Synology ได้แก้ไขช่องโหว่ remote code execution (RCE) ระดับ critical ใน BeeStation ซึ่งได้มีการสาธิตในงานแข่งขันการเจาะระบบ Pwn2Own เมื่อเร็ว ๆ นี้ (more…)
แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ Citrix และ Cisco ISE ในการโจมตีแบบ Zero-day
กลุ่ม APT ได้ใช้ประโยชน์จากช่องโหว่ระดับ Critical ที่ถูกเรียกว่า “Citrix Bleed 2" (CVE-2025-5777) ใน NetScaler ADC และ Gateway และช่องโหว่ CVE-2025-20337 ที่ส่งผลกระทบต่อ Cisco Identity Service Engine (ISE) มาใช้ในการโจมตีในรูปแบบ zero-day เพื่อ (more…)
SAP แก้ไขช่องโหว่ Hardcoded Credentials ใน SQL Anywhere Monitor
SAP ออกแพตซ์อัปเดตความปลอดภัยประจำเดือนพฤศจิกายน เพื่อแก้ไขช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูงสุดใน SQL Anywhere Monitor Non-GUI และช่องโหว่ code injection ระดับ Critical ในแพลตฟอร์ม Solution Manager
(more…)
พบช่องโหว่ RCE ใน expr-eval ไลบรารี JavaScript ที่ได้รับความนิยม
พบช่องโหว่ระดับ Critical ในไลบรารี expr-eval JavaScript ซึ่งเป็นที่นิยม และมียอดดาวน์โหลดกว่า 800,000 ครั้งต่อสัปดาห์บน NPM สามารถถูกใช้โจมตีเพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ผ่าน input ที่ถูกสร้างขึ้นมาเพื่อโจมตีโดยเฉพาะได้
(more…)
แพลตฟอร์ม Phishing-as-a-Service ‘Quantum Route Redirect’ มุ่งเป้าการโจมตีไปที่ผู้ใช้ Microsoft 365 ทั่วโลก
แพลตฟอร์ม Phishing-as-a-Service (PhaaS) ตัวใหม่ชื่อ Quantum Route Redirect กำลังใช้โดเมนจำนวนกว่า 1,000 โดเมนเพื่อขโมยข้อมูล credentials ของผู้ใช้ Microsoft 365
(more…)
Mozilla Firefox เพิ่มการป้องกันใหม่ Anti-Fingerprinting
Mozilla ประกาศการอัปเกรดความเป็นส่วนตัวครั้งใหญ่ใน Firefox 145 ที่ช่วยลดจำนวนผู้ใช้ที่เสี่ยงต่อการถูกติดตาม digital fingerprinting ได้มากยิ่งขึ้น
(more…)
พบช่องโหว่ใน Fortinet FortiWeb ซึ่งถูกนำไปใช้ในการโจมตีเพื่อสร้างบัญชีผู้ใช้ระดับผู้ดูแลระบบ
ช่องโหว่ Path Traversal ใน Fortinet FortiWeb กำลังถูกนำไปใช้สร้างบัญชีผู้ใช้ระดับผู้ดูแลระบบใหม่บนอุปกรณ์ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต โดยไม่ต้องมีการยืนยันตัวตน
ช่องโหว่นี้ได้รับการแก้ไขแล้วใน FortiWeb 8.0.2 และผู้ดูแลระบบควรอัปเดตโดยเร็วที่สุด และตรวจสอบสัญญาณการเข้าถึงโดยไม่ได้รับอนุญาต
(more…)
Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2025 แก้ไขช่องโหว่ zero-day 1 รายการ และช่องโหว่อื่น ๆ รวม 63 รายการ
Patch Tuesday ประจำเดือนพฤศจิกายน 2025 ของ Microsoft อัปเดตความปลอดภัยสำหรับช่องโหว่ 63 รายการ รวมถึงช่องโหว่ zero-day 1 รายการที่กำลังถูกใช้ในการโจมตี
Patch Tuesday ในรอบนี้ได้แก้ไขช่องโหว่ระดับ "Critical" จำนวน 4 รายการ โดยมี 2 รายการเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution), มี 1 รายการเป็นช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege) และอีก 1 รายการเป็นช่องโหว่การเปิดเผยข้อมูล (Information Disclosure) (more…)
กลุ่ม APT มุ่งเป้าโจมตีเครือข่ายอุตสาหกรรมการก่อสร้าง เพื่อขโมยข้อมูลการเข้าสู่ระบบ RDP, SSH และ Citrix
อุตสาหกรรมการก่อสร้างได้กลายเป็นเป้าหมายที่สร้างผลกำไรมหาศาลสำหรับกลุ่ม APT และเครือข่ายอาชญากรไซเบอร์ที่รวมตัวกันอย่างต่อเนื่อง ซึ่งมุ่งเป้าหาช่องทางการเข้าถึงระบบขององค์กรโดยไม่ได้รับอนุญาต (more…)
QNAP แก้ไขช่องโหว่ zero-day 7 รายการบน NAS ที่ถูกใช้โจมตีในงาน Pwn2Own
QNAP ได้แก้ไขช่องโหว่ zero-day จำนวน 7 รายการ ที่นักวิจัยด้านความปลอดภัยใช้โจมตีในการแฮ็กอุปกรณ์ NAS (network-attached storage) ของ QNAP ในระหว่างการแข่งขัน Pwn2Own Ireland 2025
ช่องโหว่เหล่านี้ส่งผลกระทบต่อระบบปฏิบัติการ QTS และ QuTS hero ของ QNAP (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849) และซอฟต์แวร์ของบริษัท ได้แก่ Hyper Data Protector (CVE-2025-59389), Malware Remover (CVE-2025-11837) และ HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842)
QNAP ได้ระบุในคำแนะนำที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมา โดยระบุว่า ช่องโหว่ด้านความปลอดภัยเหล่านี้ถูกใช้โจมตีในงาน Pwn2Own โดยทีม Summoning Team, DEVCORE, Team DDOS และนักศึกษาฝึกงานจาก CyCraft technology
เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้ QNAP แนะนำให้อัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด และเปลี่ยนรหัสผ่านทั้งหมดเพื่อเพิ่มความปลอดภัย
QNAP ได้แก้ไขช่องโหว่ทั้งหมดแล้วในซอฟต์แวร์เวอร์ชันดังต่อไปนี้ :
Hyper Data Protector 2.2.4.1 และเวอร์ชันที่ใหม่กว่า
Malware Remover 6.6.8.20251023 และเวอร์ชันที่ใหม่กว่า
HBS 3 Hybrid Backup Sync 26.2.0.938 และเวอร์ชันที่ใหม่กว่า
QTS 5.2.7.3297 build 20251024 และเวอร์ชันที่ใหม่กว่า
QuTS hero h5.2.7.3297 build 20251024 และเวอร์ชันที่ใหม่กว่า
QuTS hero h5.3.1.3292 build 20251024 และเวอร์ชันที่ใหม่กว่า
สำหรับผู้ใช้ที่ต้องการอัปเดต OS ให้ล็อกอินเข้าสู่ QTS หรือ QuTS Hero ในฐานะผู้ดูแลระบบ จากนั้นไปที่ Control Panel > System > Firmware Update และคลิก "Check for Update" ตรงหัวข้อ Live Update
หากต้องการอัปเดตแอปที่มีช่องโหว่ ให้ล็อกอินเข้าสู่ QTS หรือ QuTS hero ในฐานะผู้ดูแลระบบก่อน จากนั้นเปิด App Center แล้วคลิกปุ่มค้นหา พิมพ์ชื่อแอปที่คุณต้องการอัปเดตแล้วกด ENTER ในผลการค้นหา ให้คลิก "Update" จากนั้นยืนยันการดำเนินการโดยคลิก "OK" ในข้อความยืนยันที่ปรากฏขึ้น
QNAP ระบุว่า "เพื่อรักษาความปลอดภัยให้กับอุปกรณ์ ขอแนะนำให้อัปเดตระบบเป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ เพื่อเป็นการแก้ไขช่องโหว่ สามารถตรวจสอบสถานะการ support ผลิตภัณฑ์ เพื่อดูการอัปเดตล่าสุดที่มีให้สำหรับ NAS รุ่นที่กำลังใช้งานอยู่"
เมื่อหนึ่งปีที่แล้ว ผู้ผลิต NAS (QNAP) ได้แก้ไขช่องโหว่ zero-day อีกสองรายการที่ถูกใช้โจมตีในระหว่างการแข่งขัน Pwn2Own Ireland 2024 ได้แก่ ช่องโหว่ OS command injection (CVE-2024-50388) ในโซลูชันการสำรองข้อมูล และกู้คืนระบบ Hybrid Backup Sync และช่องโหว่ SQL injection (SQLi) (CVE-2024-50387) ในบริการ SMB Service ของ QNAP
ในวันที่ 7 พฤศจิกายน 2025 QNAP ยังได้ปล่อยอัปเดต QuMagie 2.7.0 พร้อมการแก้ไขช่องโหว่ SQLi ที่มีความรุนแรงระดับ Critical (CVE-2025-52425) ในโซลูชันการจัดการ และการแชร์รูปภาพ ซึ่งช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีจากภายนอกเรียกใช้โค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตบนอุปกรณ์ที่มีช่องโหว่ได้
ที่มา : bleepingcomputer.