Google ออกมาชี้แจงว่าแอป Android System SafetyCore ที่เพิ่งเปิดตัวใหม่นั้น ไม่ได้ทำการสแกนเนื้อหาใด ๆ บนอุปกรณ์ของผู้ใช้

โฆษกของ Google ชี้แจงกับ The Hacker News โดยระบุว่า "Android มีระบบป้องกันหลายอย่างบนอุปกรณ์ที่ช่วยปกป้องผู้ใช้จากภัยคุกคามต่าง ๆ เช่น มัลแวร์, สแปมข้อความ, การป้องกันการละเมิด และการป้องกันการหลอกลวงทางโทรศัพท์ โดยยังคงรักษาความเป็นส่วนตัวของผู้ใช้ และให้ผู้ใช้สามารถควบคุมข้อมูลของตนเองได้"

"SafetyCore เป็นบริการระบบใหม่ของ Google สำหรับอุปกรณ์ที่ใช้ Android 9 ขึ้นไป ที่ให้โครงสร้างพื้นฐานบนอุปกรณ์สำหรับการจำแนกประเภทเนื้อหาอย่างปลอดภัย และเป็นส่วนตัว เพื่อช่วยให้ผู้ใช้ตรวจจับเนื้อหาที่ไม่พึงประสงค์ ผู้ใช้สามารถควบคุม SafetyCore ได้ และ SafetyCore จะทำการจำแนกประเภทเนื้อหาเฉพาะเมื่อแอปร้องขอผ่านฟีเจอร์ที่เปิดใช้งานได้ตามความสมัครใจ"

SafetyCore (ชื่อแพ็กเกจ "com.

การพยายามบล็อก URL ฟิชชิ่งในแพลตฟอร์ม R2 object storage ของ Cloudflare เมื่อวานนี้ (6 กุมภาพันธ์ 2025) กลับเกิดข้อผิดพลาด ทำให้เกิดการหยุดการทำงานอย่างกว้างขวาง ซึ่งทำให้บริการหลาย ๆ รายการล่มไปเกือบหนึ่งชั่วโมง

Cloudflare R2 เป็นบริการจัดเก็บข้อมูลแบบอ็อบเจกต์ที่คล้ายกับ Amazon S3 ซึ่งออกแบบมาเพื่อการจัดเก็บข้อมูลที่สามารถขยายขนาดได้, มีความทนทาน และมีค่าใช้จ่ายต่ำ โดยนำเสนอการดึงข้อมูลฟรี ไม่มีค่าใช้จ่าย, ความ compatibility กับ S3, data replication ในหลายสถานที่ และการ integration กับบริการอื่น ๆ ของ Cloudflare

การหยุดการทำงานเกิดขึ้นเมื่อวานนี้ เมื่อเจ้าหน้าที่ของ Cloudflare ตอบสนองต่อรายงานการละเมิดเกี่ยวกับ URL ฟิชชิ่งในแพลตฟอร์ม R2 ของ Cloudflare อย่างไรก็ตาม แทนที่จะบล็อก specific endpoint เจ้าหน้าที่ของ Cloudflare กลับปิดบริการ R2 Gateway ทั้งหมดโดยไม่ตั้งใจ

Cloudflare อธิบายในรายงานหลังเหตุการณ์ "ในระหว่างการแก้ไขการละเมิดตามปกติ ได้มีการดำเนินการตามการร้องเรียนที่ทำให้บริการ R2 Gateway ถูกปิดโดยไม่ได้ตั้งใจ แทนที่จะปิดเฉพาะ specific ndpoint/bucket ที่เกี่ยวข้องกับรายงานนั้น"

“นี่เป็นความล้มเหลวของ system level controls และการฝึกอบรมผู้ปฏิบัติงาน"

เหตุการณ์นี้ใช้เวลานาน 59 นาที ระหว่างเวลา 08:10 ถึง 09:09 UTC และนอกจากการหยุดทำงานของ R2 Object Storage แล้ว ยังส่งผลกระทบต่อบริการอื่น ๆ เช่น

Stream – การอัปโหลดวิดีโอ และการส่งสตรีมมิ่ง ล้มเหลว 100%
Images – การอัปโหลด/ดาวน์โหลดภาพล้มเหลว 100%
Cache Reserve – การดำเนินการล้มเหลว 100% ทำให้มีการ request จากต้นทางเพิ่มขึ้น
Vectorize – ล้มเหลว 75% ในการ queries, ล้มเหลว 100% ในการ insert, upsert และ delete
Log Delivery – ความล่าช้า และการสูญหายของข้อมูล: การสูญหายของข้อมูลสูงสุด 13.6% สำหรับ Logs ที่เกี่ยวข้องกับ R2, การสูญหายของข้อมูลถึง 4.5% สำหรับ delivery jobs ที่ไม่ใช่ R2
Key Transparency Auditor – signature publishing และ read operations ล้มเหลว 100%

นอกจากนี้ยังมีบริการที่ได้รับผลกระทบทางอ้อม ซึ่งประสบปัญหากับการใช้งานบางส่วน เช่น Durable Objects ที่มีอัตราการเกิดข้อผิดพลาดเพิ่มขึ้น 0.09% เนื่องจากการเชื่อมต่อใหม่หลังการกู้คืน, Cache Purge ที่มีข้อผิดพลาดเพิ่มขึ้น 1.8% (HTTP 5xx) และการหน่วงเวลาเพิ่มขึ้น 10 เท่า, และ Workers & Pages ที่มีข้อผิดพลาดในการ deployment 0.002% ซึ่งส่งผลกระทบเฉพาะโปรเจกต์ที่มีการเชื่อมต่อกับ R2 เท่านั้น

Cloudflare ระบุว่าทั้ง human error และการขาดกลไกป้องกัน เช่น การตรวจสอบความถูกต้องสำหรับการดำเนินการที่ส่งผลกระทบร้ายแรง เป็นปัจจัยสำคัญที่ทำให้เกิดเหตุการณ์นี้

Cloudflare ได้ดำเนินการแก้ไขเบื้องต้นแล้ว เช่น การนำความสามารถในการปิดระบบออกจากอินเทอร์เฟซตรวจสอบการละเมิด และเพิ่มข้อจำกัดใน Admin API เพื่อป้องกันการปิดบริการโดยไม่ได้ตั้งใจ

มาตรการเพิ่มเติมที่จะนำมาใช้ในอนาคต ได้แก่ การปรับปรุงกระบวนการสร้างบัญชี, การควบคุมสิทธิ์การเข้าถึงที่เข้มงวดขึ้น และกระบวนการ two-party approval สำหรับการดำเนินการที่มีความเสี่ยงสูง

ในเดือนพฤศจิกายน 2024 Cloudflare ประสบกับเหตุการณ์หยุดทำงานครั้งสำคัญอีกครั้งเป็นเวลานาน 3.5 ชั่วโมง ส่งผลให้ Logs ในบริการสูญหายอย่างถาวรถึง 55%

เหตุการณ์ดังกล่าวเกิดจากความล้มเหลวต่อเนื่อง (cascading failures) ในระบบลดผลกระทบอัตโนมัติของ Cloudflare ซึ่งถูกทริกเกอร์โดยการตั้งค่าที่ไม่ถูกต้องไปยังส่วนประกอบสำคัญในระบบ Logging pipeline ของบริษัท

ที่มา : bleepingcomputer.

ผู้จำหน่ายซอฟต์แวร์ Trimble ได้ออกมาแจ้งเตือนการค้นพบ Hacker กำลังใช้ช่องโหว่ Deserialization บน Cityworks เพื่อโจมตี และเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลผ่าน IIS servers รวมถึงติดตั้ง Cobalt Strike beacon เพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย

Trimble Cityworks เป็นซอฟต์แวร์การจัดการสินทรัพย์ และการจัดการใบสั่งงานที่เน้นไปที่ระบบสารสนเทศภูมิศาสตร์ (GIS) ซึ่งได้รับการออกแบบมาโดยเฉพาะสำหรับรัฐบาลท้องถิ่น สาธารณูปโภค และองค์กรโยธาธิการ

โดยช่วยให้เทศบาล และหน่วยงานโครงสร้างพื้นฐานจัดการสินทรัพย์สาธารณะ ประมวลผลคำสั่งงาน จัดการการอนุญาต และใบอนุญาต การวางแผนด้านทุน และการจัดทำงบประมาณ รวมถึงงานในด้านอื่น ๆ อีกด้วย

CVE-2025-0994 (คะแนนCVSS 8.6 ความรุนแรงระดับ High) เป็นช่องโหว่ Deserialization ที่ทำให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ผ่าน Microsoft Internet Information Services (IIS) ได้ โดยส่งผลกระทบต่อ Cityworks เวอร์ชันก่อน 15.8.9 และ Cityworks ที่มีเวอร์ชัน Office Companion ก่อน 23.10

Trimble ระบุว่า บริษัทได้ทำการตรวจสอบรายงานของลูกค้าเกี่ยวกับ Hacker ที่สามารถเข้าถึงเครือข่ายของลูกค้าได้โดยไม่ได้รับอนุญาตโดยใช้ช่องโหว่ดังกล่าว ซึ่งแสดงให้เห็นว่ากำลังมีการโจมตีโดยใช้ช่องโหว่ดังกล่าวอยู่

Trimble ได้ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ในเวอร์ชันล่าสุด 15.8.9 และ 23.10 ซึ่งเปิดตัวเมื่อวันที่ 28 และ 29 มกราคม 2025 ตามลำดับ

การโจมตีโดยใช้ช่องโหว่ CVE-2025-0994 เพื่อเข้าสู่ระบบของเป้าหมาย

สำนักงานความปลอดภัยโครงสร้างพื้นฐาน และความปลอดภัยไซเบอร์ของสหรัฐอเมริกา (CISA) ได้ออกคำแนะนำแจ้งเตือนให้ผู้ใช้งานรักษาความปลอดภัยเครือข่ายจากช่องโหว่ดังกล่าวโดยด่วน

ผู้ดูแลระบบที่จัดการการระบบ on-premise จะต้องทำการอัปเดตด้านความปลอดภัยโดยเร็วที่สุด ในขณะที่อินสแตนซ์ที่โฮสต์บนคลาวด์ (CWOL) จะได้รับการอัปเดตโดยอัตโนมัติ

Trimble ระบุว่าได้ค้นพบว่าการจัดการระบบ on-premise บางส่วนอาจมีสิทธิ์ของ IIS identity permissions ที่มากเกินไป โดยได้เตือนว่าระบบเหล่านี้ไม่ควรทำงานภายใต้สิทธิ์ผู้ดูแลระบบในระดับ local หรือระดับ domain-level administrative privileges

นอกจากนี้ การใช้งานบางกรณียังมีการกำหนดค่า attachment directory ที่ไม่ถูกต้อง Trimble แนะนำให้จำกัด root folders ของ attachment ให้ประกอบไปด้วย attachment เท่านั้น

แม้ว่า CISA จะยังไม่ได้เปิดเผยถึงวิธีการโจมตีโดยใช้ช่องโหว่ดังกล่าว แต่ Trimble ได้เปิดเผย Indicators of Compromise (IOC) ที่พบว่าใช้ช่องโหว่ดังกล่าวในการโจมตีเป้าหมาย

IOC เหล่านี้แสดงให้เห็นว่า Hacker ได้ปรับใช้เครื่องมือต่าง ๆ สำหรับการเข้าถึงจากระยะไกล รวมถึง WinPutty และ Cobalt Strike beacons

รวมถึง Microsoft ยังเตือนอีกว่า Hacker กำลังมุ่งเป้าหมายการโจมตีไปยัง IIS Server เพื่อแพร่กระจายมัลแวร์ด้วย ViewState code injection โดยใช้ machine keys ของ ASP.NET ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต

ที่มา : bleepingcomputer.

PlayStation Network หยุดให้บริการทั่วโลกนานกว่าหนึ่งวันแล้ว Sony ยืนยันว่าได้รับทราบถึงเหตุขัดข้องทั่วโลก แต่ยังไม่ได้ให้ข้อมูลทางเทคนิคเกี่ยวกับปัญหานี้

ผู้ใช้งานหลายคนรายงานปัญหากับบริการของ PlayStation Network เมื่อประมาณ 23:00 น. ของวันพฤหัสบดีที่ผ่านมา (6 กุมภาพันธ์ 2025)

ข้อความที่โพสต์โดย PlayStation บน X ระบุว่า "บริษัทได้รับทราบว่าผู้ใช้งานบางคนอาจประสบปัญหากับ PSN ในขณะนี้"

หลังจากผ่านไปนานกว่า 24 ชั่วโมง บริการออนไลน์เกือบทั้งหมดยังคงประสบปัญหาตามที่ระบุในหน้าสถานะการให้บริการ

การจัดการบัญชี, เกม และโซเชียล, PlayStation Video และ PlayStation Store กำลังประสบปัญหาอยู่

ผู้เชี่ยวชาญสงสัยว่า สาเหตุหลักของปัญหาน่าจะมาจากการโจมตีทางไซเบอร์ ด้านล่างคือโพสต์ของนักวิจัยด้านความปลอดภัย Dominic Alvieri ซึ่งเน้นย้ำถึงแนวโน้มที่น่ากังวล

PlayStation Network เคยประสบปัญหาการล่มครั้งใหญ่ในอดีต โดยเฉพาะในปี 2011 เมื่อมีการแฮ็กข้อมูลผู้ใช้งาน และส่งผลให้มีการปิดบริการเป็นเวลา 23 วัน การละเมิดข้อมูลในครั้งนั้นทำให้ข้อมูลของผู้ใช้งานหลายล้านคนถูกเปิดเผย และทำให้ Sony ต้องเสียค่าใช้จ่ายกว่า 15 ล้านดอลลาร์เป็นค่าชดเชย พร้อมทั้งให้บริการป้องกันการขโมยข้อมูลส่วนบุคคลเป็นเวลาหนึ่งปีสำหรับสมาชิก

อัปเดตเมื่อวันที่ 9 กุมภาพันธ์ 2025

ตามหน้าสถานะล่าสุด บริการทั้งหมดสามารถกลับมาทำงานได้ตามปกติแล้ว

ที่มา : securityaffairs.

Veeam ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ critical ในซอฟต์แวร์ Backup ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ดโดยไม่ได้รับอนุญาตบนระบบที่ได้รับผลกระทบด้วยสิทธิ์ระดับ root โดยช่องโหว่มีหมายเลข CVE-2025-23114 และมีคะแนน CVSS ที่ 9.0 จาก 10 (more…)

พบช่องโหว่ใน 7-Zip ที่สามารถทำให้ผู้ไม่หวังดี bypass การป้องกันแบบ Mark of the Web (MotW) ของ Windows โดยผู้ไม่หวังดีจากรัสเซียใช้ในการโจมตีแบบ zero-day มาตั้งแต่เดือนกันยายน 2024

นักวิจัยจาก Trend Micro ระบุว่า ช่องโหว่นี้ถูกใช้ในแคมเปญมัลแวร์ SmokeLoader ที่มุ่งเป้าไปยังหน่วยงานของรัฐบาลยูเครน และองค์กรเอกชนในประเทศ

Mark of the Web เป็นฟีเจอร์ความปลอดภัยของ Windows ที่ออกแบบมาเพื่อแจ้งเตือนผู้ใช้งานว่าไฟล์ที่กำลังเรียกใช้งานมาจากแหล่งที่ไม่น่าเชื่อถือ โดยจะแสดงกล่องข้อความให้ยืนยันเพิ่มเติม การ Bypass การป้องกัน MoTW ทำให้ไฟล์อันตรายสามารถทำงานบนเครื่องของเหยื่อได้โดยไม่มีการแจ้งเตือน

เมื่อดาวน์โหลดเอกสาร หรือไฟล์ executables จากเว็บ หรือได้รับเป็นไฟล์แนบทางอีเมล Windows จะเพิ่ม 'Zone.

Zyxel ออกประกาศด้านความปลอดภัยเกี่ยวกับช่องโหว่ที่ถูกโจมตีในอุปกรณ์ CPE Series โดยแจ้งเตือนว่าไม่มีแผนที่จะออกแพตช์แก้ไข และแนะนำให้ผู้ใช้ย้ายไปใช้อุปกรณ์ที่ยังได้รับการสนับสนุน

VulnCheck ค้นพบช่องโหว่ทั้งสองรายการในเดือนกรกฎาคม 2024 แต่เมื่อสัปดาห์ที่ผ่านมา GreyNoise รายงานว่าได้เริ่มพบการพยายามในการโจมตีจริงแล้ว

ตามข้อมูลจากเครื่องมือสแกนเครือข่าย FOFA และ Censys พบว่าอุปกรณ์ Zyxel CPE Series กว่า 1,500 เครื่องที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้อุปกรณ์ที่อาจถูกโจมตีมีจำนวนมากขึ้น

ในโพสต์ใหม่วันนี้ VulnCheck ได้นำเสนอรายละเอียดทั้งหมดของช่องโหว่ทั้งสองรายการที่พบในการโจมตีที่มุ่งเป้าไปที่การเข้าถึงเครือข่ายในเบื้องต้น

CVE-2024-40891 เป็นช่องโหว่ที่สามารถทำให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนแทรกคำสั่ง Telnet ได้ เนื่องจากการตรวจสอบคำสั่งที่ไม่เหมาะสมใน libcms_cli.

การอัปเดตความปลอดภัยของ Android ประจำเดือนกุมภาพันธ์ 2025 ได้แก้ไขช่องโหว่ 48 รายการ รวมถึงช่องโหว่ Zero-day ใน Kernel ที่กำลังถูกใช้ในการโจมตี

(more…)

บริษัทจัดส่งอาหาร GrubHub เปิดเผยการถูกละเมิดข้อมูลที่ส่งผลกระทบต่อข้อมูลส่วนบุคคลของลูกค้า, ผู้ขาย และคนจัดส่ง (จำนวนยังไม่เปิดเผย) หลังจากที่ผู้ไม่หวังดีเข้าถึงระบบของบริษัท โดยการใช้บัญชีของผู้ให้บริการภายนอก

บริษัทให้ข้อมูลเมื่อวันจันทร์ (3 กุมภาพันธ์ 2025) ที่ผ่านมาว่า “การสอบสวนของบริษัทพบว่า การโจมตีเริ่มต้นจากบัญชีของผู้ให้บริการภายนอกที่ให้บริการสนับสนุนแก่ GrubHub"

"เรายุติการเข้าถึงของบัญชีทันที และลบผู้ให้บริการออกจากระบบของเรา"

เพื่อตอบสนองต่อเหตุการณ์นี้ บริษัทได้จ้างผู้เชี่ยวชาญด้าน forensic จากภายนอก เพื่อประเมินผลกระทบของการละเมิดข้อมูล, เปลี่ยนรหัสผ่านเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตเพิ่มเติม และเพิ่มกลไกการตรวจจับความผิดปกติในบริการภายในของบริษัท

การสอบสวนเพิ่มเติมไม่พบหลักฐานว่าผู้ไม่หวังดีเข้าถึงข้อมูลส่วนบุคคล และข้อมูลทางการเงินที่สำคัญอื่น ๆ เช่น รหัสผ่านของลูกค้าใน GrubHub Marketplace, ข้อมูลการเข้าสู่ระบบของผู้ค้า, หมายเลขบัตรเครดิตทั้งหมด, รายละเอียดบัญชีธนาคาร, หมายเลขประกันสังคม หรือหมายเลขใบอนุญาตขับขี่

อย่างไรก็ตาม GrubHub ระบุว่า ผู้ไม่หวังดีสามารถเข้าถึงชื่อ, ที่อยู่อีเมล, และหมายเลขโทรศัพท์ รวมถึงข้อมูลบัตรเครดิตบางส่วน (ประเภทบัตร และหมายเลขสี่หลักสุดท้ายของบัตร) ขึ้นอยู่กับบุคคลที่ได้รับผลกระทบ และสำหรับลูกค้าในบางแห่ง

GrubHub ระบุเพิ่มเติมว่า "บุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลการติดต่อของลูกค้า, ผู้ค้า และคนจัดส่งที่มีการติดต่อกับบริการดูแลลูกค้าของเรา"

“บุคคลที่ไม่ได้รับอนุญาตยังเข้าถึงรหัสผ่านที่ถูกเข้ารหัสสำหรับระบบเก่าบางระบบ และบริษัทได้ทำการเปลี่ยนรหัสผ่านที่เชื่อว่าอาจตกอยู่ในความเสี่ยง"

ถึงแม้ว่าผู้ไม่หวังดีจะไม่ได้เข้าถึงรหัสผ่านของบัญชี GrubHub Marketplace แต่บริษัทได้แนะนำให้ลูกค้าใช้รหัสผ่านที่ไม่ซ้ำกันอยู่เสมอเพื่อลดความเสี่ยง

GrubHub เป็นแพลตฟอร์มการสั่งอาหาร และจัดส่งอาหารที่มีผู้ค้ามากกว่า 375,000 ราย และพันธมิตรในการจัดส่งกว่า 200,000 คน ในมากกว่า 4,000 เมืองทั่วประเทศ

ในเดือนธันวาคม 2024 บริษัทตกลงที่จะจ่ายเงิน 25 ล้านดอลลาร์เพื่อชำระค่าธรรมเนียมของ FTC และหยุดการกระทำที่ผิดกฎหมาย รวมถึงการไม่บอกผู้บริโภคเกี่ยวกับค่าจัดส่งทั้งหมด, การหลอกลวงคนขับเกี่ยวกับจำนวนเงินที่พวกเขาจะได้รับ และการลงรายชื่อร้านอาหารในแพลตฟอร์มโดยไม่ได้รับความยินยอมจากร้าน

ที่มา : bleepingcomputer

บริษัทสาธารณูปโภคด้านไฟฟ้าที่ให้บริการหลายเขตใน Mississippi ถูกโจมตีโดยผู้ไม่หวังดีทางไซเบอร์เมื่อช่วงฤดูร้อนที่ผ่านมา โดยเกิดเหตุการณ์ที่ทำให้ข้อมูลของผู้อยู่อาศัยมากกว่า 20,000 รายถูกเปิดเผย

(more…)