CISA แจ้งเตือนว่ากลุ่มผู้โจมตีได้เริ่มใช้ช่องโหว่ที่มีระดับความรุนแรงสูงในซอฟต์แวร์ Print Management ของ PaperCut NG/MF เพื่อโจมตี โดยช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) ผ่านการโจมตีแบบ Cross-Site Request Forgery (CSRF) (more…)

หน่วยงานด้านความมั่นคงไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ร่วมกับ FBI ศูนย์อาชญากรรมไซเบอร์ของกระทรวงกลาโหม และหน่วยงานความมั่นคงแห่งชาติ (NSA) ได้ออกคำเตือนเร่งด่วนเกี่ยวกับความเป็นไปได้ของการโจมตีทางไซเบอร์โดยกลุ่มที่เชื่อมโยงกับรัฐบาลอิหร่าน ซึ่งมีเป้าหมายคือโครงสร้างพื้นฐานสำคัญของสหรัฐฯ (more…)

เมื่อวันพุธที่ผ่านมา สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ 3 รายการลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยแต่ละรายการส่งผลกระทบต่อ AMI MegaRAC, เราเตอร์ D-Link DIR-859 และ Fortinet FortiOS โดยอ้างอิงจากหลักฐานจากการโจมตีจริง (more…)

สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เผยแพร่คำแนะนำด้านความปลอดภัยจำนวน 5 ข้อเกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) เมื่อวันที่ 29 พฤษภาคม 2025 โดยระบุถึงช่องโหว่สำคัญในระบบอัตโนมัติในระบบอุตสาหกรรม และโครงสร้างพื้นฐานที่ใช้งานกันอย่างแพร่หลาย

(more…)

เมื่อวันพฤหัสบดีที่ผ่านมา สำนักงานด้านความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดเผยว่า Commvault กำลังเฝ้าระวังกิจกรรมภัยคุกคามทางไซเบอร์ที่กำหนดเป้าหมายไปยังแอปพลิเคชันที่โฮสต์อยู่ในสภาพแวดล้อม Microsoft Azure ของบริษัท (more…)

หน่วยงานความมั่นคงทางไซเบอร์ CISA กำลังให้ความสนใจต่อช่องโหว่ที่ค้นพบใน TeleMessage ซึ่งเป็นแอปพลิเคชันการส่งข้อความที่เพิ่งถูกใช้โดยอดีตที่ปรึกษาด้านความมั่นคงแห่งชาติของทรัมป์, Mike Waltz

ในช่วงเวลาสั้น ๆ ของ Waltz ในฐานะที่ปรึกษาด้านความมั่นคงแห่งชาติ มีเหตุการณ์ที่เกี่ยวข้องกับการใช้แอปพลิเคชันส่งข้อความถึง 2 ครั้ง ครั้งแรกคือ เหตุการณ์ที่รู้จักกันในชื่อ ‘Signalgate’ เมื่อเขาเพิ่มนักข่าวเข้าไปในกลุ่มแชท Signal โดยไม่ได้ตั้งใจที่มีบรรดาผู้นำด้านความมั่นคงแห่งชาติกำลังพูดคุยเกี่ยวกับการปฏิบัติการทางทหารที่กำลังจะเกิดขึ้นในเยเมน

หลังจากนั้น Waltz ถูกพบเห็นใช้แอปพลิเคชันที่ชื่อว่า TeleMessage Signal บนโทรศัพท์ของเขา ซึ่งทำให้เกิดข้อกังวลด้านความปลอดภัยอีกครั้ง

(more…)

เมื่อวันจันทร์ที่ผ่านมา (28 เมษายน 2025) CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงสองรายการ ที่ส่งผลกระทบต่อ Broadcom Brocade Fabric OS และ Commvault Web Server ลงในบัญชีรายการ Known Exploited Vulnerabilities (KEV) โดยอ้างอิงจากหลักฐานว่ากำลังถูกใช้ในการโจมตีจริงในโลกไซเบอร์

ช่องโหว่ดังกล่าวมีรายละเอียดดังนี้ :

CVE-2025-1976 (คะแนน CVSS: 8.6) - ช่องโหว่ code injection ที่ส่งผลกระทบต่อ Broadcom Brocade Fabric OS ซึ่งสามารถทำให้ผู้ใช้งานในระดับ local ที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการด้วยสิทธิ์ root อย่างเต็มรูปแบบได้
CVE-2025-3928 (คะแนน CVSS: 8.7) - ช่องโหว่ unspecified flaw ใน Commvault Web Server ที่อนุญาตให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนแล้ว สามารถสร้าง และเรียกใช้ web shell ได้

เมื่อเดือนกุมภาพันธ์ 2025 ที่ผ่านมา Commvault ระบุว่า "การโจมตีช่องโหว่นี้จำเป็นต้องใช้ข้อมูล Credentials ของผู้ใช้งานที่ผ่านการยืนยันตัวตนภายในสภาพแวดล้อมซอฟต์แวร์ของ Commvault"

ช่องโหว่นี้ส่งผลกระทบต่อ Commvault Web Server ในเวอร์ชั่นของ Windows และ Linux ดังต่อไปนี้ :

11.36.0 - 11.36.45 (แก้ไขแล้วในเวอร์ชั่น 11.36.46)
11.32.0 - 11.32.88 (แก้ไขแล้วในเวอร์ชั่น 11.32.89)
11.28.0 - 11.28.140 (แก้ไขแล้วในเวอร์ชั่น 11.28.141)
11.20.0 - 11.20.216 (แก้ไขแล้วในเวอร์ชั่น 11.20.217)

สำหรับช่องโหว่ CVE-2025-1976 นั้น ทาง Broadcom ระบุว่า เป็นช่องโหว่ในการตรวจสอบ IP Address ซึ่งอาจทำให้ผู้ใช้งานในระดับ local ที่มีสิทธิ์ผู้ดูแลระบบ สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการด้วยสิทธิ์ root บน Fabric OS เวอร์ชั่น 9.1.0 ถึง 9.1.1d6 โดยช่องโหว่นี้ได้รับการแก้ไขไปแล้วในเวอร์ชั่น 9.1.1d7

วันที่ 17 เมษายน 2025 ทาง Broadcom ระบุว่า "ช่องโหว่นี้สามารถทำให้ผู้ใช้งานเรียกใช้คำสั่งที่มีอยู่บน Fabric OS หรืออาจใช้เพื่อแก้ไข Fabric OS เอง รวมถึงการเพิ่ม subroutines ของตนเองได้"

"แม้ว่าการโจมตีนี้จะต้องมีการเข้าถึงระบบอย่างถูกต้อง จนไปถึงสิทธิ์ผู้ดูแลระบบก่อน แต่พบว่าช่องโหว่นี้กำลังถูกนำไปใช้ในการโจมตีจริงในโลกไซเบอร์แล้ว"

ปัจจุบันยังไม่มีรายละเอียดที่เกี่ยวกับวิธีการที่ช่องโหว่ทั้งสองนี้ถูกนำไปใช้โจมตีในโลกไซเบอร์ ทั้งขนาดของการโจมตี และผู้ที่อยู่เบื้องหลังการโจมตีเหล่านี้

หน่วยงานในสังกัด Federal Civilian Executive Branch (FCEB) ต้องติดตั้งแพตช์สำหรับ Commvault Web Server ภายในวันที่ 17 พฤษภาคม 2025 และสำหรับ Broadcom Brocade Fabric OS ภายในวันที่ 19 พฤษภาคม 2025 ตามลำดับ เพื่อแก้ไขช่องโหว่ดังกล่าว

ที่มา : thehackernews

CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ส่งผลกระทบต่อ Gladinet CentreStack เข้าไปใน Known Exploited Vulnerabilities (KEV) เมื่อวันอังคารที่ผ่านมา หลังพบหลักฐานว่ากำลังมีการใช้ช่องโหว่ดังกล่าวโจมตีระบบจริง (more…)

CISA แจ้งเตือนปฏิบัติการของกลุ่มแรนซัมแวร์ Medusa ได้ส่งผลกระทบต่อองค์กรมากกว่า 300 แห่งในภาคส่วนโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกาจนถึงเมื่อเดือนที่ผ่านมา

ข้อมูลนี้ถูกเปิดเผยในคำแนะนำที่ออกมาในวันนี้ (12 มีนาคม 2025) โดยประสานงานกับสำนักงานสอบสวนกลาง (FBI) และ ศูนย์แบ่งปัน และวิเคราะห์ข้อมูลจากหลายรัฐ (MS-ISAC)

CISA, FBI และ MS-ISAC ระบุว่า "เมื่อเดือนกุมภาพันธ์ 2025 กลุ่ม Medusa และพันธมิตร โจมตีเหยื่อมากกว่า 300 รายจากหลายภาคส่วนของโครงสร้างพื้นฐานที่สำคัญ โดยอุตสาหกรรมที่ได้รับผลกระทบประกอบด้วย การแพทย์, การศึกษา, กฎหมาย, ประกันภัย, เทคโนโลยี และการผลิต"

“FBI, CISA และ MS-ISAC สนับสนุนให้องค์กรต่าง ๆ ดำเนินการตามคำแนะนำในส่วนของการลดผลกระทบตามคำแนะนำฉบับนี้ เพื่อลดโอกาส และผลกระทบจากเหตุการณ์ที่เกี่ยวข้องกับแรนซัมแวร์ Medusa”

ตามที่คำแนะนำระบุไว้ เพื่อป้องกันการโจมตีจากแรนซัมแวร์ Medusa ผู้ป้องกันระบบควรใช้มาตรการต่อไปนี้ :

ลดความเสี่ยงจากช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก โดยควรดำเนินการให้ระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ได้รับการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดภายในระยะเวลาที่เหมาะสม
ดำเนินการทำ Networks Segment เพื่อลดการโจมตีในลักษณะ Lateral Movement ระหว่างอุปกรณ์ที่ติดมัลแวร์ และอุปกรณ์อื่น ๆ ภายในองค์กร
Filter Network Traffic โดยปิดกั้นการเข้าถึงจากแหล่งที่มาที่ไม่รู้จัก หรือไม่น่าเชื่อถือจาก remote services มายังระบบภายใน

ปฏิบัติการของแรนซัมแวร์กลุ่มนี้ ถูกพบครั้งแรกเมื่อ 4 ปีก่อนในเดือนมกราคม 2021 แต่การดำเนินการของกลุ่มนี้เพิ่งกลับมาเพิ่มขึ้นอีกครั้งเมื่อสองปีที่แล้วในปี 2023 เมื่อพวกเขาเปิดตัวเว็บไซต์ Medusa Blog เพื่อกดดันเหยื่อให้จ่ายค่าไถ่โดยใช้ข้อมูลที่ถูกขโมยมาเป็นเครื่องมือในการต่อรอง

Medusa เปิดตัวครั้งแรกในรูปแบบแรนซัมแวร์แบบปิด โดยที่กลุ่มผู้โจมตีเพียงกลุ่มเดียวจะรับผิดชอบในการพัฒนา และการดำเนินงานทั้งหมด แม้ว่า Medusa จะพัฒนาไปเป็น Ransomware-as-a-Service (RaaS) และนำเอาโมเดลพันธมิตรมาใช้ในภายหลัง แต่ผู้พัฒนายังคงดูแลการดำเนินการที่สำคัญ รวมถึงการเจรจาค่าไถ่

“นักพัฒนาของ Medusa มักจะรับสมัคร initial access brokers (IABs) จากฟอรัมของอาชญากรไซเบอร์เพื่อขอสิทธิ์ในการเข้าถึงเหยื่อที่มีศักยภาพ อาจมีการจ่ายเงินระหว่าง 100 ดอลลาร์สหรัฐฯ ถึง 1 ล้านดอลลาร์สหรัฐฯ สำหรับพันธมิตรที่ให้ข้อมูลเหล่านี้ พร้อมเสนอโอกาสทำงานกับ Medusa โดยเฉพาะ"

นอกจากนี้ยังพบว่ากลุ่มมัลแวร์หลายกลุ่ม และปฏิบัติการอาชญากรรมทางไซเบอร์ มีการใช้ชื่อ Medusa รวมถึง botnet ที่มีพื้นฐานจาก Mirai ซึ่งมีความสามารถในการโจมตีแรนซัมแวร์ และปฏิบัติการมัลแวร์ Malware-as-a-service (MaaS) สำหรับ Android ที่ค้นพบในปี 2020 (ที่รู้จักกันในชื่อ TangleBot)

เนื่องจากการใช้ชื่อที่พบบ่อยนี้ จึงมีรายงานที่ทำให้เกิดความสับสนเกี่ยวกับแรนซัมแวร์ Medusa โดยหลายคนคิดว่าเป็นการปฏิบัติการเดียวกับ MedusaLocker ซึ่งเป็นแรนซัมแวร์ที่รู้จักกันอย่างแพร่หลาย แม้ว่าทั้งสองจะเป็นการปฏิบัติการที่แตกต่างกันโดยสิ้นเชิง

การโจมตีด้วยแรนซัมแวร์ Medusa มีแนวโน้มเพิ่มขึ้น

ตั้งแต่ที่มีการเปิดโปง กลุ่ม Medusa ได้อ้างว่ามีเหยื่อกว่า 400 รายทั่วโลก และได้รับความสนใจมากขึ้นในเดือนมีนาคม 2023 หลังจากอ้างความรับผิดชอบในการโจมตีเขตการศึกษาของรัฐมินนีแอโพลิส (MPS) และมีการแชร์วิดีโอของข้อมูลที่ถูกขโมยออกมา

กลุ่ม Medusa ยังได้ปล่อยไฟล์ที่อ้างว่าเป็นข้อมูลที่ขโมยมาจาก Toyota Financial Services ซึ่งเป็นบริษัทในเครือของ Toyota Motor Corporation บน Dark Extortion Portal ในเดือนพฤศจิกายน 2023 หลังจากที่บริษัทปฏิเสธที่จะจ่ายค่าไถ่ 8 ล้านดอลลาร์สหรัฐฯ และแจ้งลูกค้าเกี่ยวกับการละเมิดข้อมูล

ทีม Threat Hunter ของ Symantec ระบุเมื่อสัปดาห์ที่แล้ว "การโจมตีด้วยแรนซัมแวร์ Medusa เพิ่มขึ้น 42% ระหว่างปี 2023 และ 2024 และปฏิบัติการนี้ยังคงเพิ่มสูงขึ้นอย่างต่อเนื่อง โดยการโจมตีด้วย Medusa ในเดือนมกราคม และกุมภาพันธ์ 2025 เพิ่มขึ้นเกือบสองเท่าเมื่อเทียบกับสองเดือนแรกของปี 2024"

เมื่อเดือนที่แล้ว CISA และ FBI เคยได้ออกการแจ้งเตือนร่วมกัน โดยเตือนว่าผู้เสียหายจากหลายอุตสาหกรรมทั่วโลกกว่า 70 ประเทศ รวมถึงโครงสร้างพื้นฐานที่สำคัญ ได้ถูกละเมิดในเหตุการณ์โจมตีของ Ghost ransomware

ที่มา : bleepingcomputer

CISA ได้แจ้งเตือนหน่วยงานของรัฐบาลกลางสหรัฐฯ ให้ตรวจสอบ และแก้ไขความปลอดภัยระบบของตนจากการโจมตีโดยใช้ช่องโหว่ของ Cisco และ Windows ถึงแม้ว่า CISA จะระบุว่าช่องโหว่เหล่านี้กำลังถูกใช้ในการโจมตีอย่างแพร่หลาย แต่ก็ยังไม่ได้ให้รายละเอียดที่เจาะจงเกี่ยวกับการโจมตีนี้ และใครอยู่เบื้องหลัง

(more…)