สำนักงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกแจ้งเตือนถึงช่องโหว่ระดับ Critical ในผลิตภัณฑ์กล้อง CCTV ของ Honeywell หลายรุ่น ที่อาจทำให้มีการเข้าถึงภาพจากกล้องโดยไม่ได้รับอนุญาต หรือสามารถเข้าควบคุมบัญชีผู้ใช้ได้

ช่องโหว่ดังกล่าวถูกพบโดยนักวิจัยที่ชื่อ Souvik Kanda และมีหมายเลข CVE-2026-1670 โดยปัญหาด้านความปลอดภัยนี้ถูกจัดเป็นประเภทการขาดการยืนยันตัวตนสำหรับฟังก์ชันที่สำคัญ และได้รับคะแนนความรุนแรงระดับ Crtical สูงถึง 9.8

ช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถเปลี่ยน Email Address สำรอง ที่เชื่อมโยงกับบัญชีของอุปกรณ์ได้ ซึ่งนำไปสู่การเข้าควบคุมบัญชี และการเข้าถึงภาพจากกล้องโดยไม่ได้รับอนุญาต

CISA ระบุว่า "ผลิตภัณฑ์ที่ได้รับผลกระทบมีช่องโหว่จากการเปิดเผย API endpoint ที่ไม่มีการยืนยันตัวตน ซึ่งอาจทำให้ผู้โจมตีสามารถเปลี่ยน Email Address สำรองสำหรับการ forgot password ได้"

ตามประกาศเตือนด้านความปลอดภัย ช่องโหว่ CVE-2026-1670 ส่งผลกระทบต่ออุปกรณ์รุ่นต่าง ๆ ดังต่อไปนี้

I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

Honeywell เป็นผู้จัดหาอุปกรณ์รักษาความปลอดภัย และระบบกล้อง CCTV รายใหญ่ระดับโลก โดยมีกล้อง CCTV และผลิตภัณฑ์ที่เกี่ยวข้องหลากหลายรุ่นที่ถูกนำไปติดตั้งใช้งานในภาคการพาณิชย์, อุตสาหกรรม และโครงสร้างพื้นฐานระดับ Critical ทั่วโลก

บริษัทมีผลิตภัณฑ์กล้องหลายรุ่นที่สอดคล้องกับมาตรฐาน NDAA (National Defense Authorization Act) ซึ่งเหมาะสำหรับการนำไปติดตั้งใช้งานในหน่วยงานรัฐบาลสหรัฐฯ และบริษัทคู่สัญญาของรัฐบาลกลาง

สำหรับกลุ่มผลิตภัณฑ์เฉพาะรุ่นที่ระบุไว้ในประกาศเตือนของ CISA นั้น เป็นผลิตภัณฑ์ระบบกล้อง CCTV ระดับกลางที่ใช้งานในสภาพแวดล้อมของธุรกิจขนาดเล็กถึงขนาดกลาง, สำนักงาน และคลังสินค้า ซึ่งบางแห่งอาจเป็นส่วนหนึ่งของสถานที่ที่มีความสำคัญระดับ Critical

CISA ระบุว่าเมื่อวันที่ 17 กุมภาพันธ์ที่ผ่านมา ยังไม่มีรายงานการโจมตีจริงต่อสาธารณะที่มุ่งเป้าหมายไปที่ช่องโหว่ดังกล่าวโดยเฉพาะ

อย่างไรก็ตาม ทางหน่วยงานแนะนำให้ลดการเชื่อมต่ออุปกรณ์ของระบบควบคุมเข้ากับเครือข่ายให้เหลือน้อยที่สุด โดยให้แยกอุปกรณ์เหล่านี้ไว้หลัง Firewall และใช้วิธีการเข้าถึงจากระยะไกลที่ปลอดภัย เช่น การใช้โซลูชัน VPN ที่อัปเดตแล้ว ในกรณีที่จำเป็นต้องเชื่อมต่อจากระยะไกล

ปัจจุบัน Honeywell ยังไม่ได้ออกประกาศเตือนอย่างเป็นทางการเกี่ยวกับ CVE-2026-1670 แต่ขอแนะนำให้ผู้ใช้งานติดต่อทีมสนับสนุนของบริษัทเพื่อขอคำแนะนำในการติดตั้งแพตช์เพื่อแก้ไขปัญหา

ที่มา : bleepingcomputer

 

 

Fortinet แจ้งเตือนลูกค้าว่า ผู้โจมตียังคงใช้ประโยชน์จากช่องโหว่ระดับ Critical ของ FortiOS อย่างต่อเนื่อง ซึ่งเป็นช่องโชว่ที่สามารถ bypass การยืนยันตัวตนแบบ 2FA เมื่อทำการโจมตีอุปกรณ์ FortiGate firewall ที่ยังคงมีช่องโหว่อยู่

(more…)

Fortinet ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Critical จำนวน 2 รายการใน FortiOS, FortiWeb, FortiProxy และ FortiSwitchManager ซึ่งอาจทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตนของระบบ FortiCloud SSO ได้

(more…)

 

พบแคมเปญฟิชชิ่งที่มีความซับซ้อน ซึ่งใช้ประโยชน์จาก Universal Unique Identifiers (UUIDs) ที่สร้างขึ้นแบบสุ่ม โดยสามารถ Bypass Secure Email Gateways (SEGs) และหลบเลี่ยงการป้องกันในระดับ perimeter ได้สำเร็จ (more…)

ตรวจพบ Ransomware สายพันธุ์ใหม่ชื่อ HybridPetya ซึ่งสามารถ Bypass การทำงานของ UEFI Secure Boot เพื่อทำการติดตั้งแอปพลิเคชันอันตรายลงใน EFI System Partition ได้

HybridPetya ดูเหมือนจะได้รับแรงบันดาลใจจากมัลแวร์ Petya/NotPetya ซึ่งเคยเข้ารหัสคอมพิวเตอร์ และทำให้ Boot Windows ไม่ได้ในการโจมตีเมื่อปี 2016 และ 2017 โดยไม่มีวิธีกู้คืนข้อมูล

นักวิจัยจากบริษัท ESET พบตัวอย่างของ HybridPetya บน VirusTotal โดยระบุว่า มัลแวร์นี้อาจเป็นโครงการวิจัย, Proof-of-Concept (PoC) หรือเป็นเวอร์ชันเริ่มต้นของเครื่องมือของกลุ่มอาชญากรรมไซเบอร์ ที่ยังอยู่ในระยะทดลอง

อย่างไรก็ตาม ESET ระบุว่า การพบ HybridPetya ครั้งนี้ เป็นอีกหนึ่งตัวอย่าง (เช่นเดียวกับ BlackLotus, BootKitty และ Hyper-V Backdoor) ที่แสดงให้เห็นว่า UEFI bootkit ซึ่งมีความสามารถ Bypass การป้องกัน Secure Boot นั้นเป็นภัยคุกคามที่เกิดขึ้นจริง

HybridPetya ผสานลักษณะเด่นของ Petya และ NotPetya เข้าด้วยกัน ทั้งในด้านลักษณะการแสดงผล และขั้นตอนการโจมตีของมัลแวร์รุ่นเก่าเหล่านั้น

อย่างไรก็ตาม ผู้พัฒนา Ransomware HybridPetya ได้เพิ่มความสามารถใหม่ เช่น การติดตั้งลงใน EFI System Partition และความสามารถในการ Bypass การป้องกัน Secure Boot โดยอาศัยช่องโหว่ CVE-2024-7344

ESET ค้นพบช่องโหว่นี้เมื่อเดือนมกราคมปีนี้ โดยปัญหานี้เกิดจาก แอปพลิเคชันที่มีการ signed โดย Microsoft ซึ่งอาจถูกผู้โจมตีใช้เพื่อติดตั้ง Bootkit ได้ แม้ว่า Secure Boot ของเครื่องเป้าหมายจะยังทำงานอยู่

เมื่อเริ่มทำงาน HybridPetya จะตรวจสอบว่าคอมพิวเตอร์เป้าหมายใช้ UEFI แบบ GPT partitioning หรือไม่ จากนั้นจะปล่อย Bootkit อันตรายลงใน EFI System Partition ซึ่งประกอบด้วยไฟล์หลายไฟล์

ซึ่งไฟล์เหล่านี้ประกอบด้วย ไฟล์ configuration และ validation, modified bootloader, fallback UEFI Bootloader, exploit payload container และ status file สำหรับติดตามความคืบหน้าของการ encryption

ESET ระบุไฟล์ที่พบในหลายเวอร์ชันของ HybridPetya ดังนี้

\EFI\Microsoft\Boot\config – เก็บข้อมูล encryption flag, key, nonce และ victim ID
\EFI\Microsoft\Boot\verify – ใช้สำหรับตรวจสอบ decryption key ว่าถูกต้องหรือไม่
\EFI\Microsoft\Boot\counter – ใช้ติดตามความคืบหน้าของการ encrypted clusters
\EFI\Microsoft\Boot\bootmgfw.

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบแคมเปญ spear phishing ที่มีความซับซ้อน ซึ่งใช้ฟีเจอร์ Direct Send ของ Microsoft 365 เป็นเครื่องมือในการโจมตีเพื่อ bypass ระบบป้องกันอีเมลแบบดั้งเดิม และดำเนินการขโมยข้อมูล credential ของผู้ใช้ด้วยวิธีการที่ออกแบบมาสำหรับเป้าหมายแต่ละรายโดยเฉพาะ

(more…)

ChatGPT Agents ถูกพบว่าสามารถ bypass ระบบ CAPTCHA ของ Cloudflare ได้ โดยเฉพาะช่องทำเครื่องหมาย “I am not a robot” ซึ่งเป็นระบบตรวจสอบที่ใช้กันอย่างแพร่หลาย (more…)

Mainboard ของ Gigabyte มากกว่าร้อยรุ่นที่ใช้ UEFI firmware มีช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถฝังมัลแวร์ประเภท bootkit ซึ่งเป็นมัลแวร์ที่ระบบปฏิบัติการไม่สามารถตรวจจับได้ และยังคงแฝงตัวอยู่ได้แม้ผู้ใช้จะทำการติดตั้งระบบปฏิบัติการใหม่แล้วก็ตาม

ช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีที่มีสิทธิ์ในระดับผู้ดูแลระบบ (ทั้งแบบเข้าถึงจากเครื่องโดยตรง หรือจากระยะไกล) สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการใน System Management Mode (SMM) ซึ่งเป็นสภาพแวดล้อมที่แยกออกจากระบบปฏิบัติการ (OS) และมีสิทธิ์ในการเข้าถึงเครื่องที่มากกว่า

กลไกที่ทำงานในระดับที่ต่ำกว่าระบบปฏิบัติการ (OS) จะสามารถเข้าถึงฮาร์ดแวร์ได้โดยตรง และเริ่มทำงานตั้งแต่ตอนบูตเครื่อง ด้วยเหตุนี้ มัลแวร์ที่แฝงตัวอยู่ในสภาพแวดล้อมดังกล่าวจึงสามารถ bypass การป้องกันความปลอดภัยแบบมาตรฐานที่มีอยู่ในระบบได้

UEFI หรือ Unified Extensible Firmware Interface เป็น firmware ที่มีความปลอดภัยมาก เนื่องจากมีฟีเจอร์ Secure Boot ที่ใช้ในการตรวจสอบด้วยวิธีการเข้ารหัส เพื่อให้แน่ใจว่าโค้ดที่อุปกรณ์ใช้ในการบูตเครื่องนั้นปลอดภัย และเชื่อถือได้

ด้วยเหตุนี้ มัลแวร์ระดับ UEFI อย่าง bootkit ที่มีชื่อเสียง เช่น เช่น BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce และ LoJax จึงสามารถฝังโค้ดที่เป็นอันตรายให้ทำงานได้ทุกครั้งที่มีการเปิดเครื่อง

Mainboards จำนวนมากที่ได้รับผลกระทบ

ช่องโหว่ทั้ง 4 รายการนี้ ถูกพบใน firmware ที่ Gigabyte นำมาใช้งาน โดยถูกค้นพบโดยนักวิจัยจากบริษัทด้านความปลอดภัย firmware ที่ชื่อ Binarly ซึ่งได้แบ่งปันข้อมูลการค้นพบนี้กับศูนย์ประสานงาน CERT (CERT/CC) ของมหาวิทยาลัย Carnegie Mellon

Supplier ของ firmware รายหลักคือบริษัท American Megatrends Inc.

 

พบช่องโหว่ด้านความปลอดภัยระดับ Critical ในระบบเครื่องปรับอากาศหลายรุ่นของ Mitsubishi Electric ซึ่งทำให้ผู้ไม่หวังดีสามารถ Bypass การยืนยันตัวตน และควบคุมอุปกรณ์ที่ได้รับผลกระทบจากระยะไกลได้ (more…)

แฮ็กเกอร์รัสเซียใช้วิธีการ Social engineering แอบอ้างเป็นเจ้าหน้าที่กระทรวงการต่างประเทศสหรัฐฯ เพื่อ Bypass MFA และเข้าถึงบัญชี Gmail โดยอาศัย app-specific passwords โดยแฮ็กเกอร์กลุ่มนี้มีเป้าหมายเป็นนักวิชาการ และนักวิจารณ์รัฐบาลรัสเซีย โดยใช้เทคนิคที่มีความซับซ้อน ปรับแต่งเฉพาะบุคคล และไม่ใช้วิธีการกดดันให้เหยื่อรีบดำเนินการอย่างใดอย่างหนึ่ง (more…)