ผู้ปล่อยข้อมูลที่ไม่ระบุชื่อได้เผยแพร่ข้อมูลที่พวกเขาอ้างว่าเป็นไฟล์บันทึกการสนทนาภายในของกลุ่มแรนซัมแวร์ Black Basta บนแพลตฟอร์ม Matrix

ExploitWhispers ซึ่งเป็นบุคคลที่เคยอัปโหลดข้อความการสนทนานี้ไปยังแพลตฟอร์มแชร์ไฟล์ MEGA (ซึ่งปัจจุบันถูกลบไปแล้ว) ได้อัปโหลดไฟล์ดังกล่าวไปยังช่อง Telegram ที่จัดทำขึ้นโดยเฉพาะ

ยังไม่ชัดเจนว่า ExploitWhispers เป็นนักวิจัยด้านความปลอดภัยที่สามารถเข้าถึงเซิร์ฟเวอร์แชทภายในของกลุ่มนี้ หรือเป็นสมาชิกที่ไม่พอใจ และตัดสินใจเปิดเผยข้อมูล

แม้ว่าพวกเขาจะไม่ได้เปิดเผยเหตุผลเบื้องหลังการกระทำนี้ แต่บริษัทผู้เชี่ยวชาญด้านภัยคุกคามทางไซเบอร์ PRODAFT ระบุว่า การรั่วไหลของข้อมูลอาจเกิดขึ้นจากการที่กลุ่มแรนซัมแวร์ดังกล่าวโจมตีธนาคารในรัสเซีย

PRODAFT ระบุว่า "จากการติดตามของเราอย่างต่อเนื่องพบว่า BLACKBASTA (Vengeful Mantis) ไม่ค่อยมีความเคลื่อนไหวมาตั้งแต่ต้นปีเนื่องจากความขัดแย้งภายใน สมาชิกบางรายของกลุ่มได้โกงเหยื่อโดยรับเงินค่าไถ่แต่ไม่ให้เครื่องมือถอดรหัสที่ใช้งานได้"

"เมื่อวันที่ 11 กุมภาพันธ์ 2025 มีการรั่วไหลครั้งใหญ่ของบันทึกแชทภายใน Matrix ของ BLACKBASTA โดยผู้ที่ปล่อยข้อมูลอ้างว่าทำเช่นนี้เพราะกลุ่มกำลังโจมตีธนาคารรัสเซีย การรั่วไหลนี้คล้ายคลึงกับกรณีของ Conti ก่อนหน้านี้"

ไฟล์ที่รั่วไหลประกอบด้วยข้อความที่ถูกสนทนาในห้องแชทภายในของ Black Basta ระหว่างวันที่ 18 กันยายน 2023 ถึง 28 กันยายน 2024

BleepingComputer ได้ทำการวิเคราะห์ข้อความ พบว่ามีข้อมูลที่หลากหลาย รวมถึงเทมเพลตฟิชชิ่ง และรายชื่ออีเมลที่เป็นเป้าหมาย, ที่อยู่สกุลเงินดิจิตัล, ข้อมูลที่ถูกขโมย, ข้อมูล Credential ของเหยื่อ และการยืนยันกลยุทธ์ที่เคยมีรายงานมาก่อนหน้านี้

บทสนทนาที่รั่วไหลยังมีลิงก์ ZoomInfo จำนวน 367 ลิงก์ ซึ่งระบุถึงจำนวนบริษัทที่อาจตกเป็นเป้าหมายในช่วงเวลาดังกล่าว กลุ่มแรนซัมแวร์มักใช้เว็บไซต์ ZoomInfo เพื่อแบ่งปันข้อมูลเกี่ยวกับบริษัทเป้าหมาย ทั้งภายในกลุ่ม หรือกับเหยื่อระหว่างการเจรจา

ExploitWhispers ยังเปิดเผยข้อมูลเกี่ยวกับสมาชิกบางคนของกลุ่มแรนซัมแวร์ Black Basta รวมถึง Lapa (หนึ่งในผู้ดูแลระบบของกลุ่ม), Cortes (ผู้ที่เชื่อมโยงกับกลุ่ม Qakbot), YY (ผู้ดูแลระบบหลักของ Black Basta) และ Trump (หรือที่รู้จักในชื่อ GG และ AA) ซึ่งเชื่อว่าเป็น Oleg Nefedovaka หัวหน้าของกลุ่ม

Black Basta คือใคร?

Black Basta เป็นกลุ่มแรนซัมแวร์ในรูปแบบ Ransomware-as-a-Service (RaaS) ที่ปรากฏตัวครั้งแรกในเดือนเมษายน 2022 และได้โจมตีองค์กรสำคัญทั่วโลก รวมถึงบริษัทด้านการดูแลสุขภาพ และผู้รับเหมาภาครัฐ

เหยื่อบางรายของพวกเขา ประกอบด้วยบริษัทผู้รับเหมาด้านกลาโหมของเยอรมนี Rheinmetall, ฝ่ายยุโรปของ Hyundai, BT Group (เดิมคือ British Telecom), บริษัทด้านสุขภาพขนาดใหญ่ของสหรัฐฯ Ascension, ผู้รับเหมาภาครัฐ ABB, สมาคมทันตกรรมอเมริกัน, บริษัทเอาต์ซอร์สเทคโนโลยีของสหราชอาณาจักร Capita, ห้องสมุดสาธารณะโตรอนโต และ Yellow Pages Canada

ตามรายงานร่วมของ CISA และ FBI ที่เผยแพร่เมื่อเดือนพฤษภาคมที่ผ่านมา Black Basta และพันธมิตรได้เจาะระบบขององค์กรมากกว่า 500 แห่งระหว่างเดือนเมษายน 2022 ถึงพฤษภาคม 2024

จากการวิจัยร่วมกันระหว่าง Corvus Insurance และ Elliptic พบว่ากลุ่มแรนซัมแวร์นี้ได้รับเงินค่าไถ่รวมประมาณ 100 ล้านดอลลาร์จากเหยื่อกว่า 90 รายจนถึงเดือนพฤศจิกายน 2023

ในเดือนกุมภาพันธ์ 2022 นักวิจัยด้านความปลอดภัยชาวยูเครนได้เปิดเผยบทสนทนาภายในกว่า 170,000 รายการ และซอร์สโค้ดของตัวเข้ารหัสแรนซัมแวร์ Conti ทางออนไลน์ หลังจากกลุ่มอาชญากรรมไซเบอร์ Conti ซึ่งมีฐานในรัสเซียแสดงจุดยืนสนับสนุนรัสเซียหลังการรุกรานยูเครน

ที่มา : Bleepingcomputer

 

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่มีระดับความรุนแรงสูง (CVE-2025-21420) ในเครื่องมือ Windows Disk Cleanup ของ Windows (cleanmgr.

Symantec ซึ่งเป็นบริษัทในเครือของ Broadcom ได้ออกแพตซ์อัปเดตด้านความปลอดภัยที่สำคัญ เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงที่พบในเครื่องมือ Diagnostic ของ Symantec (SymDiag)

ช่องโหว่นี้มีหมายเลข CVE-2025-0893 ซึ่งสามารถทำให้เกิดการยกระดับสิทธิ์ได้โดยไม่ได้รับอนุญาต ซึ่งเป็นความเสี่ยงด้านความปลอดภัยที่สำคัญ

ช่องโหว่นี้ส่งผลกระทบกับระบบที่ใช้ SymDiag ร่วมกับ WSS Agent โดยเฉพาะ ซึ่งไม่มีผลกระทบต่อชุดผลิตภัณฑ์อื่น ๆ

CVE-2025-0893: รายละเอียด และผลกระทบ

ช่องโหว่นี้ที่ได้รับคะแนน CVSS 7.8 (ความรุนแรงระดับสูง) โดยทำให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากซอฟต์แวร์ เพื่อเข้าถึงทรัพยากรที่สำคัญ ซึ่งโดยทั่วไปแล้วจะได้รับการป้องกันจากผู้ใช้งาน หรือแอปพลิเคชันที่ไม่ได้รับอนุญาต

ช่องโหว่นี้เกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมของ SymDiag เวอร์ชันก่อน 3.0.79

หากช่องโหว่นี้ถูกโจมตีได้สำเร็จ อาจส่งผลกระทบต่อข้อมูลที่เป็นความลับ, ความสมบูรณ์ของ{}ข้อมูล และความพร้อมใช้งานของข้อมูล ซึ่งอาจนำไปสู่ผลกระทบร้ายแรงต่อระบบที่ได้รับผลกระทบ

The National Vulnerability Database (NVD) จัดประเภท CVE-2025-0893 เป็นช่องโหว่การยกระดับสิทธิ์ โดยมีพารามิเตอร์ทางเทคนิคดังนี้

ระดับความรุนแรง/CVSSv3 : ระดับความรุนแรงสูง / 7.8 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
ผลกระทบ : การยกระดับสิทธิ์โดยไม่ได้รับอนุญาต

Symantec ได้ดำเนินการอย่างรวดเร็วเพื่อแก้ไขปัญหานี้ โดยได้ออกแพตซ์อัปเดตเวอร์ชัน SymDiag 3.0.79 ซึ่งจะถูกดาวน์โหลดโดยอัตโนมัติเมื่อเปิดใช้งานบนระบบที่ได้รับผลกระทบ

เวอร์ชันเก่าของเครื่องมือได้ถูกลบออกจาก agents ที่ได้รับผลกระทบทั้งหมดแล้ว ซึ่งทำให้ผู้ใช้งาน หรือผู้ดูแลระบบไม่จำเป็นต้องดำเนินการใด ๆ ด้วยตนเอง

เพื่อช่วยลดความเสี่ยงจากการถูกโจมตีเพิ่มเติม Symantec แนะนำให้ผู้ใช้งานปฏิบัติตามแนวทางการปฏิบัติดังต่อไปนี้

จำกัดการเข้าถึงระบบ management ให้เฉพาะผู้ที่มีสิทธิ์
จำกัดการเข้าถึงจากระยะไกลเฉพาะระบบที่ได้รับการอนุญาต
ใช้หลักการสิทธิ์ขั้นต่ำ (Least Privilege) เพื่อป้องกันความเสี่ยง
อัปเดตระบบ และแอปพลิเคชันเป็นประจำ
ใช้การป้องกันแบบ multi-layered เช่น ไฟร์วอลล์ และโปรแกรมป้องกันมัลแวร์
ติดตั้งระบบตรวจจับการบุกรุก เพื่อตรวจจับพฤติกรรมที่ผิดปกติ

มาตรการเหล่านี้สามารถช่วยให้องค์กรเสริมการป้องกันจากการโจมตีที่อาจใช้ประโยชน์จากช่องโหว่ CVE-2025-0893 หรือช่องโหว่อื่น ๆ ที่ยังไม่ถูกค้นพบ

การอัปเดตนี้แสดงให้เห็นถึงความสำคัญของการอัปเดตซอฟต์แวร์ และการปฏิบัติตามแนวทางการรักษาความปลอดภัยที่เข้มงวด

องค์กรที่ใช้เครื่องมือ Diagnostic ของ Symantec ร่วมกับ WSS Agent ควรตรวจสอบให้แน่ใจว่ากำลังใช้เวอร์ชัน SymDiag 3.0.79 หรือเวอร์ชันที่ใหม่กว่า เพื่อป้องกันช่องโหว่ที่มีระดับความรุนแรงสูงนี้

ที่มา : gbhackers.

วิธีการซ่อน JavaScript รูปแบบใหม่ที่ใช้ตัวอักษร Unicode ที่มองไม่เห็นในการแทนค่าข้อมูลไบนารี กำลังถูกนำมาใช้ในการโจมตีแบบฟิชชิ่งที่มุ่งเป้าไปยัง Political Action Committee (PAC) ของสหรัฐอเมริกา

(more…)

แคมเปญการโจมตีจากผู้โจมตีที่มีความเชื่อมโยงกับประเทศรัสเซีย กำลังมุ่งเป้าไปที่บัญชี Microsoft 365 ของบุคคลในองค์กรที่เป็นเป้าหมาย โดยใช้เทคนิคการฟิชชิ่งผ่านรหัสอุปกรณ์

เป้าหมายของการโจมตีอยู่ในภาคส่วนรัฐบาล, องค์กรไม่แสวงหากำไร, บริการด้านไอที และเทคโนโลยี, กระทรวงกลาโหม, โทรคมนาคม, สุขภาพ และพลังงาน/น้ำมัน และก๊าซ ในยุโรป อเมริกาเหนือ แอฟริกา และตะวันออกกลาง

Microsoft Threat Intelligence Center กำลังติดตามกลุ่มผู้โจมตีที่อยู่เบื้องหลังแคมเปญการโจมตีผ่านรหัสอุปกรณ์ภายใต้ชื่อ 'Storm-237' โดยอ้างอิงจากเป้าหมาย วิธีการโจมตี และแนวทางของกลุ่ม นักวิจัยมีความมั่นใจในระดับปานกลางว่าการดำเนินการนี้เกี่ยวข้องกับปฏิบัติการของรัฐที่สอดคล้องกับผลประโยชน์ของรัสเซีย

การโจมตีฟิชชิ่งผ่านรหัสอุปกรณ์

อุปกรณ์ที่จำกัดอินพุต - อุปกรณ์ที่ไม่รองรับแป้นพิมพ์ หรือเบราว์เซอร์ เช่น สมาร์ททีวี และอุปกรณ์ IoT บางประเภท จะต้องอาศัยการตรวจสอบสิทธิ์ด้วยรหัสเพื่อให้ผู้ใช้งานลงชื่อเข้าใช้แอปพลิเคชันได้โดยการพิมพ์รหัสอนุญาตบนอุปกรณ์แยกต่างหาก เช่น สมาร์ทโฟน หรือคอมพิวเตอร์

นักวิจัยของ Microsoft ค้นพบว่า ตั้งแต่เดือนสิงหาคมปีที่แล้ว กลุ่มผู้โจมตี Storm-2372 ได้ใช้ช่องทางการยืนยันตัวตนนี้ในการโจมตี โดยหลอกให้เหยื่อกรอกรหัสอุปกรณ์ที่สร้างขึ้นโดยผู้โจมตีลงในหน้าลงชื่อเข้าใช้ที่ถูกต้อง

กลุ่มผู้โจมตีจะเริ่มต้นการโจมตีโดยสร้างการเชื่อมต่อกับเป้าหมายผ่านแพลตฟอร์มการส่งข้อความ เช่น WhatsApp, Signal และ Microsoft Teams โดยแอบอ้างเป็นบุคคลสำคัญที่เกี่ยวข้องกับเป้าหมาย

ผู้โจมตีจะค่อย ๆ สร้างความน่าเชื่อถือ ก่อนที่จะส่ง Link ประชุมออนไลน์ปลอมผ่านอีเมลหรือข้อความ

ตามที่นักวิจัยระบุ เหยื่อจะได้รับคำเชิญเข้าร่วมประชุมผ่าน Microsoft Teams ซึ่งภายในมีรหัสอุปกรณ์ที่สร้างขึ้นโดยผู้โจมตี

Microsoft ระบุว่า "คำเชิญเหล่านี้หลอกให้เหยื่อดำเนินการยืนยันตัวตนผ่านรหัสอุปกรณ์ โดยเลียนแบบบริการส่งข้อความ ซึ่งช่วยให้กลุ่ม Storm-2372 สามารถเข้าถึงบัญชีของเหยื่อในเบื้องต้น และดำเนินการรวบรวมข้อมูลผ่าน Graph API เช่น การดึงข้อมูลอีเมล"

วิธีนี้ช่วยให้ผู้โจมตีสามารถเข้าถึงบริการของ Microsoft เช่น อีเมล และพื้นที่จัดเก็บข้อมูลบนคลาวด์ของเหยื่อได้ โดยไม่ต้องใช้รหัสผ่าน ตราบใดที่โทเค็นที่ถูกขโมยมายังคงมีผลใช้งานอยู่

อย่างไรก็ตาม Microsoft ระบุว่า ขณะนี้ผู้โจมตีกำลังใช้ Client ID เฉพาะของ Microsoft Authentication Broker ในกระบวนการลงชื่อเข้าใช้ด้วยรหัสอุปกรณ์ ซึ่งจะช่วยให้พวกเขาสามารถสร้างโทเค็นใหม่ได้

วิธีการนี้เปิดโอกาสให้เกิดการโจมตีรูปแบบใหม่ และการแฝงตัวอยู่ในระบบ เนื่องจากผู้โจมตีสามารถใช้ Client ID ดังกล่าวเพื่อลงทะเบียนอุปกรณ์กับ Entra ID ซึ่งเป็นโซลูชันจัดการตัวตน และการเข้าถึงบนคลาวด์ของ Microsoft

Microsoft ระบุว่า "เมื่อมีโทเค็นเดียวกัน และอุปกรณ์ที่ลงทะเบียนใหม่ Storm-2372 สามารถขอรับ Primary Refresh Token (PRT) และเข้าถึงทรัพยากรขององค์กรได้ โดยพบว่า Storm-2372 ใช้อุปกรณ์ที่เชื่อมต่อนี้ในการรวบรวมอีเมลของเหยื่อ"

การป้องกันภัยคุกคามจาก Storm-2372

เพื่อป้องกันการโจมตีฟิชชิ่งด้วยรหัสอุปกรณ์ที่ใช้โดย Storm-2372 Microsoft เสนอให้ปิดใช้งานการลงชื่อเข้าใช้ด้วยรหัสอุปกรณ์หากทำได้ และบังคับใช้นโยบายการเข้าถึงใน Microsoft Entra ID เพื่อจำกัดการใช้งานเฉพาะกับอุปกรณ์ หรือเครือข่ายที่เชื่อถือได้เท่านั้น

หากสงสัยว่ามีการฟิชชิ่งโดยใช้รหัสอุปกรณ์ ให้ revoke โทเค็นของผู้ใช้ทันทีโดยใช้ 'revokeSignInSessions' และกำหนดนโยบายการเข้าถึงเพื่อบังคับให้มีการตรวจสอบสิทธิ์ใหม่อีกครั้งสำหรับผู้ใช้งานที่อาจจะถูกโจมตี

สุดท้ายนี้ ควรใช้ sign-in logs ของ Microsoft Entra ID เพื่อตรวจสอบ และระบุความพยายามในการยืนยันตัวตนจำนวนมากในช่วงเวลาสั้น ๆ , การเข้าสู่ระบบด้วยรหัสอุปกรณ์จาก IP ที่ไม่รู้จัก และการแจ้งเตือนที่ผิดปกติสำหรับการยืนยันตัวตนด้วยรหัสอุปกรณ์ที่ส่งไปยังผู้ใช้หลายราย

ที่มา : bleepingcomputer.

Google และ Mozilla ประกาศออกแพตช์อัปเดตด้านความปลอดภัยใหม่สำหรับ Chrome เวอร์ชัน 133 และ Firefox เวอร์ชัน 135 ในวันอังคารที่ 18 กุมภาพันธ์ 2025 ที่ผ่านมา เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูง ซึ่งเกี่ยวข้องกับปัญหาด้านความปลอดภัยของหน่วยความจำใน Browser

การอัปเดต Chrome ล่าสุดอยู่ระหว่างดำเนินการบน Windows, macOS, และ Linux พร้อมแพตช์สำหรับช่องโหว่ระดับความรุนแรงสูงสองรายการ และระดับความรุนแรงปานกลางหนึ่งรายการ ซึ่งทั้งหมดถูกรายงานจากนักวิจัยภายนอกองค์กร

รายการแรกคือ CVE-2025-0999 ซึ่งเป็นช่องโหว่ Heap buffer overflow ใน JavaScript Engine V8 ที่อาจถูกใช้เพื่อดำเนินการรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution - RCE) โดยทาง Google ระบุว่า ได้มอบรางวัลสำหรับผู้ที่ค้นพบช่องโหว่ (Bug Bounty Reward) ซึ่งมีมูลค่ากว่า 11,000 ดอลลาร์สำหรับช่องโหว่นี้

โดยช่องโหว่ด้านความปลอดภัยรายการที่สอง ซึ่งมีหมายเลข CVE-2025-1426 เป็นช่องโหว่ Heap buffer overflow ใน GPU component ของ Chrome โดยขณะนี้ Google ยังไม่ได้กำหนดจำนวนเงินรางวัลสำหรับช่องโหว่นี้

การอัปเดตล่าสุดของ Chrome รวมถึงการแก้ไขช่องโหว่ use-after-free ระดับความรุนแรงปานกลางใน Network component ซึ่ง Google ได้มอบรางวัลสำหรับผู้ที่ค้นพบช่องโหว่ ซึ่งมีมูลค่ากว่า 4,000 ดอลลาร์สำหรับช่องโหว่นี้

Google ปฏิเสธในส่วนของการเปิดเผยข้อมูล รวมถึงรายละเอียดเชิงลึกของช่องโหว่ดังกล่าว และไม่ได้มีการระบุถึงเหตุการณ์ที่ช่องโหว่เหล่านี้ถูกนำไปใช้งาน ซึ่งเป็นไปตามปกติของโครงการฯ (Bug Bounty Programme)

Chrome เวอร์ชันล่าสุดที่อยู่ระหว่างอัปเดตคือเวอร์ชัน 133.0.6943.126/.127 สำหรับ Windows และ macOS รวมถึงเวอร์ชัน 133.0.6943.126 สำหรับ Linux

ในวันอังคารที่ 18 กุมภาพันธ์ 2025 Mozilla ประกาศแพตซ์อัปเดต Firefox เวอร์ชัน 135.0.1 พร้อมการแก้ไขช่องโหว่ด้านความปลอดภัยของหน่วยความจำที่มีระดับความรุนแรงสูง ซึ่งมีหมายเลข CVE-2025-1414 โดยมีการแจ้งเตือนเพิ่มเติมว่าช่องโหว่ดังกล่าวอาจนำไปสู่การดำเนินการรันโค้ดที่เป็นอันตราย (Code Execution) ได้

Mozilla ระบุว่า “มีช่องโหว่ด้านความปลอดภัยของหน่วยความจำ ใน Firefox เวอร์ชัน 135 โดยที่บางช่องโหว่เหล่านี้ส่งผลให้เกิดความเสียหายในหน่วยความจำ (Memory Corruption) และทางบริษัทเชื่อว่า หากผู้ไม่หวังดีมีความพยายามเพียงพอ ช่องโหว่บางรายการเหล่านี้อาจถูกนำไปใช้เพื่อรันโค้ดที่เป็นอันตรายตามที่แฮ็กเกอร์ต้องการได้”

คำแนะนำ ผู้ใช้งานควรอัปเดต Browser Chrome และ Firefox ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

ที่มา : securityweek.

Insight Partners บริษัทด้านการลงทุนจากทุนร่วม และทุนเอกชนที่ตั้งอยู่ในนิวยอร์ก เปิดเผยว่าระบบของพวกเขาถูกโจมตีในเดือนมกราคม 2025 ภายหลังจากการโจมตีทางไซเบอร์แบบ Social Engineering

(more…)

WinRAR 7.10 เปิดตัวเมื่อวานนี้พร้อมด้วยฟีเจอร์มากมาย เช่น การรองรับหน่วยความจำขนาดใหญ่ขึ้น, Dark Mode และความสามารถในการปรับแต่ง Mark-of-the-Web flags (MoTW) ของ Windows เมื่อทำการ extracted ไฟล์

(more…)

Juniper Networks ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อผลิตภัณฑ์ Session Smart Router, Session Smart Conductor และ WAN Assurance Router ซึ่งอาจถูกนำไปใช้ในการโจมตีเพื่อเข้าควบคุมอุปกรณ์ที่มีช่องโหว่ได้

(more…)

OpenSSH ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ 2 รายการ ได้แก่ ช่องโหว่แบบ Man-in-The-Middle (MitM) และช่องโหว่ Denial of Service(DoS) โดยหนึ่งในช่องโหว่นี้เพิ่งถูกค้นพบหลังจากมีการใช้งานมานาน โดย Qualys เป็นผู้ค้นพบช่องโหว่ทั้ง 2 รายการ และสาธิตวิธีการโจมตีให้แก่ผู้ดูแลระบบ OpenSSH รับทราบ

OpenSSH (Open Secure Shell) เป็นการนำ SSH (Secure Shell) protocol มาใช้งานแบบ open-source ซึ่งให้การเชื่อมต่อแบบเข้ารหัสสำหรับการเข้าถึงจากระยะไกลอย่างปลอดภัย, การถ่ายโอนไฟล์ และการสร้าง tunneling ผ่านเครือข่ายที่ไม่น่าเชื่อถือ โดยเป็นหนึ่งในเครื่องมือที่ใช้กันอย่างแพร่หลายมากที่สุดในโลก และมีการนำไปใช้อย่างแพร่หลายในระบบ Linux และ Unix (BSD, macOS) ในสภาพแวดล้อมระดับองค์กร, IT, DevOps, cloud computing และ cybersecurity applications

ช่องโหว่ทั้ง 2 รายการ

CVE-2025-26465 (คะแนน CVSS 6.8/10 ความรุนแรงระดับ Medium) เป็นช่องโหว่ Man-in-The-Middle (MitM) ที่พบใน OpenSSH 6.8p1 ซึ่งเปิดตัวในปี 2014 โดยช่องโหว่นี้ไม่เคยถูกค้นพบมาเป็นเวลากว่าหนึ่งทศวรรษ

โดยช่องโหว่ส่งผลกระทบต่อ OpenSSH clients เมื่อเปิดใช้งาน 'VerifyHostKeyDNS' option ซึ่งทำให้สามารถโจมตีแบบ MitM ได้ โดยไม่สนใจว่า VerifyHostKeyDNS option จะถูกตั้งค่าเป็น "yes" หรือ "ask" (ค่าเริ่มต้นคือ "no"), ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ และไม่ขึ้นอยู่กับการมี SSHFP resource record (an SSH fingerprint) ใน DNS

เมื่อมีการเปิดใช้งาน VerifyHostKeyDNS และเนื่องจากการจัดการ error ที่ไม่เหมาะสม Hacker สามารถหลอก clients ให้ยอมรับ server key ปลอม ด้วยการทำให้เกิด out-of-memory error ระหว่างการตรวจสอบได้

ด้วยการดักจับการเชื่อมต่อ SSH และการใช้ large SSH key ที่มี certificate extensions ที่มากเกินไป Hacker สามารถทำให้ memory ของฝั่งไคลเอนต์ถูกใช้งานจนหมด, สามารถ bypass การตรวจสอบโฮสต์, ยึดเซสชันเพื่อขโมยข้อมูล credentials, inject commands และขโมยข้อมูลออกไปได้

แม้ว่า 'VerifyHostKeyDNS' option จะถูกปิดใช้งานเป็นค่าเริ่มต้นใน OpenSSH แต่ option นี้ถูกเปิดใช้งานเป็นค่าเริ่มต้นบน FreeBSD มาตั้งแต่ปี 2013 ถึงปี 2023 ทำให้ระบบต่าง ๆ มากมายเสี่ยงต่อการโจมตีเหล่านี้

CVE-2025-26466 เป็นช่องโหว่ Denial of Service (DoS) ก่อนการยืนยันตัวตนใน OpenSSH 9.5p1 ซึ่งเปิดตัวในเดือนสิงหาคม 2023 เกิดจากการจัดสรรหน่วยความจำที่ไม่จำกัดในระหว่างการแลกเปลี่ยน key ส่งผลให้ไม่สามารถควบคุมการใช้งาน resource ได้

Hacker สามารถส่งข้อความ ping ขนาดเล็ก 16-byte ซ้ำ ๆ ได้ ซึ่งจะบังคับให้ OpenSSH บัฟเฟอร์ responses ขนาด 256-byte โดยไม่มีการจำกัด

ในระหว่างการแลกเปลี่ยน key ข้อมูลการ responses จะถูกเก็บไว้อย่างไม่มีกำหนดเวลา ส่งผลให้มีการใช้หน่วยความจำมากเกินไป และ CPU โอเวอร์โหลด ซึ่งอาจทำให้ระบบขัดข้องได้

ผลที่ตามมาจากการโจมตีช่องโหว่ CVE-2025-26466 อาจไม่รุนแรงเท่ากับช่องโหว่ CVE-2025-26465 แต่การโจมตีที่สามารถทำได้โดยไม่ต้องมีการยืนยันตัวตน และทำให้ระบบหยุดทำงาน ถือว่ามีความเสี่ยงที่สูงมาก

Security updates released

ทีมงาน OpenSSH ออกอัปเดตเวอร์ชัน 9.9p2 ซึ่งได้แก้ไขช่องโหว่ทั้ง 2 รายการ ดังนั้นจึงขอแนะนำให้ทำการอัปเดตเป็นเวอร์ชันดังกล่าวโดยเร็วที่สุด

นอกจากนี้ขอแนะนำให้ปิดใช้งาน VerifyHostKeyDNS เว้นแต่จำเป็นจริง ๆ และอาศัยการตรวจสอบ key fingerprint verification ด้วยตนเองเพื่อให้แน่ใจว่าการเชื่อมต่อ SSH นั้นมีความปลอดภัย

เกี่ยวกับปัญหา DoS ผู้ดูแลระบบควรบังคับใช้การจำกัดอัตราการเชื่อมต่ออย่างเข้มงวด และตรวจสอบการรับส่งข้อมูล SSH เพื่อดูรูปแบบที่ผิดปกติ เพื่อหยุดการโจมตีที่อาจเกิดขึ้นตั้งแต่เนิ่น ๆ

ที่มา : bleepingcomputer.