ตามรายงานของ Insikt Group จาก Recorded Future เมื่อวันศุกร์ที่ผ่านมาพบว่า กลุ่ม GrayAlpha กลุ่มผู้ไม่หวังดีที่มีความเชื่อมโยงกับกลุ่ม FIN7 ได้ดำเนินการเปิดเว็บไซต์ที่มีโปรแกรม 7-Zip ปลอม และซอฟต์แวร์อื่น ๆ เพื่อแพร่กระจายมัลแวร์ NetSupport ซึ่งเป็น Remote Access Trojan (RAT) (more…)

BeyondTrust ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงระดับ High ในโซลูชัน Remote Support (RS) และ Privileged Remote Access (PRA) ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้ (more…)

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ local privilege escalation (LPE) ที่เพิ่งถูกค้นพบใหม่ 2 รายการ เพื่อยกระดับเป็นสิทธิ์ root บนระบบ Linux distributions หลักได้

ช่องโหว่แรก (CVE-2025-6018) ถูกพบในโครงสร้างการตั้งค่าของ Pluggable Authentication Modules (PAM) บน openSUSE Leap 15 และ SUSE Linux Enterprise 15 ซึ่งทำให้ผู้โจมตีในระดับ local สามารถยกระดับสิทธิ์ไปเป็น "allow_active" user ได้ (more…)

กลุ่มแฮ็กเกอร์ “Predatory Sparrow” ซึ่งสนับสนุนฝ่ายอิสราเอล อ้างว่าได้โจมตีทางไซเบอร์กับ Nobitex แพลตฟอร์มซื้อขายคริปโตที่ใหญ่ที่สุดในอิหร่าน และขโมยสินทรัพย์ดิจิทัลมูลค่ากว่า 90 ล้านดอลลาร์ และได้ทำลายเงินดิจิทัลเหล่านั้นทั้งหมดด้วยการโจมตีทางไซเบอร์โดยมีแรงจูงใจ (more…)

สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อ Linux Kernel เข้าไปในรายการ Known Exploited Vulnerabilities (KEV) เมื่อวันอังคารที่ผ่านมา โดยระบุว่า ช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง (more…)

งานวิจัยจาก Unit 42 ของ Palo Alto Networks เปิดเผยว่าพบมัลแวร์ Stealer ตัวใหม่สองเวอร์ชัน โดยเวอร์ชันแรกใช้ไฟล์ Portable Executable (PE) และอีกเวอร์ชันใช้การพัฒนาด้วย PowerShell ซึ่งอาศัยไฟล์ Windows Shortcut (LNK) ที่ปรับแต่งเป็นพิเศษเป็นจุดเริ่มต้นของการ (more…)

Veeam ได้เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่หลายรายการของ Veeam Backup & Replication (VBR) ซึ่งรวมถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical

CVE-2025-23121 (คะแนน CVSS 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้ใช้งานในโดเมนที่ผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ดได้ตามที่ต้องการบน Backup Server ได้ ด้วยวิธีการโจมตีที่มีความซับซ้อนต่ำ ซึ่งอาจส่งผลกระทบต่อความสมบูรณ์ของข้อมูลสำรอง

โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ Veeam Backup & Replication 12 หรือใหม่กว่า และได้รับการแก้ไขช่องโหว่แล้วในเวอร์ชัน 12.3.2.3617 โดยช่องโหว่ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ watchTowr และ CodeWhite

แม้ว่า CVE-2025-23121 จะส่งผลต่อการติดตั้ง Veeam Backup & Replication (VBR) ที่เชื่อมโยงกับโดเมนเท่านั้น แต่ผู้ใช้งานใด ๆ ในโดเมน ก็สามารถโจมตีโดยใช้ช่องโหว่ CVE-2025-23121 ได้ ทำให้เกิดการโจมตีได้ง่ายในระบบที่มี configurations ในลักษณะดังกล่าว

ทั้งนี้บริษัทหลายแห่งได้รวม Backup Servers ของตนเข้ากับ Windows Domain โดยไม่ได้ปฏิบัติตาม Veeam's Best Practices ซึ่งแนะนำให้ผู้ดูแลระบบใช้ Active Directory Forest แยกต่างหาก และปกป้องบัญชีผู้ดูแลระบบด้วยการยืนยันตัวตนแบบ Two-Factor Authentication

ในเดือนมีนาคม 2025 Veeam ได้แก้ไขช่องโหว่ RCE อีกรายการหนึ่ง (CVE-2025-23120) ในซอฟต์แวร์ Backup & Replication ของ Veeam ซึ่งส่งผลกระทบต่อ Domain-Joined Installations

กลุ่ม Ransomware เคยให้ข้อมูลกับ BleepingComputer เมื่อหลายปีก่อนว่า พวกเขามักจะโจมตี VBR servers เสมอ เนื่องจากทำให้การขโมยข้อมูลของเหยื่อง่ายขึ้น และป้องกันการกู้คืนข้อมูลด้วยการลบข้อมูลสำรอง ก่อนที่จะนำเพย์โหลดของ Ransomware ไปใช้งานบนเครือข่ายของเหยื่อ

ตามที่ทีม Sophos X-Ops incident responders เปิดเผยในเดือนพฤศจิกายน 2024 ช่องโหว่ VBR RCE อีกรายการ (CVE-2024-40711) ที่ถูกเปิดเผยในเดือนกันยายน 2024 กำลังถูกใช้เพื่อติดตั้ง Frag ransomware

ช่องโหว่เดียวกันนี้ยังถูกใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Veeam backup servers ที่มีช่องโหว่ในการโจมตีด้วย Akira ransomware และ Fog ransomware ซึ่งเริ่มโจมตีตั้งแต่เดือนตุลาคม 2024

ในอดีตกลุ่ม Cuba ransomware และ FIN7 ซึ่งเป็นกลุ่ม Hacker ที่มีเป้าหมายทางด้านการเงิน ที่มักจะร่วมมือกับกลุ่ม ransomware อื่น ๆ เช่น Conti, REvil, Maze, Egregor และ BlackBasta ก็พบว่าใช้จากช่องโหว่ VBR ในการโจมตีเช่นกัน

ผลิตภัณฑ์ของ Veeam ถูกใช้งานโดยลูกค้ามากกว่า 550,000 รายทั่วโลก รวมถึงบริษัทในกลุ่ม Fortune 500 ถึง 82% และบริษัทในกลุ่ม Global 2,000 ถึง 74%

ที่มา : bleepingcomputer

พบช่องโหว่ด้านความปลอดภัยระดับ Critical 2 รายการ ในผลิตภัณฑ์ NetScaler ADC และ NetScaler Gateway ซึ่งเดิมคือ Citrix ADC และ Gateway ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญ และส่งผลกระทบต่อความปลอดภัยของเครือข่ายได้

Cloud Software Group ซึ่งเป็นผู้พัฒนาโซลูชันด้านเครือข่ายดังกล่าว ได้ออกประกาศแจ้งเตือนด้านความปลอดภัยอย่างเร่งด่วน เพื่อแนะนำให้ลูกค้าอัปเดตระบบของตนทันที

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-5349 และ CVE-2025-5777 ซึ่งทั้ง 2 รายการมีระดับความรุนแรง Critical โดยมีคะแนน CVSS อยู่ที่ 8.7 และ 9.3 ตามลำดับ

โดย CVE-2025-5349 เป็นช่องโหว่ improper access control บน NetScaler Management Interface ในขณะที่ช่องโหว่ CVE-2025-5777 เกิดจากการตรวจสอบ input validation ที่ไม่เหมาะสม ส่งผลให้เกิดปัญหา memory overread ได้

ช่องโหว่แรกจำเป็นต้องเข้าถึง Network Services IP (NSIP), Cluster Management IP หรือ Local Global Server Load Balancing (GSLB) Site IP จึงจะสามารถโจมตีได้สำเร็จ

สำหรับช่องโหว่ที่สองมีระดับความรุนแรงสูงกว่า โดยจะมีผลกระทบกับระบบ NetScaler ที่กำหนดค่าให้ทำหน้าที่เป็น Gateway รวมถึง VPN virtual servers, ICA Proxy, Citrix Virtual Private Network (CVPN), Remote Desktop Protocol (RDP) Proxy หรือ Authentication, Authorization, and Accounting (AAA)  บน virtual servers

เวอร์ชันที่ได้รับผลกระทบ

ช่องโหว่ด้านความปลอดภัยนี้ส่งผลกระทบต่อหลายเวอร์ชันของผลิตภัณฑ์ NetScaler ที่ยังถูกใช้งานโดยองค์กรต่าง ๆ ทั่วโลก โดยระบบที่มีความเสี่ยงได้แก่ NetScaler ADC และ Gateway เวอร์ชัน 14.1 ก่อน "14.1-43.56", เวอร์ชัน 13.1 ก่อน "13.1-58.32", รวมถึงเวอร์ชันที่รองรับ FIPS

สิ่งที่น่ากังวลคือ NetScaler เวอร์ชัน 12.1 และ 13.0 ปัจจุบันอยู่ในสถานะ End of Life (EOL) ไปแล้ว ซึ่งทำให้มีความเสี่ยงต่อการโจมตีเนื่องจากไม่มีแพตช์ด้านความปลอดภัยแล้ว

องค์กรที่ใช้งานโซลูชัน Secure Private Access แบบ On-premises หรือการใช้งานแบบ Hybrid ร่วมกับระบบ NetScaler ก็อยู่ในกลุ่มที่มีความเสี่ยง และจำเป็นต้องดำเนินการอัปเกรดระบบทันที เพื่อความปลอดภัย อย่างไรก็ตาม สำหรับลูกค้าที่ใช้งานผ่านบริการคลาวด์ที่จัดการโดย Citrix จะได้รับการอัปเดตโดยอัตโนมัติจาก Cloud Software Group

Cloud Software Group แนะนำให้ลูกค้าที่ได้รับผลกระทบดำเนินการติดตั้งเวอร์ชันที่ได้รับการอัปเดตทันที โดยบริษัทฯ ได้ออกแพตช์แก้ไขแล้วใน NetScaler ADC และ Gateway เวอร์ชัน 14.1-43.56, เวอร์ชัน 13.1-58.32 และการอัปเดตสำหรับเวอร์ชันที่รองรับมาตรฐาน FIPS

หลังจากการอัปเกรด ผู้ดูแลระบบควรดำเนินการ specific commands เพื่อ terminate ทุก ICA และ PCoIP sessions ที่ใช้งานอยู่ในอุปกรณ์ NetScaler ทั้งหมด โดยเฉพาะในกรณีที่มีการใช้งานแบบ High Availability (HA) หรือ Cluster เพื่อให้แน่ใจว่าระบบได้รับการป้องกันอย่างสมบูรณ์

ช่องโหว่เหล่านี้ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยจาก Positive Technologies และ ITA MOD CERT (CERTDIFESA) ซึ่งได้ร่วมมือกับ Cloud Software Group เพื่อปกป้องลูกค้าก่อนที่จะมีการเปิดเผยช่องโหว่ออกสู่สาธารณะ

องค์กรที่ใช้งาน NetScaler ควรให้ความสำคัญกับการอัปเดตครั้งนี้โดยด่วน เนื่องจากช่องโหว่เหล่านี้มีระดับความรุนแรงสูง และอาจถูกนำไปใช้เพื่อเข้าถึงข้อมูลสำคัญ และทรัพยากรในระบบเครือข่ายโดยไม่ได้รับอนุญาต

ที่มา : cybersecuritynews

Trend Micro ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Remote code execution และ Authentication bypass ความรุนแรงระดับ Critical หลายรายการ ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Apex Central และ Endpoint Encryption (TMEE) PolicyServer

โดย Trend Micro ยืนยันว่ายังไม่พบหลักฐานการโจมตีโดยใช้ช่องโหว่ดังกล่าวแต่อย่างใด แต่อย่างไรก็ตาม แนะนำให้ผู้ใช้งานเร่งติดตั้งแพตซ์อัปเดตด้านความปลอดภัยทันที เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น

Trend Micro Endpoint Encryption PolicyServer เป็น Central management server ของ Trend Micro Endpoint Encryption (TMEE) ซึ่งใช้สำหรับ Full Disk Encryption และ Removable Media Encryption บนอุปกรณ์ Windows

ผลิตภัณฑ์นี้ใช้ในสภาพแวดล้อมขององค์กรในอุตสาหกรรมที่มีการควบคุม ซึ่งการปฏิบัติตามมาตรฐานการปกป้องข้อมูลถือเป็นสิ่งสำคัญ

ในการอัปเดตล่าสุด Trend Micro ได้แก้ไขช่องโหว่ที่มีความรุนแรงระดับ High และ Critical ดังต่อไปนี้

CVE-2025-49212 เป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication ซึ่งเกิดจากการ deserialization ที่ไม่ปลอดภัยใน PolicyValueTableSerializationBinder class ซึ่งผู้โจมตีจากภายนอกสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเรียกใช้โค้ดได้ตามต้องการด้วยสิทธิ์ SYSTEM โดยไม่ต้องเข้าสู่ระบบ

CVE-2025-49213 เป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication ใน PolicyServerWindowsService class ซึ่งเกิดจากการ deserialization ข้อมูลที่ไม่น่าเชื่อถือ ซึ่งผู้โจมตีสามารถเรียกใช้โค้ดได้ตามต้องการด้วยสิทธิ์ SYSTEM โดยไม่ต้องผ่านการยืนยันตัวตน

CVE-2025-49216 เป็นช่องโหว่ Authentication Bypass ใน DbAppDomain service ซึ่งเกิดจากการออกแบบระบบยืนยันตัวตนที่ไม่สมบูรณ์ ผู้โจมตีจากภายนอกสามารถ Bypass การเข้าสู่ระบบได้ทั้งหมด และสามารถดำเนินการในระดับผู้ดูแลระบบ (admin-level) ได้โดยไม่ต้องใช้ข้อมูล credentials

CVE-2025-49217 เป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication ใน ValidateToken method ซึ่งเกิดจากการ deserialization ที่ไม่ปลอดภัย แม้ว่าช่องโหว่นี้จะถูกโจมตีได้ยาก แต่ก็ยังสามารถทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถรันโค้ดในระบบโดยมีสิทธิ์ระดับ SYSTEM ได้

แม้ว่าในประกาศด้านความปลอดภัยของ Trend Micro สำหรับ Endpoint Encryption PolicyServer จะจัดอันดับช่องโหว่ทั้งสี่รายการข้างต้นเป็นช่องโหว่ระดับ Critical แต่ในคำแนะนำด้านความปลอดภัยของ ZDI (Zero Day Initiative) ได้ประเมิน CVE-2025-49217 ว่าเป็นช่องโหว่ที่มีความรุนแรงในระดับ High

โดย Endpoint Encryption PolicyServer ยังได้แก้ไขช่องโหว่เพิ่มเติมอีก 4 รายการ ที่จัดอยู่ในกลุ่มช่องโหว่ความรุนแรงระดับ High เช่น ช่องโหว่ SQL Injection และ Privilege Escalation

ช่องโหว่ทั้งหมดได้รับการแก้ไขในเวอร์ชัน 6.0.0.4013 (Patch 1 Update 6)  โดยช่องโหว่เหล่านี้ส่งผลกระทบต่อทุกเวอร์ชันก่อนหน้านี้ และไม่มีวิธีแก้ไขปัญหาชั่วคราว หรือมาตรการลดผลกระทบ (mitigations or workarounds) สำหรับช่องโหว่เหล่านี้

ช่องโหว่ชุดที่สองที่ Trend Micro ดำเนินการแก้ไข ส่งผลกระทบต่อ Apex Central ซึ่งเป็นระบบ security management console ที่ใช้สำหรับการตรวจสอบ กำหนดค่า และจัดการผลิตภัณฑ์ Trend Micro รวมถึงจัดการ security agents หลายตัวของ Trend Micro ภายในองค์กร

ทั้งสองช่องโหว่นี้เป็นช่องโหว่ที่มีความรุนแรงระดับ Critical และเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication

CVE-2025-49219 เป็นช่องโหว่การเรียกโค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication ใน GetReportDetailView method ของ Apex Central ซึ่งเกิดจากการจัดการ deserialization ที่ไม่ปลอดภัย ผู้โจมตีที่ไม่ได้ยืนยันตัวตนสามารถใช้ช่องโหว่นี้เพื่อรันโค้ดในสิทธิ์ของ NETWORK SERVICE ได้ (คะแนน CVSS 9.8)

CVE-2025-49220 เป็นช่องโหว่การเรียกโค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication ใน ConvertFromJson method ของ Apex Central โดยเกิดจากการตรวจสอบความถูกต้องของข้อมูลนำเข้าที่ไม่เหมาะสมระหว่างการ deserialization ซึ่งผู้โจมตีสามารถเรียกใช้โค้ดได้ตามต้องการจากระยะไกล โดยไม่ต้องผ่านการยืนยันตัวตน (คะแนน CVSS 9.8)

ช่องโหว่เหล่านี้ได้รับการแก้ไขใน Patch B7007 สำหรับ Apex Central 2019 (On-premise) ส่วนใน Apex Central ที่เป็น Apex Central as a Service จะได้รับการอัปเดต และแก้ไขโดยอัตโนมัติ

ที่มา : bleepingcomputer

Microsoft ได้เปิดเผยวิธีแก้ปัญหาชั่วคราวสำหรับสาเหตุที่ทำให้โปรแกรมอีเมล Outlook เวอร์ชัน Desktop เกิดอาการ crash หรืออาการโปรแกรมปิดตัวเองลง เมื่อเปิด หรือมีการเริ่มสร้างอีเมลใหม่

ปัญหานี้ส่งผลกระทบต่อผู้ใช้งาน Monthly Enterprise Channel ที่ได้รับการอัปเดต Outlook สำหรับ Microsoft 365 ไปเมื่อต้นเดือนที่ผ่านมา โดยเริ่มตั้งแต่เวอร์ชัน 2504 (Build 18730.20122)

ทีม Outlook ได้รายงานเมื่อวันศุกร์ที่ 13 มิถุนายน 2025 โดยระบุว่า "เมื่อเปิด หรือเริ่มสร้างอีเมลใหม่ใน Outlook เวอร์ชัน Desktop อาจจะพบกับอาการ crashes หรืออาการโปรแกรมปิดตัวเองลง ปัญหานี้เกิดจาก Outlook ไม่สามารถเปิด Forms Library ได้"

"กรณีส่วนใหญ่ของปัญหานี้เกิดขึ้นบน Virtual desktop infrastructure (VDI) และปัญหานี้ได้ถูกยกระดับเพื่อทำการตรวจสอบแล้ว โดยจะมีการอัปเดตให้ทราบอีกครั้งเมื่อมีข้อมูลเพิ่มเติม"

จนกว่าจะมีการออกแพตช์แก้ไขให้กับผู้ใช้งานที่ได้รับผลกระทบ ทาง Microsoft แนะนำให้ผู้ใช้งานที่ได้รับผลกระทบสร้างโฟลเดอร์ FORMS2 ที่หายไปด้วยตนเองที่ C:\Users\<ชื่อผู้ใช้>\AppData\Local\Microsoft\FORMS2 เพื่อเป็นการแก้ไขปัญหาชั่วคราว

ในการดำเนินการเช่นนี้ คุณต้องทำตามขั้นตอนดังต่อไปนี้ :

ปิดโปรแกรม Outlook และแอปพลิเคชันอื่น ๆ ของ Microsoft Office
เลือกที่ปุ่ม Start > Run (หรือกดปุ่ม Windows + R) แล้วพิมพ์ %localappdata%\Microsoft จากนั้นกด OK
ในหน้าต่าง File Explorer ให้เลือกเมนู New > Folder แล้วตั้งชื่อโฟลเดอร์ว่า FORMS2
Microsoft กำลังตรวจสอบอีกปัญหาของ Outlook ซึ่งทำให้โฟลเดอร์ใน mailbox เกิดอาการกระพริบ และเคลื่อนที่ไปมาเมื่อมีการย้ายอีเมลเข้าไปในโฟลเดอร์ โดยปัญหานี้เริ่มเกิดขึ้นตั้งแต่เวอร์ชัน 2505 (Build 18827.20128)

สำหรับผู้ที่ได้รับผลกระทบ ทาง Microsoft ขอแนะนำให้ปิด caching ของก shared mailbox โดยปิดการใช้งาน Download Shared Folders เพื่อเป็นการแก้ไขปัญหาชั่วคราว อย่างไรก็ตาม วิธีนี้อาจส่งผลกระทบต่อประสิทธิภาพการทำงาน เนื่องจากเป็นการบังคับให้ Outlook จะต้องทำงานกับ shared mailbox ในโหมดออฟไลน์

เมื่อสัปดาห์ที่ผ่านมา Microsoft ได้ปล่อยอัปเดต service เพื่อแก้ไข bug ที่ทำให้ Outlook LTSC 2019 ขัดข้อง เมื่อมีการเปิดอีเมลจาก Viva Engage, Yammer, Power Automate และอีเมลอื่น ๆ

เมื่อช่วงต้นปีที่ผ่านมา ทาง Microsoft ได้เปิดเผยวิธีแก้ไขชั่วคราวสำหรับปัญหาที่ทำให้ Outlook เวอร์ชัน Desktop เกิดอาการปิดตัวเองลง เมื่อผู้ใช้ทำการเขียน, ตอบกลับ หรือส่งต่ออีเมล รวมถึงได้ออกแพตช์แก้ไขสำหรับอีกปัญหาหนึ่งที่ทำให้ Outlook เวอร์ชัน classic และแอปพลิเคชัน Microsoft 365 ที่มีอาการปิดตัวเองบนระบบ Windows Server

ที่มา : bleepingcomputer.