก็ตาม ยังไม่มีข้อมูลแน่ชัดว่ามีจำนวนเท่าใดที่มีการตั้งค่าที่เสี่ยงต่อช่องโหว่ หรือได้รับการแพตช์แก้ไขแล้ว

ในขณะที่มีการเผยแพร่คำแนะนำด้านความปลอดภัยเมื่อวันที่ 14 มกราคม 2026 ที่ผ่านมา Palo Alto ระบุว่า ทางบริษัทยังไม่พบหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแต่อย่างใด

Palo Alto Networks ได้ปล่อยอัปเดตความปลอดภัยสำหรับทุกเวอร์ชันที่ได้รับผลกระทบแล้ว และขอแนะนำให้ผู้ดูแลระบบรีบทำการอัปเกรดเป็นเวอร์ชันล่าสุดเพื่อปกป้องระบบจากการโจมตีที่อาจเกิดขึ้นได้

Firewall ของ Palo Alto Networks มักตกเป็นเป้าหมายในการโจมตี โดยบ่อยครั้งผู้โจมตีจะใช้ช่องโหว่ Zero-day ที่ยังไม่ได้รับการเปิดเผย หรือยังไม่มีแพตช์แก้ไข

ย้อนกลับไปในเดือน พฤศจิกายน 2024 Palo Alto Networks ได้ออกแพตช์แก้ไขช่องโหว่ Zero-day ของ PAN-OS firewall จำนวน 2 รายการที่ถูกนำไปใช้ในการโจมตีจริง ที่อาจทำให้ผู้โจมตีได้รับสิทธิ์ระดับ Root ได้ โดยไม่กี่วันต่อมา Shadowserver ได้เปิดเผยว่ามี firewall หลายพันตัวถูกเจาะระบบในการโจมตีระลอกนั้น (ถึงแม้ทางบริษัทจะระบุว่า การโจมตีส่งผลกระทบต่ออุปกรณ์เพียง "จำนวนน้อยมาก" ก็ตาม) ในขณะที่ CISA ได้ออกคำสั่งให้หน่วยงานรัฐบาลกลางดำเนินการรักษาความปลอดภัยอุปกรณ์ของตนภายใน 3 สัปดาห์

หนึ่งเดือนถัดมา ในเดือนธันวาคม 2024 บริษัทด้านความปลอดภัยทางไซเบอร์รายนี้ได้แจ้งเตือนลูกค้าว่า แฮ็กเกอร์กำลังใช้ช่องโหว่ DoS ใน PAN-OS อีกรายการ (CVE-2024-3393) เพื่อโจมตี firewall ตระกูล PA-Series, VM-Series และ CN-Series ที่มีการเปิดใช้งาน DNS Security logging ส่งผลให้ระบบต้อง reboot ตัวเอง และปิดการทำงานของระบบป้องกัน firewall

ไม่นานหลังจากนั้น ในเดือนกุมภาพันธ์ บริษัทระบุว่าพบช่องโหว่อีก 3 รายการ (CVE-2025-0111, CVE-2025-0108 และ CVE-2024-9474) ถูกนำมาใช้ร่วมกันในการโจมตีเพื่อเจาะระบบ PAN-OS firewall

ล่าสุด GreyNoise ซึ่งเป็นบริษัทด้าน Threat Intelligence ได้แจ้งเตือนถึงแคมเปญการโจมตีอัตโนมัติที่มุ่งเป้าไปยัง Portal ของ Palo Alto GlobalProtect ด้วยวิธีการ Brute-force และพยายามล็อกอินจาก IP Address มากกว่า 7,000 รายการ โดย GlobalProtect คือส่วนประกอบสำหรับ VPN และการเข้าถึงจากระยะไกลบน PAN-OS firewall ซึ่งเป็นที่นิยมใช้งานในหน่วยงานภาครัฐ, ผู้ให้บริการ และองค์กรขนาดใหญ่จำนวนมาก

ปัจจุบัน ผลิตภัณฑ์ และบริการของ Palo Alto Networks มีลูกค้าใช้งานกว่า 70,000 รายทั่วโลก รวมถึงธนาคารรายใหญ่ที่สุดของสหรัฐฯ ส่วนใหญ่ และ 90% ของบริษัทชั้นนำในกลุ่ม Fortune 10

 

ที่มา : bleepingcomputer.