ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ Privilege Escalation ระดับ Critical (CVE-2025–8489) ใน King Addons for Elementor plugin สำหรับ WordPress ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับผู้ดูแลระบบได้ในระหว่างขั้นตอนการลงทะเบียน

การโจมตีเริ่มขึ้นตั้งแต่วันที่ 31 ตุลาคม ซึ่งเป็นเวลาเพียงหนึ่งวันหลังจากที่มีการเปิดเผยช่องโหว่ดังกล่าวสู่สาธารณะ ล่าสุด Wordfence ผู้ให้บริการด้านความปลอดภัยสำหรับเว็บไซต์ WordPress รายงานว่าได้บล็อกความพยายามในการโจมตีไปแล้วกว่า 48,400 ครั้ง

King Addons เป็นปลั๊กอินเสริมจาก third-party สำหรับใช้งานร่วมกับ Elementor ซึ่งเป็นปลั๊กอินสร้างหน้าเว็บไซต์แบบภาพยอดนิยมสำหรับเว็บไซต์ WordPress ปัจจุบัน King Addons ถูกใช้งานบนเว็บไซต์ประมาณ 10,000 แห่ง โดยทำหน้าที่เพิ่ม widgets templates และฟีเจอร์เสริมต่าง ๆ

CVE-2025–8489 นี้ถูกพบโดยนักวิจัย Peter Thaleikis โดยเป็นช่องโหว่ registration handler ของ plugin ซึ่งทำให้ผู้ที่ลงทะเบียนสามารถระบุ role ผู้ใช้บนเว็บไซต์ รวมถึง role ผู้ดูแลระบบได้ โดยที่ระบบไม่มีการตรวจสอบ หรือจำกัดสิทธิ์ใด ๆ

จากการตรวจสอบของ Wordfence พบว่าผู้โจมตีใช้วิธีส่ง Crafted Request ไปยังไฟล์ admin-ajax.

เบราว์เซอร์ที่ใช้ Chromium-based เช่น Chrome, Edge, และ Brave จัดการ extensions ที่ติดตั้งผ่านไฟล์ JSON preference ซึ่งจัดเก็บไว้ที่ %AppData%\Google\User Data\Default\Preferences (สำหรับเครื่องที่อยู่ในโดเมน) หรือ Secure Preferences (สำหรับระบบทั่วไป)

(more…)

พบผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ zero-day ในการติดตั้ง Sitecore รุ่นเก่าเพื่อติดตั้งมัลแวร์ WeepSteel reconnaissance (more…)

คณะกรรมาธิการการค้าของรัฐบาลกลางสหรัฐฯ (FTC) เตือนบริษัทเทคโนโลยีรายใหญ่ของสหรัฐฯ ไม่ให้ตอบสนองต่อแรงกดดันจากรัฐบาลต่างชาติ ที่อาจทำลายความปลอดภัยของข้อมูล, ละเมิดการเข้ารหัสข้อมูล หรือส่งเสริมการเซ็นเซอร์บนแพลตฟอร์มของตน (more…)

มีการพบว่ากลุ่ม APT ที่ใช้ภาษาจีน กำลังมุ่งเป้าการโจมตีไปยังหน่วยงานด้านโครงสร้างพื้นฐานเว็บในไต้หวัน โดยใช้เครื่องมือ Open-Source ที่ถูกปรับแต่งเพื่อสร้างการแฝงตัวระยะยาวในสภาพแวดล้อมของเหยื่อที่มีมูลค่าสูง (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแพ็กเกจอันตรายซึ่งถูกอัปโหลดขึ้นไปยัง Python Package Index (PyPI) repository ซึ่งทำหน้าที่เป็นเครื่องมือตรวจสอบ เพื่อยืนยันความถูกต้องของ email addresses ที่ถูกขโมยมาว่าสามารถใช้งานกับ API ของ TikTok และ Instagram ได้หรือไม่

ปัจจุบันแพ็กเกจทั้งสามรายการนี้ ไม่สามารถดาวน์โหลดได้บน PyPI แล้ว โดยชื่อของแพ็กเกจ Python มีดังต่อไปนี้ :

checker-SaGaF (ดาวน์โหลด 2,605 ครั้ง)
steinlurks (ดาวน์โหลด 1,049 ครั้ง)
sinnercore (ดาวน์โหลด 3,300 ครั้ง)

Olivia Brown นักวิจัยของ Socket ระบุว่า "แพ็กเกจ 'checker-SaGaF' จะทำหน้าที่ในการตรวจสอบว่าอีเมลนั้นมีการเชื่อมโยงกับบัญชีของ TikTok และ Instagram หรือไม่"

โดยเฉพาะ แพ็กเกจนี้ถูกออกแบบมาเพื่อส่ง HTTP POST request ไปยัง API การกู้คืนรหัสผ่านของ TikTok และการเข้าสู่ระบบของ Instagram เพื่อตรวจสอบว่าอีเมลที่กรอกเข้าไปนั้นถูกต้องหรือไม่ ซึ่งหมายความว่ามีบัญชีที่ผูกกับอีเมลดังกล่าวนั้นอยู่จริง

Brown ระบุว่า "เมื่อแฮ็กเกอร์ได้ข้อมูลอีเมลมาแล้ว พวกเขาสามารถข่มขู่เหยื่อด้วยการเปิดเผยข้อมูลส่วนตัว หรือส่งสแปมโจมตีด้วย fake report เพื่อทำให้บัญชีถูกระงับ หรือแค่ยืนยันเป้าหมายก่อนที่จะเริ่มดำเนินการโจมตีด้วยเทคนิค credential stuffing หรือ password spraying"

"รายชื่อผู้ใช้งานที่ผ่านการตรวจสอบแล้วก็มักถูกนำไปขายต่อบน dark web เพื่อทำกำไรอีกด้วย แม้การรวบรวมรายชื่ออีเมลที่ยังใช้งานอยู่จะดูเหมือนไม่เป็นอันตราย แต่ข้อมูลเหล่านี้สามารถนำไปใช้ และเร่งกระบวนการโจมตีทั้งหมด อีกทั้งยังช่วยหลีกเลี่ยงการตรวจจับได้ ด้วยการมุ่งเป้าไปที่บัญชีที่ยืนยันแล้วว่ามีการใช้งานจริงเท่านั้น"

สำหรับแพ็กเกจที่สองชื่อว่า "steinlurks" ก็ใช้วิธีคล้ายกัน โดยมุ่งเป้าไปที่บัญชี Instagram ผ่านการส่ง HTTP POST request ปลอม โดยเลียนแบบแอป Instagram บน Android เพื่อหลบเลี่ยงการตรวจจับ ซึ่งแพ็กเกจนี้ใช้วิธีการเข้าถึง API ที่แตกต่างออกไป

i.instagram[.]com/api/v1/users/lookup/
i.instagram[.]com/api/v1/bloks/apps/com.

กลุ่มผู้ไม่หวังดีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลตุรกี ได้ใช้ช่องโหว่ Zero-Day เพื่อโจมตีผู้ใช้งาน Output Messenger ที่เชื่อมโยงกับกองทัพเคิร์ดในอิรัก (more…)

ผู้โจมตีเริ่มมุ่งเป้าไปที่การใช้งาน Cisco Smart Licensing Utility (CSLU) ที่ไม่ได้รับการอัปเดตแพตช์จากช่องโหว่ที่ส่งผลให้มีการเปิดเผยบัญชีผู้ดูแลระบบที่เป็นลักษณะ backdoor

แอปพลิเคชัน CSLU สำหรับ Windows ช่วยให้ผู้ดูแลระบบสามารถจัดการ licenses และผลิตภัณฑ์ที่เชื่อมโยงภายในองค์กรโดยไม่ต้องเชื่อมต่อกับโซลูชัน Smart Software Manager บน Cloud ของ Cisco

Cisco ได้แก้ไขช่องโหว่ด้านความปลอดภัยนี้ (CVE-2024-20439) ในเดือนกันยายน โดยอธิบายว่าเป็นช่องโหว่ที่เกิดจาก "ข้อมูล credential ของบัญชีผู้ใช้ระดับผู้ดูแลระบบแบบ static ที่ไม่ได้ถูกบันทึกไว้" ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยัน สามารถเข้าสู่ระบบที่ยังไม่ได้รับการอัปเดตแพตช์จากระยะไกลด้วยสิทธิ์ผู้ดูแลระบบผ่าน API ของแอปพลิเคชัน CSLU

บริษัทยังได้แก้ไขช่องโหว่การเปิดเผยข้อมูล CSLU ระดับ Critical อีกหนึ่งรายการ (CVE-2024-20440) ซึ่งผู้โจมตีที่ไม่ได้ผ่านการยืนยันสามารถใช้เพื่อเข้าถึง log files ที่มีข้อมูลที่มีความสำคัญ (รวมถึงข้อมูล API credentials) โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่

ช่องโหว่ทั้งสองรายการนี้ส่งผลกระทบกับระบบที่ใช้งานเวอร์ชัน Cisco Smart Licensing Utility ที่มีช่องโหว่เท่านั้น และสามารถถูกโจมตีได้เฉพาะเมื่อผู้ใช้งานเปิดใช้งานแอปพลิเคชัน CSLU ซึ่งไม่ได้ออกแบบให้ทำงานใน background โดยค่าเริ่มต้น

Nicholas Starke นักวิจัยด้านภัยคุกคามจาก Aruba ได้ทำ reverse-engineered กับช่องโหว่นี้ และเผยแพร่บทความที่มีรายละเอียดทางเทคนิค (รวมถึงรหัสผ่าน static ที่ถูกเข้ารหัส) ประมาณสองสัปดาห์หลังจากที่ Cisco ปล่อยแพตช์ความปลอดภัย

เป้าหมายในการโจมตี

Johannes Ullrich คณบดีฝ่ายวิจัยของสถาบันเทคโนโลยี SANS รายงานว่า กลุ่มผู้โจมตีกำลังเชื่อมโยงช่องโหว่ทั้งสองรายการในความพยายามโจมตีที่มุ่งเป้าไปที่การใช้งาน CSLU ที่เปิดเผยอยู่บนอินเทอร์เน็ต

Ullrich ระบุว่า "การค้นหาคร่าว ๆ ไม่พบการใช้ช่องโหว่ในการโจมตี (ในขณะนั้น) แต่รายละเอียดต่าง ๆ รวมถึงข้อมูล backdoor credentials ถูกเผยแพร่ในบล็อกของ Nicholas Starke หลังจาก Cisco ออกคำแนะนำด้านความปลอดภัย ดังนั้นจึงไม่น่าแปลกใจที่อาจจะเห็นพฤติกรรมการโจมตีหลังจากนี้"

แม้ว่าจะยังไม่ทราบเป้าหมายของการโจมตีด้วยช่องโหว่เหล่านี้ แต่กลุ่มผู้โจมตียังพยายามใช้ประโยชน์จากช่องโหว่ความปลอดภัยอื่น ๆ รวมถึงช่องโหว่การเปิดเผยข้อมูลที่ดูเหมือนจะเป็นช่องโหว่ที่มีการโจมตีโดยใช้ proof-of-concept (POC) ที่ถูกเผยแพร่ออกสู่สาธารณะ (CVE-2024-0305) ซึ่งส่งผลกระทบต่อเครื่องบันทึกวิดีโอดิจิตอล (DVR) ของ Guangzhou Yingke Electronic

คำแนะนำความปลอดภัยของ Cisco สำหรับ CVE-2024-20439 และ CVE-2024-20440 ยังคงระบุว่า ทีมตอบสนองเหตุการณ์ความปลอดภัยของผลิตภัณฑ์ (PSIRT) ยังไม่พบหลักฐานว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ทั้งสองรายการ

CVE-2024-20439 ไม่ใช่บัญชี backdoor ตัวแรกที่ Cisco ลบออกจากผลิตภัณฑ์ในช่วงไม่กี่ปีที่ผ่านมา โดยพบข้อมูล credentials ที่ฝังอยู่ในซอฟต์แวร์ต่าง ๆ ของบริษัท เช่น Digital Network Architecture (DNA) Center, IOS XE, Wide Area Application Services (WAAS) และ Emergency Responder

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์จากจีนกำลังใช้วิธีการ hijacking SSH daemon บนอุปกรณ์เครือข่าย โดยส่งมัลแวร์เข้าสู่ process เพื่อให้สามารถแฝงตัวอยู่ในระบบได้อย่างถาวร และดำเนินการอย่างลับ ๆ (more…)

CISA (Cybersecurity and Infrastructure Security Agency) ยืนยันว่าเครื่องมอนิเตอร์ผู้ป่วย Contec CMS8000 ซึ่งผลิตโดยบริษัทจากประเทศจีน และ Epsimed MN-120 ซึ่งเป็นเครื่องมอนิเตอร์ลักษณะเดียวกัน แต่มีการเปลี่ยนชื่อ มีการส่งข้อมูลของผู้ป่วยไปยังที่อยู่ IP ที่ถูกกำหนดล่วงหน้า และมี backdoor ที่สามารถใช้ในการดาวน์โหลด และดำเนินการไฟล์ที่ไม่ได้รับการตรวจสอบ
(more…)