การโจมตีแบบ ClickFix กำลังได้รับความนิยมเพิ่มขึ้นในหมู่แฮ็กเกอร์ โดยเฉพาะกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ, อิหร่าน และรัสเซีย ซึ่งได้นำเทคนิคนี้ไปใช้ในปฏิบัติการล่าสุด (more…)
แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐใช้วิธี ClickFix Social engineering เทคนิค
บัญชี Microsoft Entra ถูกล็อกเนื่องจากความผิดพลาดในการจัดการ token ของผู้ใช้
Microsoft ยืนยันว่าเหตุการณ์บัญชี Entra ถูกล็อกในช่วงสุดสัปดาห์ที่ผ่านมา เกิดจากการที่ refresh tokens ของผู้ใช้ถูกยกเลิกโดยไม่ได้ตั้งใจ เนื่องจากมีการ logged token เหล่านั้นลงในระบบภายในของบริษัทอย่างไม่ถูกต้อง (more…)
ASUS ยืนยันพบช่องโหว่ระดับ Critical ในเราเตอร์ AiCloud แนะนำผู้ใช้งานให้อัปเดตเฟิร์มแวร์โดยด่วน
ASUS เปิดเผยช่องโหว่ระดับ Critical ซึ่งส่งผลกระทบต่อเราเตอร์ที่เปิดใช้งานฟีเจอร์ AiCloud โดยช่องโหว่นี้อาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึง และสั่งการฟังก์ชันต่าง ๆ บนอุปกรณ์ที่มีความเสี่ยงได้โดยไม่ได้รับอนุญาต โดยช่องโหว่นี้มีหมายเลข CVE-2025-2492 และมีระดับความรุนแรง CVSS อยู่ที่ 9.2
ช่องโหว่นี้ได้รับการแก้ไขแล้วผ่านการอัปเดตเฟิร์มแวร์ในเวอร์ชันต่อไปนี้:
3.0.0.4_382
3.0.0.4_386
3.0.0.4_388
3.0.0.6_102
เพื่อความปลอดภัย ASUS แนะนำให้ผู้ใช้งานอัปเดตเฟิร์มแวร์ของอุปกรณ์ให้เป็นเวอร์ชันล่าสุด
โดย ASUS ระบุว่า "ควรใช้รหัสผ่านที่แตกต่างกันสำหรับเครือข่าย wireless และ administration page ของเราเตอร์ และควรใช้รหัสผ่านที่มีความยาวอย่างน้อย 10 ตัวอักษร โดยผสมตัวอักษรตัวพิมพ์ใหญ่ ตัวเลข และอักขระพิเศษ"
"ไม่ควรใช้รหัสผ่านเดียวกันสำหรับอุปกรณ์ หรือบริการมากกว่าหนึ่งรายการ และไม่ควรใช้รหัสผ่านที่มีตัวเลข หรืออักษรเรียงต่อกัน เช่น 1234567890, abcdefghij หรือ qwertyuiop"
หากไม่สามารถอัปเดตแพตช์ได้ทันที หรือเราเตอร์สิ้นสุดอายุการใช้งานแล้ว (EoL) แนะนำให้ตรวจสอบให้แน่ใจว่ารหัสผ่านสำหรับการล็อกอิน และ Wi-Fi ยากต่อการคาดเดา
อีกทางเลือกหนึ่งคือการปิดใช้งานฟีเจอร์ AiCloud และบริการใด ๆ ที่สามารถเข้าถึงจากอินเทอร์เน็ต เช่น การเข้าถึงระยะไกลผ่าน WAN, Port Forwarding, DDNS, VPN Server, DMZ, Port Triggering และ FTP
ที่มา : thehackernews
มัลแวร์ SuperCard X บน Android ใช้บัตรที่ถูกขโมยในการโจมตีแบบ NFC Relay
พบแพลตฟอร์ม malware-as-a-service (MaaS) ใหม่ที่ชื่อว่า 'SuperCard X' โดยมีเป้าหมายโจมตีอุปกรณ์ Android ผ่านการโจมตีแบบ NFC Relay ซึ่งช่วยให้สามารถทำธุรกรรมที่ point-of-sale และตู้ ATM โดยใช้ข้อมูลบัตรที่ถูกขโมยมา
SuperCard X เชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาจีน และมีลักษณะโค้ดที่คล้ายคลึงกับโปรเจกต์โอเพ่นซอร์ส NFCGate รวมถึงเวอร์ชันที่พัฒนาจากโปรเจกต์ดังกล่าวอย่าง NGate ซึ่งมีส่วนในการโจมตีในยุโรปตั้งแต่ปีที่แล้ว
แพลตฟอร์ม malware-as-a-service นี้ถูกโปรโมตผ่านช่องทาง Telegram ซึ่งยังมีการเสนอการสนับสนุนโดยตรงแก่ลูกค้า
SuperCard X ถูกพบโดยบริษัทด้านความปลอดภัยบนมือถือ Cleafy ซึ่งรายงานว่าได้พบการโจมตีที่ใช้มัลแวร์ Android นี้ในอิตาลี การโจมตีเหล่านี้ประกอบด้วยตัวอย่างมัลแวร์หลายตัวที่มีความแตกต่างกันเล็กน้อย ซึ่งแสดงให้เห็นว่าผู้ร่วมงานสามารถเลือกสร้างเวอร์ชันที่ปรับแต่งตามความต้องการเฉพาะของภูมิภาค หรือความต้องการอื่น ๆ ได้
การโจมตีของ SuperCard X ดำเนินไปอย่างไร
การโจมตีเริ่มต้นจากเหยื่อได้รับข้อความ SMS หรือ WhatsApp ปลอม ที่แอบอ้างว่าเป็นธนาคารของตน โดยอ้างว่ามีธุรกรรมที่น่าสงสัยเกิดขึ้น และขอให้เหยื่อติดต่อกลับผ่านหมายเลขโทรศัพท์เพื่อแก้ไขปัญหา
เมื่อเหยื่อติดต่อไปตามหมายเลขดังกล่าว จะมีมิจฉาชีพรับสายโดยแสร้งทำตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนของธนาคาร จากนั้นจะใช้วิธีการ social engineering เพื่อหลอกให้เหยื่อยืนยันหมายเลขบัตร และรหัส PIN หลังจากนั้นจะพยายามโน้มน้าวให้ผู้ใช้ยกเลิกการจำกัดวงเงินใช้จ่ายผ่านแอปธนาคารของตน
ในขั้นตอนสุดท้าย ผู้ไม่หวังดีจะหลอกให้เหยื่อติดตั้งแอปอันตรายที่ชื่อว่า "Reader" ซึ่งถูกปลอมแปลงให้ดูเหมือนเป็นเครื่องมือด้านความปลอดภัย หรือการยืนยันตัวตน โดยภายในแอปนั้นแฝงมัลแวร์ SuperCard X เอาไว้
เมื่อผู้ใช้ติดตั้งแอป Reader แอปจะร้องขอสิทธิ์การเข้าถึงเพียงเล็กน้อย โดยส่วนใหญ่จะขอสิทธิ์ในการเข้าถึงโมดูล NFC ซึ่งเพียงพอสำหรับการขโมยข้อมูล
มิจฉาชีพจะสั่งให้เหยื่อนำบัตรชำระเงินมาแตะกับโทรศัพท์ของตนเองเพื่อยืนยันบัตร ซึ่งทำให้มัลแวร์สามารถอ่านข้อมูลจากชิปบนบัตร และส่งข้อมูลนั้นไปยังผู้โจมตี
จากนั้นผู้โจมตีจะรับข้อมูลดังกล่าวไว้ในอุปกรณ์ Android ของตน โดยใช้งานแอปอีกตัวที่ชื่อว่า Tapper ซึ่งทำหน้าที่จำลองการทำงานของบัตรเหยื่อด้วยข้อมูลที่ถูกขโมยมา
บัตรที่ถูกจำลองโดยผู้โจมตีสามารถใช้ชำระเงินแบบ contactless ตามร้านค้า หรือถอนเงินจากตู้ ATM ได้ แม้จะมีข้อจำกัดด้านวงเงิน โดยธุรกรรมเหล่านี้มักมีมูลค่าไม่สูง และดำเนินการได้ทันที ทำให้ดูเหมือนเป็นธุรกรรมปกติ จึงยากต่อการตรวจจับ และยกเลิกโดยธนาคาร
มัลแวร์หลบเลี่ยงการตรวจจับได้
Cleafy ระบุว่า ปัจจุบัน SuperCard X ยังไม่ถูกตรวจพบโดยเครื่องมือป้องกันไวรัสใด ๆ บน VirusTotal และการที่แอปไม่มีการขอสิทธิ์ที่เสี่ยง หรือฟีเจอร์ที่เป็นการโจมตีที่ชัดเจน เช่น การทับซ้อนหน้าจอ (screen overlaying) ทำให้มันสามารถหลบเลี่ยงการตรวจจับจากการสแกนพฤติกรรม (heuristic scans) ได้อย่างมีประสิทธิภาพ
การจำลองบัตรนั้นใช้เทคโนโลยี ATR-based (Answer to Reset) ซึ่งทำให้บัตรดูเหมือนจริง และสามารถทำงานร่วมกับเครื่องชำระเงินได้ นอกจากนี้ยังสะท้อนให้เห็นถึงความชำนาญทางเทคนิค และความเข้าใจในโปรโตคอลของสมาร์ตการ์ดอีกด้วย
อีกหนึ่งแง่มุมทางเทคนิคที่สำคัญคือการใช้ mutual TLS (mTLS) สำหรับการยืนยันตัวตนระหว่างไคลเอนต์ และเซิร์ฟเวอร์ที่ใช้ certificate-based ซึ่งช่วยป้องกันการเชื่อมต่อกับ C2 จากการ interception และการวิเคราะห์จากนักวิจัย หรือเจ้าหน้าที่ทางกฎหมาย
BleepingComputer ได้ติดต่อไปยัง Google เพื่อขอความคิดเห็นเกี่ยวกับกิจกรรมของ SuperCard X และโฆษกของ Google ได้ระบุคำแถลงการณ์ดังนี้:
“จากการตรวจสอบปัจจุบันของเรา ยังไม่พบแอปพลิเคชันที่มีมัลแวร์นี้อยู่บน Google Play ผู้ใช้ Android จะได้รับการปกป้องโดยอัตโนมัติจาก Google Play Protect ซึ่งเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ Android ที่มี Google Play Services โดย Google Play Protect สามารถเตือนผู้ใช้หรือบล็อกแอปที่มีพฤติกรรมเป็นอันตราย แม้ว่าแอปเหล่านั้นจะมาจากแหล่งภายนอก Google Play ก็ตาม”
ที่มา : bleepingcomputer
CISA ยืนยันว่าช่องโหว่ของ SonicWall VPN กำลังถูกใช้ในการโจมตีจริง
เมื่อวันพุธที่ผ่านมา (16 เมษายน 2025) หน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกคำเตือนให้หน่วยงานรัฐบาลกลางดำเนินการป้องกันอุปกรณ์ SonicWall Secure Mobile Access (SMA) 100 series จากการโจมตีด้วยช่องโหว่ระดับ High ซึ่งสามารถทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้
ช่องโหว่นี้มีหมายเลข CVE-2021-20035 โดยส่งผลกระทบต่ออุปกรณ์รุ่น SMA 200, SMA 210, SMA 400, SMA 410 และ SMA 500v (บนแพลตฟอร์ม ESX, KVM, AWS และ Azure) ซึ่งหากสามารถโจมตีได้ความสำเร็จ อาจทำให้ผู้ไม่หวังดีจากภายนอกที่มีสิทธิ์เข้าถึงเพียงแค่ในระดับต่ำสามารถเรียกใช้รันโค้ดใด ๆ ก็ได้ ด้วยเทคนิคการโจมตีที่ไม่ซับซ้อน
SonicWall ได้อธิบายในคำแนะนำด้านความปลอดภัยที่มีการอัปเดตในสัปดาห์นี้ว่า:
“การจัดการ special elements ที่ไม่เหมาะสมใน management interface ของ SMA100 อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถแทรกคำสั่งใด ๆ ได้ในฐานะผู้ใช้งาน 'nobody' ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายบนอุปกรณ์ได้”
SonicWall ได้แก้ไขช่องโหว่นี้ตั้งแต่เดือนกันยายน 2021 หรือเกือบสี่ปีที่ผ่านมา โดยในขณะนั้นบริษัทระบุว่าช่องโหว่ดังกล่าวสามารถใช้เพียงเพื่อก่อให้เกิดการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service หรือ DoS) เท่านั้น
อย่างไรก็ตาม เมื่อวันจันทร์ที่ผ่านมา (14 เมษายน 2025) SonicWall ได้อัปเดตคำแนะนำเกี่ยวกับช่องโหว่นี้โดยระบุว่า ขณะนี้ช่องโหว่กำลังถูกใช้ในการโจมตีจริง พร้อมทั้งปรับระดับความรุนแรง CVSS จากระดับปานกลางเป็นระดับสูง และขยายขอบเขตของผลกระทบให้รวมถึง code execution
SonicWall ระบุว่า “ช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง เพื่อเป็นมาตรการเชิงป้องกัน ทีม PSIRT ของ SonicWall ได้ปรับปรุงข้อมูลสรุป และปรับระดับความรุนแรง CVSS เป็น 7.2”
CISA ได้ยืนยันว่าช่องโหว่ดังกล่าวถูกใช้ในการโจมตีจริงแล้ว โดยเพิ่มช่องโหว่นี้เข้าไปในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities catalog) ซึ่งเป็นรายการช่องโหว่ที่หน่วยงานฯ ยืนยันว่ามีการใช้งานในการโจมตีทางไซเบอร์
ภายใต้คำสั่ง Binding Operational Directive (BOD) 22-01 ซึ่งออกเมื่อเดือนพฤศจิกายน 2021 หน่วยงานในสังกัดฝ่ายบริหารพลเรือนของรัฐบาลกลางสหรัฐฯ (Federal Civilian Executive Branch – FCEB) จะต้องดำเนินการแก้ไขช่องโหว่นี้ภายในเวลาสามสัปดาห์ หรือภายในวันที่ 7 พฤษภาคม 2025
แม้ว่าคำสั่ง BOD 22-01 จะใช้บังคับกับหน่วยงานของรัฐบาลกลางสหรัฐฯ เท่านั้น แต่ CISA ก็แนะนำให้ผู้ดูแลระบบเครือข่ายทุกแห่งเร่งดำเนินการแก้ไขช่องโหว่นี้ทันที เพื่อป้องกันความพยายามในการเจาะระบบ
CISA เตือนว่า “ช่องโหว่ประเภทนี้มักถูกใช้เป็นช่องทางหลักในการโจมตีของผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อโครงสร้างพื้นฐานของหน่วยงานรัฐบาล”
เมื่อเดือนกุมภาพันธ์ที่ผ่านมา SonicWall ยังได้แจ้งเตือนถึงช่องโหว่ Authentication Bypass ที่กำลังถูกใช้ในการโจมตีจริงในไฟร์วอลล์รุ่น Gen 6 และ Gen 7 ซึ่งอาจทำให้แฮ็กเกอร์สามารถเข้าถึง VPN sessions ได้
ก่อนหน้านั้นหนึ่งเดือน บริษัทได้แนะนำให้ลูกค้ารีบติดตั้งแพตช์เพื่อแก้ไขช่องโหว่ระดับ Critical ในอุปกรณ์ SMA1000 secure access gateways หลังจากมีรายงานว่าช่องโหว่นั้นถูกใช้ในเหตุการณ์โจมตีแบบ zero-day แล้ว
ที่มา : bleepingcomputer
บริษัทบันเทิงยักษ์ใหญ่ Legends International เปิดเผยเหตุการณ์ข้อมูลรั่วไหล
Legends International บริษัทบริหารจัดการสถานบันเทิง แจ้งเกิดเหตุการณ์ข้อมูลรั่วไหลในเดือนพฤศจิกายน 2024 ซึ่งส่งผลกระทบต่อพนักงาน และบุคคลที่เคยเข้าใช้บริการในสถานที่ต่าง ๆ ภายใต้การดูแลของบริษัท
ในจดหมายแจ้งเตือนที่ส่งให้กับหน่วยงานที่เกี่ยวข้องบริษัทได้ระบุว่า ตรวจพบกิจกรรมที่ผิดปกติในระบบไอทีเมื่อวันที่ 9 พฤศจิกายน 2024 และได้ดำเนินการสอบสวนโดยร่วมมือกับผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์จากภายนอก
ผลการสอบสวนยืนยันว่า ผู้โจมตีได้ทำการขโมยไฟล์ข้อมูลส่วนบุคคลออกไป แม้ว่าในจดหมายแจ้งเตือนไม่ได้ระบุประเภทของข้อมูลที่ถูกเปิดเผยอย่างชัดเจน
Legends International เป็นบริษัทระดับโลกที่ให้บริการด้านกีฬา และความบันเทิง โดยครอบคลุมบริการวางแผนสถานที่, การขาย, การสร้างพันธมิตรทางธุรกิจ, การบริการลูกค้า, สินค้าที่ระลึก และโซลูชันด้านเทคโนโลยี โดยมีรายได้ต่อปีมากกว่า 1.1 พันล้านดอลลาร์สหรัฐ
บริษัทฯ บริหารจัดการสถานที่มากกว่า 350 แห่งใน 5 ทวีป รวมถึงสนาม SoFi Stadium ในลอสแอนเจลิส, One World Observatory ในนิวยอร์ก, AT&T Stadium ในรัฐเท็กซัส, สนามกีฬา Santiago Bernabeu และ Camp Nou ในประเทศสเปน รวมถึงสนาม Anfield และ OVO Arena Wembley ในสหราชอาณาจักร
เมื่อไม่นานมานี้ บริษัทได้ขยายการดำเนินงานเพิ่มเติมโดยการเข้าซื้อกิจการ ASM Global ซึ่งเป็นบริษัทบริหารจัดการสถานที่ชั้นนำที่มีเครือข่ายทั่วโลก
ขอบเขตของเหตุการณ์ข้อมูลรั่วไหล และจำนวนบุคคลที่ได้รับผลกระทบยังไม่เป็นที่แน่ชัด อย่างไรก็ตาม เมื่อพิจารณาจากขนาดการดำเนินงานของบริษัท และข้อมูลที่มีความสำคัญจำนวนมากที่บริษัทจัดการ จึงมีเหตุผลที่น่ากังวล
BleepingComputer ได้ติดต่อบริษัทเพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ แต่ยังไม่ได้รับคำชี้แจงใด ๆ ในทันที
ในจดหมายที่ส่งถึงผู้ที่ได้รับผลกระทบ Legends International ระบุว่า บริษัทมีมาตรการด้านความปลอดภัยอยู่แล้วก่อนเกิดเหตุ และได้เพิ่มมาตรการเพิ่มเติมเมื่อมีการกู้คืนระบบจากการโจมตีทางไซเบอร์ อย่างไรก็ตาม ไม่มีการเปิดเผยรายละเอียดที่ชัดเจนของมาตรการเหล่านั้น
ผู้ที่ได้รับจดหมายจะได้รับสิทธิ์ในการใช้บริการตรวจจับการโจรกรรมข้อมูลระบุตัวตนจาก Experian เป็นระยะเวลา 24 เดือน โดยสามารถลงทะเบียนได้ถึงวันที่ 31 กรกฎาคม 2025
Legends International ระบุในจดหมายว่า ขณะนี้ยังไม่พบหลักฐานว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ในทางที่ผิดจากเหตุการณ์ครั้งนี้ แต่ก็แนะนำให้ทุกคนเพิ่มความระมัดระวัง
ณ เวลานี้ ยังไม่มีกลุ่มแรนซัมแวร์ใดออกมาแสดงความรับผิดชอบต่อการโจมตี Legends International ดังนั้นลักษณะของการโจมตี และผู้ก่อเหตุยังคงไม่ทราบแน่ชัด
ที่มา : bleepingcomputer
MITRE แจ้งเตือนว่าเงินทุนสนับสนุนสำหรับโครงการ CVE Program จะสิ้นสุดในวันที่ 16 เมษายน 2025
Yosry Barsoum รองประธาน MITRE ออกมาเตือนว่าเงินทุนของรัฐบาลสหรัฐฯ สำหรับโครงการ Common Vulnerabilities and Exposures (CVE) และ Common Weakness Enumeration (CWE) จะสิ้นสุดลงในวันที่ 16 เมษายน 2025 ซึ่งอาจส่งผลกระทบต่ออุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์ทั่วโลก (more…)
แพตช์ที่ไม่สมบูรณ์ใน NVIDIA Toolkit ทำให้เกิดช่องโหว่ CVE-2024-0132 Container Escapes
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงการแก้ไขช่องโหว่ที่ไม่สมบูรณ์ สำหรับช่องโหว่ด้านความปลอดภัยที่เคยได้รับการแก้ไขไปแล้วใน NVIDIA Container Toolkit ซึ่งหากช่องโหว่นี้ถูกโจมตีสำเร็จ อาจทำให้ข้อมูลสำคัญตกอยู่ในความเสี่ยง
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-0132 (คะแนน CVSS: 9.0) ซึ่งเป็นช่องโหว่ประเภท Time-of-Check Time-of-Use (TOCTOU) ที่สามารถนำไปสู่การโจมตีแบบ container escape และสามารถทำผู้โจมตีสามารถเข้าถึงระบบโฮสต์โดยไม่ได้รับอนุญาต
แม้ว่าช่องโหว่นี้จะได้รับการแก้ไขจาก NVIDIA ในเดือนกันยายน 2024 แต่การวิเคราะห์ล่าสุดโดย Trend Micro ได้เปิดเผยว่าแพตช์ที่ออกมายังไม่สมบูรณ์ และยังพบช่องโหว่ด้านประสิทธิภาพที่เกี่ยวข้อง ซึ่งส่งผลกระทบต่อ Docker บนระบบปฏิบัติการ Linux และอาจนำไปสู่สถานการณ์ Denial-of-service (DoS) ได้
นักวิจัยจาก Trend Micro, Abdelrahman Esmail ระบุในรายงานใหม่ที่เผยแพร่ในวันนี้ว่า "ปัญหาดังกล่าวอาจทำให้ผู้โจมตีสามารถ escape container เพื่อเข้าถึงทรัพยากรสำคัญบนโฮสต์ และทำให้เกิดการหยุดชะงักในการดำเนินงานได้"
การที่ช่องโหว่ TOCTOU ยังคงมีอยู่หมายความว่า container ที่ได้รับการสร้างขึ้นอย่างเฉพาะเจาะจง สามารถถูกใช้เพื่อเข้าถึง file system {}ของโฮสต์ และดำเนินการคำสั่งต่าง ๆ ด้วยสิทธิ์ของผู้ดูแลระบบ (root) ช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชัน 1.17.4 หากฟีเจอร์ allow-cuda-compat-libs-from-container ถูกเปิดใช้งานเท่านั้น
Trend Micro ระบุว่า "ช่องโหว่เฉพาะนี้พบในฟังก์ชัน mount_files ซึ่งปัญหาเกิดจากการขาดกลไกการ locking ที่เหมาะสมในระหว่างดำเนินการกับอ็อบเจ็กต์ ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อยกระดับสิทธิ์ และรันโค้ดตามต้องการภายใต้บริบทของโฮสต์"
อย่างไรก็ตาม การยกระดับสิทธิ์ผ่านช่องโหว่นี้จะสามารถเกิดขึ้นได้ ก็ต่อเมื่อผู้โจมตีมีความสามารถในการรันโค้ดภายในคอนเทนเนอร์อยู่ก่อนแล้ว
ช่องโหว่นี้มีหมายเลข CVE-2025-23359 (คะแนน CVSS: 9.0) ซึ่งก่อนหน้านี้บริษัทด้านความปลอดภัยบนคลาวด์ Wiz ได้แจ้งเตือนว่า ช่องโหว่นี้ยังสามารถใช้เพื่อ bypass การป้องกันของช่องโหว่ CVE-2024-0132 ได้อีกด้วย โดยรายงานดังกล่าวถูกเปิดเผยเมื่อเดือนกุมภาพันธ์ 2025 โดยช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชัน 1.17.4
บริษัทด้านความปลอดภัยทางไซเบอร์ระบุว่า ระหว่างการวิเคราะห์ช่องโหว่ CVE-2024-0132 ได้ตรวจพบปัญหาด้านประสิทธิภาพเพิ่มเติม ซึ่งอาจนำไปสู่ช่องโหว่ DoS บนเครื่องโฮสต์ โดยช่องโหว่นี้มีผลกระทบต่อ Docker ที่ใช้งานบนระบบปฏิบัติการ Linux
Esmail อธิบายว่า เมื่อมีการสร้าง container ใหม่พร้อมกำหนดค่าเมาท์หลายรายการที่กำหนดค่าโดยใช้ (bind-propagation=shared) จะมีการสร้างเส้นทาง parent/child หลายรายการ อย่างไรก็ตาม เมื่อ container ถูก terminate รายการเหล่านี้จะไม่ถูกลบออกจาก Linux mount table
ผลลัพธ์คือ mount table จะขยายตัวอย่างรวดเร็ว และไม่สามารถควบคุมได้ ส่งผลให้ทรัพยากร file descriptors (fd) ถูกใช้งานจนหมด ซึ่งนำไปสู่ปัญหาที่ Docker ไม่สามารถสร้าง container ใหม่ได้ นอกจากนี้ mount table ที่มีขนาดใหญ่อย่างมาก ยังส่งผลกระทบต่อประสิทธิภาพของระบบ และอาจทำให้ผู้ใช้ไม่สามารถเชื่อมต่อกับเครื่องโฮสต์ได้ เช่น ผ่าน SSH
เพื่อลดปัญหาดังกล่าว มีคำแนะนำให้ดำเนินมาตรการต่าง ๆ ได้แก่ การตรวจสอบ mount table ของ Linux อย่างสม่ำเสมอเพื่อหาการเพิ่มขึ้นที่ผิดปกติ, จำกัดการเข้าถึง Docker API เฉพาะบุคคลที่ได้รับอนุญาต, บังคับใช้นโยบายควบคุมการเข้าถึงที่เข้มงวด, ดำเนินการตรวจสอบการเชื่อมโยงระหว่างไฟล์ระบบของคอนเทนเนอร์กับโฮสต์, volume mounts และ socket connections
ที่มา : thehackernews
Microsoft Defender เตรียมแยก undiscovered endpoints ออกจากเครือข่ายเพื่อป้องกันการโจมตี
Microsoft กำลังทดสอบฟีเจอร์ใหม่ใน Defender for Endpoint ที่สามารถบล็อกการรับส่งข้อมูลระหว่าง undiscovered endpoints เพื่อป้องกันไม่ให้ผู้โจมตีสามารถโจมตีต่อไปภายในเครือข่ายได้
(more…)
Palo Alto Networks ออกคำเตือนเกี่ยวกับความพยายามโจมตีแบบ Brute-Force ที่กำลังมุ่งเป้าไปยัง GlobalProtect Gateways บน PAN-OS
Palo Alto Networks เปิดเผยว่า ขณะนี้บริษัทกำลังเฝ้าติดตามความพยายามเข้าสู่ระบบด้วยวิธี brute-force ที่มุ่งเป้าไปยัง GlobalProtect gateways บน PAN-OS ซึ่งเกิดขึ้นเพียงไม่กี่วันหลังจากนักวิเคราะห์ด้านภัยคุกคามออกมาเตือนถึงแนวโน้มของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ และมีเป้าหมายไปที่อุปกรณ์ของบริษัทอย่างต่อเนื่อง
โฆษกของ Palo Alto Networks ให้ข้อมูลกับ The Hacker News ว่า ทีมงานตรวจพบพฤติกรรมที่เข้าข่ายการโจมตีด้วยรหัสผ่าน เช่น การพยายามเข้าสู่ระบบแบบ brute-force แต่ยังไม่พบหลักฐานว่ามีการเจาะระบบผ่านช่องโหว่ใดโดยตรง โดยทางบริษัทกำลังติดตามสถานการณ์อย่างใกล้ชิด พร้อมวิเคราะห์พฤติกรรมที่เกี่ยวข้อง เพื่อประเมินผลกระทบที่อาจเกิดขึ้น และพิจารณาความจำเป็นในการใช้มาตรการป้องกันเพิ่มเติม
เหตุการณ์นี้เกิดขึ้นหลังจากบริษัท GreyNoise ซึ่งเชี่ยวชาญด้านข่าวกรองภัยคุกคาม ออกมาแจ้งเตือนถึงการเพิ่มขึ้นอย่างผิดปกติของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ โดยมุ่งเป้าไปยัง GlobalProtect portals บน PAN-OS
GreyNoise ระบุว่า การดำเนินการดังกล่าวเริ่มต้นเมื่อวันที่ 17 มีนาคม 2025 และพุ่งขึ้นถึงจุดสูงสุดด้วยจำนวน IP addresses ไม่ซ้ำกันกว่า 23,958 รายการ ก่อนที่แนวโน้มจะเริ่มลดลงในช่วงปลายเดือน รูปแบบของการดำเนินการนี้สะท้อนให้เห็นถึงความพยายามที่มีการประสานงานกันในการสำรวจระบบเครือข่าย เพื่อค้นหาระบบที่เปิดให้เข้าถึง หรือมีช่องโหว่ที่สามารถใช้โจมตีได้
การสแกนเพื่อพยายามเข้าสู่ระบบในครั้งนี้ มุ่งเป้าไปที่ระบบในสหรัฐอเมริกา, สหราชอาณาจักร, ไอร์แลนด์, รัสเซีย และสิงคโปร์เป็นหลัก
ปัจจุบันยังไม่สามารถยืนยันได้ว่าความพยายามเหล่านี้มีการแพร่กระจายไปในวงกว้างแค่ไหน หรือเกี่ยวข้องกับกลุ่มผู้ผู้โจมตีรายใดเป็นพิเศษ โดย The Hacker News ได้ติดต่อไปยัง Palo Alto Networks เพื่อขอความคิดเห็นเพิ่มเติม และจะมีการอัปเดตเนื้อหาเมื่อได้รับข้อมูลตอบกลับ
ในระหว่างนี้ บริษัทแนะนำให้ผู้ใช้งานตรวจสอบให้แน่ใจว่าระบบกำลังใช้ PAN-OS เวอร์ชันล่าสุด พร้อมทั้งดำเนินมาตรการเสริมเพื่อเพิ่มความปลอดภัย เช่น การบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA), การตั้งค่า GlobalProtect ให้รองรับการแจ้งเตือน MFA, การกำหนดนโยบายด้านความปลอดภัยเพื่อช่วยตรวจจับ และป้องกันการโจมตีแบบ brute-force, รวมถึงการจำกัดการเปิดให้สามารถเข้าถึงระบบจากอินเทอร์เน็ตเท่าที่จำเป็นเท่านั้น
ที่มา : thehackernews