Trend Micro บริษัทซอฟต์แวร์ความปลอดภัยไซเบอร์จากญี่ปุ่น ออกแพตช์แก้ไขช่องโหว่ระดับ Critical 2 รายการ บนแพลตฟอร์ม Apex One ซึ่งช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถเข้าควบคุมระบบจากระยะไกลบนเครื่อง Windows ที่มีช่องโหว่ได้

Apex One เป็นแพลตฟอร์มรักษาความปลอดภัยสำหรับ endpoint ที่ตรวจจับ และตอบสนองต่อภัยคุกคามต่าง ๆ ไม่ว่าจะเป็นมัลแวร์, สปายแวร์, เครื่องมืออันตราย รวมถึงช่องโหว่ต่าง ๆ

ช่องโหว่แรกที่ได้รับการแก้ไขในสัปดาห์นี้คือ CVE-2025-71210 ซึ่งเป็นช่องโหว่ประเภท path traversal บน Management Console ของ Apex One โดยช่องโหว่นี้ช่วยให้ผู้โจมตีที่ไม่มีสิทธิ์ สามารถเรียกใช้โค้ดที่เป็นอันตรายบนระบบที่มีช่องโหว่ได้

ช่องโหว่ที่สองหมายเลข CVE-2025-71211 เป็นช่องโหว่ประเภท Path Traversal บน Management Console ของ Apex One เช่นกัน โดยมีลักษณะความรุนแรงใกล้เคียงกับ CVE-2025-71210 แต่ส่งผลกระทบต่อไฟล์ executable ที่แตกต่างกัน

Trend Micro ได้ระบุในประกาศแจ้งเตือนความปลอดภัยเมื่อวันที่ 24 กุมภาพันธ์ 2026 ที่ผ่านมาว่า การที่จะโจมตีผ่านช่องโหว่นี้ได้สำเร็จ ผู้โจมตีจำเป็นต้องเข้าถึง Trend Micro Apex One Management Console ได้ก่อน ดังนั้น สำหรับลูกค้าใดที่มีการเปิดให้เข้าถึง Management Console ได้จากภายนอก ควรพิจารณามาตรการลดความเสี่ยง เช่น จำกัดสิทธิ์การเข้าถึงเฉพาะ IP Address ที่กำหนด

Trend Micro ระบุเพิ่มเติมว่า แม้ว่าการโจมตีอาจต้องอาศัยเงื่อนไขเฉพาะทางหลายอย่างเพื่อให้การโจมตีสำเร็จ แต่ Trend Micro ขอแนะนำให้ลูกค้าอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

เพื่อแก้ไขช่องโหว่ระดับ Critical ดังกล่าว Trend Micro ได้ดำเนินการอัปเดตแพตช์ใน Apex One เวอร์ชัน SaaS เป็นที่เรียบร้อย และได้ออก Critical Patch Build 14136 ซึ่งแก้ไขช่องโหว่การยกระดับสิทธิ์ที่มีระดับความรุนแรงสูงสองรายการใน Windows agent และอีก 4 รายการที่ส่งผลกระทบต่อ macOS agent ด้วย

แม้ว่าทาง Trend Micro จะยังไม่พบการใช้ช่องโหว่เหล่านี้โจมตีในวงกว้าง แต่ผู้โจมตีได้ใช้ช่องโหว่ Apex One อื่น ๆ โจมตีในช่วงหลายปีที่ผ่านมา

ตัวอย่างเช่น ในเดือนสิงหาคม 2025 Trend Micro เคยแจ้งเตือนให้ลูกค้าติดตั้งแพตช์เพื่อแก้ไขช่องโหว่ RCE ใน Apex One หมายเลข CVE-2025-54948 ที่กำลังถูกนำไปใช้ในการโจมตีจริง รวมถึงได้แก้ไขช่องโหว่ Zero-day ของ Apex One อีก 2 รายการ ที่กำลังถูกนำไปใช้โจมตีในวงกว้างไปก่อนหน้านี้ในเดือนกันยายน 2022 หมายเลข CVE-2022-40139 และเดือนกันยายน 2023 หมายเลข CVE-2023-41179

ปัจจุบันหน่วยงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) กำลังเฝ้าติดตามช่องโหว่ของ Trend Micro Apex จำนวน 10 รายการ ที่เคยถูกโจมตีไปแล้ว หรือยังคงถูกโจมตีอยู่ในขณะนี้

ที่มา : bleepingcomputer

รัฐเท็กซัสได้ยื่นฟ้อง TP-Link Systems บริษัทยักษ์ใหญ่ด้านอุปกรณ์เครือข่าย โดยกล่าวหาว่าบริษัททำการตลาดหลอกลวงผู้บริโภคว่า Router ของตนมีความปลอดภัย แต่กลับปล่อยให้แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนโจมตีช่องโหว่ของ Firmware และเข้าถึงอุปกรณ์ของผู้ใช้งานได้

การฟ้องร้องครั้งนี้เกิดขึ้นตามหลังจากการสืบสวนที่เริ่มขึ้นเมื่อเดือนตุลาคม 2025 โดยอ้างว่า TP-Link ทำให้ผู้ซื้อเข้าใจผิดด้วยการติดฉลากผลิตภัณฑ์ของตนว่า "Made in Vietnam" ทั้งที่ชิ้นส่วนเกือบทั้งหมดนำเข้ามาจากจีน General Paxton อัยการสูงสุดของรัฐเท็กซัสระบุว่า ประเด็นนี้มีความสำคัญอย่างมาก เนื่องจากกฎหมายของจีนสามารถบังคับให้บริษัทที่มีส่วนเกี่ยวข้องกับ Supply-chain ของจีน ต้องให้ความร่วมมือกับหน่วยข่าวกรองของรัฐบาล และสามารถสั่งให้ส่งมอบข้อมูลของผู้ใช้งานให้ได้

Paxton ระบุว่า "สัปดาห์นี้ สำนักงานกำลังเปิดฉากชุดปฏิบัติการร่วมเพื่อต่อต้านบริษัทที่มีความเชื่อมโยงกับพรรคคอมมิวนิสต์จีน (CCP) เพื่อส่งสัญญาณที่ชัดเจนว่า ในรัฐเท็กซัส เราจะให้ความสำคัญกับรัฐเท็กซัส และอเมริกาก่อนเสมอ TP-Link จะต้องเผชิญกับบทลงโทษทางกฎหมายขั้นเด็ดขาด โทษฐานนำความมั่นคงของชาวอเมริกันไปเสี่ยง ขอให้เรื่องนี้เป็นคำเตือนที่ชัดเจนไปยังองค์กรของจีนใด ๆ ที่พยายามบ่อนทำลายความมั่นคงของชาติอเมริกา"

คำยื่นฟ้องนี้ยังแสดงให้เห็นถึงประวัติความหละหลวมด้านความปลอดภัยที่ผ่านมา ซึ่งรวมถึงช่องโหว่ของ Firmware ที่กลุ่มแฮ็กเกอร์จีนนำไปใช้เป็นเครื่องมือ และการที่ Router ของบริษัทถูกนำไปใช้สร้างเครือข่าย Botnet เพื่อขโมยข้อมูล Credential ขนาดใหญ่ ซึ่งในเวลาต่อมาพบว่ามีความเชื่อมโยงกับการโจมตีแบบ Password-spray

ตามที่ Microsoft ได้รายงานไปเมื่อเดือนตุลาคม 2024 Botnet ดังกล่าว (ที่ถูกติดตามในชื่อ Quad7, CovertNetwork-1658 หรือ xlogin) ถูกสร้างขึ้นจากการแฮ็กเข้าระบบ Router ตามบ้านเรือน และธุรกิจขนาดเล็ก (โดยหลักแล้วคืออุปกรณ์ของ TP-Link) และควบคุมสั่งการโดยกลุ่มผู้ไม่หวังดีชาวจีน

Paxton ระบุเพิ่มเติมว่า "แม้จะมีการกล่าวอ้างถึงความเป็นส่วนตัว และความปลอดภัย แต่ผลิตภัณฑ์ของ TP-Link กลับถูกกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลสาธารณรัฐประชาชนจีน นำไปใช้เพื่อเปิดฉากปฏิบัติการโจมตีทางไซเบอร์ต่อสหรัฐอเมริกาหลายต่อหลายครั้ง"

"ด้วยชิ้นส่วนผลิตภัณฑ์เกือบทั้งหมดที่นำเข้ามาจากจีน การที่ TP-Link จงใจหลอกลวงชาวเท็กซัสเกี่ยวกับสัญชาติ, ความเป็นส่วนตัว และประสิทธิภาพด้านความปลอดภัยของอุปกรณ์เครือข่ายของตน จึงไม่เพียงแต่ผิดกฎหมายเท่านั้น แต่มันยังเป็นภัยคุกคามต่อความมั่นคงของชาติ ซึ่งอาจทำให้เกิดการลักลอบสอดแนม และเอาเปรียบผู้บริโภคชาวเท็กซัสอีกด้วย"

ขณะนี้ Paxton กำลังดำเนินการเรียกร้องค่าปรับทางแพ่ง และขอคำสั่งศาลเพื่อบังคับให้ TP-Link ต้องเปิดเผยแหล่งที่มาของอุปกรณ์ว่ามาจากประเทศจีน และต้องยุติการเก็บรวบรวมข้อมูลของผู้บริโภคโดยที่ไม่ได้รับการยินยอมแบบแจ้งให้ทราบล่วงหน้า

หน่วยงานระดับรัฐบาลกลางเคยแจ้งเตือนถึงช่องโหว่ใน Hardware ของ TP-Link ที่ถูกนำไปใช้ในการโจมตีมาก่อนหน้านี้ และปัจจุบัน CISA ได้ระบุช่องโหว่ด้านความปลอดภัยของ TP-Link จำนวน 6 รายการ ไว้ใน KEV Catalog แล้วว่ากำลังถูกนำไปใช้ในการโจมตีทางไซเบอร์จริง

ในเดือนธันวาคมปี 2024 มีรายงานว่ารัฐบาลสหรัฐฯ กำลังพิจารณาที่จะสั่งแบน Router ของ TP-Link โดยมีกระทรวงยุติธรรม, กระทรวงพาณิชย์ และกระทรวงกลาโหมของสหรัฐฯ กำลังร่วมกันสืบสวนประเด็นนี้ และมีสำนักงานของกระทรวงพาณิชย์อย่างน้อยหนึ่งแห่งได้ออกหมายเรียกไปยังบริษัทแล้ว

ล่าสุดเมื่อเดือนธันวาคมปี 2025 อัยการสูงสุดของรัฐเท็กซัสได้ยื่นฟ้องผู้ผลิตโทรทัศน์รายใหญ่ 5 ราย (ได้แก่ Sony, Samsung, LG รวมถึงบริษัทสัญชาติจีนอย่าง Hisense และ TCL - Technology Group Corporation) โดยกล่าวหาว่าบริษัทเหล่านี้ลักลอบเก็บข้อมูลของผู้ใช้งานอย่างผิดกฎหมาย โดยใช้เทคโนโลยี Automated Content Recognition (ACR)

โฆษกของ TP-Link ได้ให้สัมภาษณ์กับสำนักข่าว BleepingComputer โดยระบุว่า ข้อกล่าวหาของ General Paxton อัยการสูงสุดแห่งรัฐเท็กซัสนั้น "ไม่มีมูลความจริง และจะได้รับการพิสูจน์ว่าเป็นความเท็จ" โดยระบุว่าทั้งรัฐบาลจีน และพรรคคอมมิวนิสต์จีน (CCP) ไม่ได้มีอำนาจในการควบคุมบริษัท, ผลิตภัณฑ์ หรือข้อมูลของผู้ใช้งานแต่อย่างใด พร้อมกับระบุเพิ่มเติมว่า ข้อมูลของผู้ใช้งานในสหรัฐฯ ทั้งหมดนั้นถูกจัดเก็บไว้บนเซิร์ฟเวอร์ของ Amazon Web Services

"TP-Link Systems Inc.

แอปพลิเคชันบนมือถือด้านสุขภาพจิตหลายรายการซึ่งมียอดดาวน์โหลดหลายล้านครั้งบน Google Play ถูกพบว่ามีช่องโหว่ด้านความปลอดภัย ซึ่งอาจส่งผลให้ข้อมูลที่มีความสำคัญทางการแพทย์ของผู้ใช้งานเกิดการรั่วไหลได้ (more…)

SolarWinds ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical 4 รายการในซอฟต์แวร์ Serv-U file transfer โดยช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ได้ หากการโจมตีประสบความสำเร็จ (more…)

Cybercrime service ที่เพิ่งถูกค้นพบใหม่ชื่อ 1Campaign ช่วยให้ผู้โจมตีสามารถ run โฆษณาที่เป็นอันตรายบน Google Ads ได้นานขึ้น โดยสามารถหลบเลี่ยงการตรวจสอบจากเหล่านักวิจัยด้านความปลอดภัยได้ (more…)

มัลแวร์ Banking ตัวใหม่บนระบบ Android ที่นักวิจัยตั้งชื่อว่า Massiv กำลังแฝงตัวมาในรูปแบบของแอปพลิเคชัน IPTV เพื่อขโมยข้อมูล Digital Identities และเข้าถึงบัญชี Banking ออนไลน์

มัลแวร์ตัวนี้อาศัยการสร้าง Screen Overlays และ Keylogging เพื่อขโมยข้อมูล Sensitive data และยังสามารถเข้าควบคุมอุปกรณ์ที่ถูกโจมตีได้จากระยะไกล

(more…)

Predator spyware ของ Intellexa สามารถซ่อนสัญลักษณ์แจ้งเตือนการบันทึกข้อมูลของ iOS ได้ ในขณะที่แอบสตรีมภาพจากกล้อง และเสียงจากไมโครโฟนส่งไปยังผู้ควบคุม

มัลแวร์ตัวนี้ไม่ได้อาศัยช่องโหว่ใด ๆ ของระบบ iOS แต่ใช้ประโยชน์จากสิทธิ์การเข้าถึง Kernel-Level ที่ตัวมัลแวร์แอบเจาะเข้าไปได้ก่อนหน้า เพื่อเข้าไปขัดขวาง และควบคุมระบบแจ้งเตือน ซึ่งตามปกติแล้วระบบนี้จะคอยเปิดเผยให้ผู้ใช้ทราบว่ากำลังถูกสอดแนมอยู่

(more…)

PayPal แจ้งเตือนลูกค้าเกี่ยวกับเหตุการณ์ข้อมูลรั่วไหล หลังจากเกิดช่องโหว่ของซอฟต์แวร์ในระบบขอสินเชื่อ ซึ่งทำให้ข้อมูลส่วนบุคคลที่สำคัญของลูกค้า รวมถึง Social Security numbers ถูกเปิดเผยเป็นเวลานานเกือบ 6 เดือนเมื่อปีที่ผ่านมา

(more…)

CISA ประกาศแจ้งเตือนช่องโหว่ 2 รายการของ Roundcube Webmail ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีจริง พร้อมทั้งสั่งการให้หน่วยงานของรัฐบาลกลางสหรัฐฯ ดำเนินการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าวภายในสามสัปดาห์

Roundcube Webmail เป็นโปรแกรมจัดการอีเมลบนเว็บ ซึ่งถูกใช้เป็นหน้าต่างใช้งานอีเมลเริ่มต้นสำหรับ cPanel ซึ่งเป็น Web hosting control panel ที่ได้รับความนิยมอย่างแพร่หลายมาตั้งแต่ปี 2008

(more…)

Splunk ได้เปิดเผยช่องโหว่ที่มีระดับความรุนแรงสูงใน Splunk Enterprise สำหรับ Windows ซึ่งทำให้ผู้ใช้งานที่สิทธิ์ระดับต่ำสามารถยกระดับสิทธิ์ตนเองไปสู่ระดับ SYSTEM ได้ผ่านเทคนิคการโจมตีที่เรียกว่า DLL Search-Order Hijacking โดยการหลอกให้ระบบเรียกใช้งานไฟล์ DLL ปลอมที่แฮ็กเกอร์นำมาวางดักไว้

เมื่อวันที่ 18 กุมภาพันธ์ 2026 มีประกาศแจ้งเตือนด้านความปลอดภัย SVD-2026-0205 ถึงช่องโหว่หมายเลข CVE-2026-20140 ซึ่งมีระดับความรุนแรงสูง (CVSSv3.1 score 7.7) ช่องโหว่นี้ถูกจัดประเภทให้อยู่ในกลุ่ม CWE-427 (การควบคุมเส้นทางการค้นหาไฟล์ที่หละหลวม - Uncontrolled Search Path Element)

ช่องโหว่นี้อยู่ใน Splunk Enterprise สำหรับ Windows เวอชันต่ำกว่า 10.2.0, 10.0.3, 9.4.8, 9.3.9 และ 9.2.12 โดยทำให้ผู้โจมตีที่แม้มีสิทธิ์การเข้าถึงระบบระดับต่ำ แต่สามารถยกระดับสิทธิ์ตัวเองได้ โดยการสร้างไดเรกเทอรี่ในไดร์ฟระบบที่ติดตั้ง Splunk ไว้ จากนั้นทำการวางไฟล์ DLL อันตรายลงไป

เมื่อบริการ Splunk Enterprise เริ่มทำงานใหม่ ตัวโปรแกรมอาจโหลดไฟล์ DLL อันตรายดังกล่าวนั้นขึ้นมาทำงานด้วย เนื่องจากระบบมีช่องโหว่ในกลไกการค้นหาไฟล์ที่ไม่ปลอดภัย และความน่ากลัวคือซอฟต์แวร์นี้ทำงานด้วยสิทธิ์สูงสุดของเครื่อง (SYSTEM) มัลแวร์จึงได้รับสิทธิ์สูงสุดนั้นตามไปด้วย ทำให้ผู้โจมตีสามารถควบคุมเครื่องได้อย่างสมบูรณ์

ข้อมูลจากเกณฑ์การประเมิน CVSS ได้ระบุลักษณะสำคัญของการโจมตีนี้ไว้หลายประการ ดังนี้

ผู้โจมตีไม่สามารถเจาะช่องโหว่นี้ผ่านเครือข่ายได้โดยตรง แต่ต้องหาทางล็อกอินเข้าถึงเครื่องเป้าหมายด้วยสิทธิ์ระดับต่ำให้ได้ก่อน (AV:L - Local Access)
การโจมตีต้องอาศัยการเตรียมการหลายขั้นตอน และตัวมัลแวร์จะยังไม่ทำงานจนกว่าจะมีการสั่งรีสตาร์ทโปรแกรม Splunk (AC:H - High Complexity และ UI:R - User Interaction Required)
เมื่อโจมตีสำเร็จ แฮ็กเกอร์จะสามารถยกระดับสิทธิ์ระดับต่ำของตนเอง (S:C - Scope Changed) และเข้าควบคุมระบบได้อย่างสมบูรณ์ ส่งผลกระทบรุนแรงขั้นสุดทั้งในด้านการถูกขโมยข้อมูล การถูกดัดแปลงแก้ไข และการทำให้ระบบล่ม (C:H, I:H, A:H - High impact on Confidentiality, Integrity, and Availability)

เวอชันทีได้รับผลกระทบ และเวอชันที่แก้ไขแล้วมีดังนี้

ปัจจุบัน Splunk ได้แก้ไขช่องโหว่ดังกล่าวแล้วในเวอร์ชัน 10.2.0, 10.0.3, 9.4.8, 9.3.9 และ 9.2.12 แล้ว องค์กรที่ใช้งาน Splunk Enterprise บน Windows ควรเร่งดำเนินการติดตั้งแพตช์อัปเดตให้เป็นเวอร์ชันดังกล่าวโดยเร็วที่สุด

สำหรับองค์กรที่ยังไม่สามารถดำเนินการอัปเดตระบบได้ทันที ผู้ดูแลระบบควรตั้งค่าจำกัดสิทธิ์ Write Permissions ในโฟลเดอร์ต่าง ๆ บน System drive เพื่อป้องกันไม่ให้ผู้ไม่หวังดีสามารถแอบนำไฟล์ DLL ปลอมมาวางไว้ได้

ในขณะนี้ยังไม่มีรายงานการตรวจพบ หรือการโจมตีที่เกิดขึ้นจริงในระบบ ช่องโหว่นี้ได้รับการเปิดเผยโดยนักวิจัยด้านความปลอดภัย Marius Gabriel Mihai

ที่มา : cybersecuritynews