CISA กำลังแจ้งเตือนหน่วยงานรัฐบาลให้ทำการแพตช์แก้ไขระบบ Oracle Identity Manager ซึ่งมีหมายเลขช่องโหว่คือ CVE-2025-61757 โดยช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแล้ว และมีความเป็นไปได้ว่าอาจเป็นการโจมตีแบบ Zero-day

CVE-2025-61757 เป็นช่องโหว่ประเภท RCE แบบไม่ต้องยืนยันตัวตนใน Oracle Identity Manager ซึ่งถูกค้นพบ และเปิดเผยโดย Adam Kues และ Shubham Shahflaw นักวิเคราะห์จาก Searchlight Cyber

ช่องโหว่ดังกล่าวเกิดจากการ Authentication bypass ใน REST API ของ Oracle Identity Manager โดย Security filter สามารถถูกหลอกให้เข้าใจผิดว่า Endpoint ที่มีการป้องกันนั้นเป็นพื้นที่สาธารณะ เพียงแค่เติมพารามิเตอร์อย่าง ?WSDL หรือ ;.wadl ต่อท้าย URL paths

เมื่อสามารถเข้าถึงได้โดยไม่ต้องยืนยันตัวตนแล้ว ผู้โจมตีจะสามารถเข้าถึง Groovy script ซึ่งเป็น Endpoint สำหรับการ compilation ที่ตามปกติจะไม่ได้สั่ง execute script แต่ช่องทางนี้กลับสามารถถูกใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายในช่วง Compile time ได้ ผ่านทางฟีเจอร์การประมวลผล Annotation ของ Groovy

การเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกัน ทำให้นักวิจัยสามารถเรียกใช้โค้ดจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตนบนระบบ Oracle Identity Manager ที่ได้รับผลกระทบได้สำเร็จ

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว โดยเป็นส่วนหนึ่งของการอัปเดตความปลอดภัยประจำเดือนตุลาคม 2025 ของ Oracle ที่ปล่อยออกมาเมื่อวันที่ 21 ตุลาคมที่ผ่านมา

วันที่ 20 พฤศจิกายนที่ผ่านมา Searchlight Cyber ได้เผยแพร่รายงานเชิงเทคนิคที่ลงรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าว พร้อมทั้งให้ข้อมูลทั้งหมดที่จำเป็นสำหรับการใช้ช่องโหว่นี้ในการโจมตี

นักวิจัย ระบุว่า "เมื่อพิจารณาถึงความซับซ้อนของช่องโหว่ Oracle Access Manager บางรายการก่อนหน้านี้ ช่องโหว่ตัวนี้ถือว่าค่อนข้างไม่ซับซ้อน และง่ายต่อการถูกผู้ไม่หวังดีนำไปใช้ในการโจมตี"

CVE-2025-61757 ถูกนำไปใช้ในการโจมตีจริง

วันที่ 21 พฤศจิกายนที่ผ่านมา ทาง CISA ได้เพิ่มช่องโหว่ CVE-2025-61757 ของ Oracle เข้าสู่บัญชีรายชื่อช่องโหว่ที่กำลังถูกใช้ในการโจมตีจริง (KEV catalog) และได้กำหนดเส้นตายให้หน่วยงานฝ่ายบริหารของรัฐบาลกลาง (FCEB) ดำเนินการอัปเดตแพตช์แก้ไขช่องโหว่ดังกล่าวให้แล้วเสร็จภายในวันที่ 12 ธันวาคม ตามข้อบังคับในคำสั่งการดำเนินงานที่มีผลผูกพัน (BOD) 22-01

CISA ระบุว่า "ช่องโหว่ประเภทนี้ถือเป็นช่องทางการโจมตีที่พบได้บ่อยสำหรับผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อหน่วยงานของรัฐบาลกลาง"

แม้ว่าทาง CISA จะยังไม่ได้เปิดเผยรายละเอียดว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีอย่างไร แต่ Johannes Ullrich คณบดีฝ่ายวิจัยของสถาบัน SANS Technology Institute ได้ออกมาเตือนเมื่อวันที่ 20 พฤศจิกายนว่า ช่องโหว่ดังกล่าวอาจถูกนำไปใช้โจมตีในรูปแบบ Zero-day มาตั้งแต่วันที่ 30 สิงหาคมแล้ว

Ullrich อธิบายไว้ในบันทึก ISC Handler Diary ระบุว่า "URL นี้ถูกเข้าถึงหลายครั้งในช่วงระหว่างวันที่ 30 สิงหาคม ถึง 9 กันยายนของปีนี้ ซึ่งเป็นเวลานานก่อนที่ Oracle จะออกแพตช์แก้ไขช่องโหว่ดังกล่าว"

"มี IP Address ที่แตกต่างกันจำนวนมากที่ทำการสแกนหาช่องโหว่ดังกล่าว แต่ทั้งหมดกลับใช้ User Agent ตัวเดียวกัน ซึ่งแสดงให้เห็นว่าเราอาจกำลังรับมือกับผู้โจมตีเพียงรายเดียว"

จากข้อมูลของ Ullrich ผู้ไม่หวังดีได้ส่งคำสั่ง HTTP POST request ไปยัง Endpoint ต่าง ๆ ดังต่อไปนี้ ซึ่งตรงกับรูปแบบการโจมตีระบบที่ทาง Searchlight Cyber ได้แชร์ข้อมูลเอาไว้

นักวิจัยระบุว่า ความพยายามในการโจมตีมาจาก IP Address ที่แตกต่างกันจำนวน 3 IP ได้แก่ 89.238.132[.]76, 185.245.82[.]81 และ 138.199.29[.]153 แต่ทั้งหมดกลับใช้ User Agent ของเบราว์เซอร์ตัวเดียวกัน ซึ่งตรงกับ Google Chrome 60 บนระบบปฏิบัติการ Windows 10

ที่มา : bleepingcomputer

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานแห่งสหรัฐฯ (CISA) ได้ออกมาเตือนหน่วยงานภาครัฐให้ทำการอัปเดตแพตช์ช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง ซึ่งส่งผลกระทบต่อ Firewall WatchGuard Firebox

(more…)

CISA ยืนยันเมื่อวันพฤหัสบดี (30 ตุลาคม 2025) ที่ผ่านมาว่า ขณะนี้พบการโจมตีโดยใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ระดับความรุนแรงสูงใน Linux kernel แล้ว ซึ่งเป็นสาเหตุของการโจมตีด้วยแรนซัมแวร์ (more…)

เมื่อวันพฤหัสบดีที่ผ่านมา CISA ได้แจ้งเตือนหน่วยงานรัฐบาลสหรัฐฯ ให้รักษาความปลอดภัยระบบของตนจากการโจมตีที่ใช้ประโยชน์จากช่องโหว่ระดับความรุนแรงสูงในซอฟต์แวร์ VMware Aria Operations และ VMware Tools ของ Broadcom

ช่องโหว่นี้มีหมายเลข CVE-2025-41244 และเพิ่งได้รับการอัปเดตแพตช์เมื่อหนึ่งเดือนที่แล้ว โดยทำให้ผู้โจมตีในระดับ local ที่มีสิทธิ์ระดับทั่วไป สามารถเข้าถึงเครื่อง virtual machine (VM) ที่มี VMware Tools และบริหารจัดการโดย Aria Operations พร้อมเปิดใช้งาน SDMP ให้สามารถยกระดับสิทธิ์ของตนเองเป็น root บน VM เครื่องนั้นได้

CISA ได้เพิ่มช่องโหว่นี้เข้าไปในบัญชี Known Exploited Vulnerabilities ซึ่งเป็นรายการช่องโหว่ด้านความปลอดภัยที่หน่วยงานฯ ระบุว่ากำลังถูกใช้ในการโจมตีจริง หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) มีเวลาสามสัปดาห์ หรือจนถึงวันที่ 20 พฤศจิกายน ในการอัปเดตแพตช์ระบบของตนเพื่อป้องกันการโจมตีที่กำลังดำเนินอยู่ ตามที่กำหนดไว้ในคำสั่งปฏิบัติการที่มีผลผูกพัน (BOD) 22-01 ซึ่งออกเมื่อเดือนพฤศจิกายน 2021

แม้ว่าคำสั่ง BOD 22-01 จะมีผลบังคับใช้เฉพาะกับหน่วยงานรัฐบาลกลาง แต่ CISA ก็ได้เตือนให้ทุกองค์กรจัดลำดับความสำคัญในการแพตช์ช่องโหว่นี้โดยเร็วที่สุด

CISA เตือนว่า "ช่องโหว่ประเภทนี้มักถูกใช้เป็นช่องทางการโจมตีของผู้ไม่หวังดี และก่อให้เกิดความเสี่ยงอย่างมากต่อหน่วยงานรัฐบาลกลาง" "ขอให้ใช้มาตรการลดผลกระทบ ตามคำแนะนำของผู้ผลิต ปฏิบัติตามคำแนะนำ BOD 22-01 ที่เกี่ยวข้องสำหรับบริการคลาวด์ หรือยุติการใช้งานผลิตภัณฑ์หากไม่มีมาตรการลดผลกระทบ"

ถูกนำไปใช้ในการโจมตีตั้งแต่เดือนตุลาคมที่ผ่านมา

Broadcom พบว่า CVE-2025-41244 ถูกใช้ประโยชน์ในการโจมตีจริงแล้วในวันนี้ ซึ่งเป็นเวลาหนึ่งเดือนหลังจากที่ Maxime Thiebaut จาก NVISO บริษัทความปลอดภัยทางไซเบอร์ของยุโรป รายงานว่า UNC5174 ซึ่งเป็นกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลจีน ได้ใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีมาตั้งแต่กลางเดือนตุลาคม 2024

ในขณะนั้น Thiebaut ยังได้เผยแพร่ PoC code ซึ่งแสดงให้เห็นว่า CVE-2025-41244 สามารถถูกใช้ในการโจมตีเพื่อยกระดับสิทธิ์บนระบบที่ใช้ VMware Aria Operations (ใน credential-based mode) และ VMware Tools (ใน credential-less mode) ที่มีช่องโหว่ได้อย่างไร ซึ่งท้ายที่สุดทำให้ผู้โจมตีสามารถสั่งรันโค้ดในระดับ root บน VM ได้

นักวิเคราะห์ความปลอดภัยของ Google Mandiant ซึ่งระบุว่า UNC5174 ได้รับการสนับสนุนจากกระทรวงความมั่นคงแห่งรัฐ (MSS) ของจีน สังเกตเห็นกลุ่มผู้โจมตีนี้ขายสิทธิ์การเข้าถึงเครือข่ายของผู้รับเหมาด้านกลาโหมของสหรัฐฯ หน่วยงานรัฐบาลของสหราชอาณาจักร และสถาบันต่าง ๆ ในเอเชีย ในช่วงปลายปี 2023 หลังจากการโจมตีที่ใช้ประโยชน์จากช่องโหว่ F5 BIG-IP remote code execution (CVE-2023-46747)

ในเดือนกุมภาพันธ์ 2024 UNC5174 ยังได้ใช้ประโยชน์จากช่องโหว่ ConnectWise ScreenConnect (CVE-2024-1709) เพื่อเจาะระบบสถาบันหลายร้อยแห่งในสหรัฐฯ และแคนาดา และในเดือนพฤษภาคม ก็มีความเชื่อมโยงกับการโจมตีที่ใช้ช่องโหว่ NetWeaver สำหรับการอัปโหลดไฟล์โดยไม่ผ่านการยืนยันตัวตน (CVE-2025-31324) ซึ่งช่วยให้ผู้โจมตีสามารถสั่งรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ NetWeaver Visual Composer ที่ยังไม่ได้อัปเดตแพตช์

ตั้งแต่ต้นปีที่ผ่านมา Broadcom ได้แก้ไขช่องโหว่ zero-day ของ VMware อื่น ๆ ที่ถูกโจมตีอย่างต่อเนื่อง อีก 3 รายการ (CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226) ที่ถูกรายงานโดย Microsoft Threat Intelligence Center และได้ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูงของ VMware NSX อีก 2 รายการ (CVE-2025-41251 และ CVE-2025-41252) ที่รายงานโดยสำนักงานความมั่นคงแห่งชาติของสหรัฐฯ (NSA)

 

ที่มา : bleepingcomputer.

สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้สั่งให้หน่วยงานรัฐบาลสหรัฐฯ เร่งแก้ไขช่องโหว่ Windows Server Update Services (WSUS) ความรุนแรงระดับ Crtical หลังจาก Microsoft เพิ่มช่องโหว่ดังกล่าวเข้าไปในรายการช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตี

CVE-2025-59287 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Crtical) เป็นช่องโหว่ Remote Code Execution (RCE) ซึ่งหากสามารถโจมตีช่องโหว่ได้สำเร็จ จะส่งผลกระทบต่อ Windows servers ที่เปิดใช้งาน WSUS Server role (เป็นฟีเจอร์ที่ไม่ได้เปิดใช้งานเป็นค่าเริ่มต้น) ซึ่งทำหน้าที่เป็นแหล่งอัปเดตสำหรับเซิร์ฟเวอร์อื่น ๆ ภายในองค์กร

Hacker สามารถใช้ช่องโหว่นี้โจมตีได้จากระยะไกล ในรูปแบบการโจมตีที่ไม่ซับซ้อน ซึ่งไม่จำเป็นต้องมีการโต้ตอบ หรือสิทธิ์พิเศษจากผู้ใช้งาน โดยหากโจมตีได้สำเร็จ ผู้โจมตีจะได้รับสิทธิ์ SYSTEM และเรียกใช้คำสั่งที่เป็นอันตรายได้

หลังจากที่ HawkTrace Security บริษัทรักษาความปลอดภัยไซเบอร์ ได้เผยแพร่ชุดสาธิตการโจมตี Proof-of-Concept(PoC) ทาง Microsoft ก็ได้ออกแพตซ์อัปเดตความปลอดภัยแบบ out-of-band security updates เพื่อแก้ไขช่องโหว่ CVE-2025-59287 บน Windows Server ทุกเวอร์ชันที่ได้รับผลกระทบ และแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์โดยเร็วที่สุด

ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตช์ฉุกเฉินได้ในทันที ควรปิดใช้งาน WSUS Server บนระบบที่มีช่องโหว่ เพื่อป้องกันการโจมตีช่องโหว่ดังกล่าว

ช่องโหว่ CVE-2025-59287 ถูกใช้ในการโจมตีแล้ว

ในวันที่มีการเผยแพร่การอัปเดตความปลอดภัยของช่องโหว่ CVE-2025-59287 บริษัทรักษาความปลอดภัยทางไซเบอร์สัญชาติอเมริกัน Huntress ได้พบหลักฐานการโจมตีช่องโหว่ที่มุ่งเป้าไปที่ WSUS instances ซึ่งใช้งานพอร์ตเริ่มต้น (8530/TCP และ 8531/TCP) ที่ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต

รวมถึง Eye Security บริษัทรักษาความปลอดภัยไซเบอร์สัญชาติเนเธอร์แลนด์ ก็ได้พบการสแกน และโจมตีระบบ หลังจากการเปิดเผยช่องโหว่ โดยระบบของลูกค้าอย่างน้อยหนึ่งรายถูกโจมตีโดยใช้ช่องโหว่ที่แตกต่างจากช่องโหว่ที่ Hawktrace ได้เผยแพร่

หลังจากนั้น Shadowserver ได้ติดตาม WSUS instances กว่า 2,800 รายการที่เปิดพอร์ตเริ่มต้น (8530/TCP และ 8531/TCP) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต แม้ว่าจะไม่ได้ระบุว่ามี WSUS instances จำนวนเท่าไรที่ได้รับการอัปเดตแพตแล้ว

หน่วยงานรัฐบาลกลางสั่งให้แก้ไขช่องโหว่โดยด่วน

CISA ยังได้เพิ่มช่องโหว่อีกรายการ ซึ่งส่งผลกระทบต่อ Adobe Commerce stores (เดิมคือ Magento) ซึ่งถูกระบุว่าถูกใช้ในการโจมตีในช่วงที่ผ่านมาเช่นกัน

โดย CISA ได้เพิ่มช่องโหว่ทั้งสองรายการลงใน Known Exploited Vulnerabilities catalog ซึ่งแสดงรายการช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตีอยู่จริง

ตามคำสั่งปฏิบัติการ (BOD) 22-01 เดือนพฤศจิกายน 2021 หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลางสหรัฐฯ (FCEB) จะต้องแก้ไขระบบของตนภายในสามสัปดาห์ภายในวันที่ 14 พฤศจิกายน 2025 เพื่อป้องกันการโจมตีช่องโหว่ที่อาจเกิดขึ้น

แม้ว่าข้อกำหนดนี้จะบังคับใช้เฉพาะกับหน่วยงานรัฐบาลสหรัฐฯ เท่านั้น แต่ขอแนะนำให้ผู้ดูแลระบบ และผู้มีส่วนเกี่ยวข้องทุกคนจัดลำดับความสำคัญในการแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้โดยเร็วที่สุด

CISA แนะนำให้ผู้ดูแลระบบ และผู้มีส่วนเกี่ยวข้องระบุเซิร์ฟเวอร์ที่มีช่องโหว่ทั้งหมด และใช้การอัปเดตความปลอดภัยแบบ out-of-band security updates สำหรับ CVE-2025-59287 หลังจากติดตั้งแล้ว ให้รีบูต WSUS servers เพื่อดำเนินการแก้ไขช่องโหว่ และรักษาความปลอดภัย Windows servers ที่เหลือให้เสร็จสิ้น

ที่มา : bleepingcomputer

CISA ระบุว่า ขณะนี้ผู้ไม่หวังดีกำลังใช้การโจมตีจากช่องโหว่ยกระดับสิทธิ์ (privilege escalation) ความรุนแรงสูงของ Windows SMB ซึ่งช่องโหว่ดังกล่าวจะช่วยให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับ SYSTEM บนระบบที่ยังไม่ได้ทำการอัปเดตแพตช์ได้

ช่องโหว่ด้านความปลอดภัยนี้มีหมายเลข CVE-2025-33073 ซึ่งส่งผลกระทบต่อ Windows Server และ Windows 10 ทุกเวอร์ชัน รวมถึงระบบ Windows 11 จนถึงเวอร์ชัน 24H2

Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ดังกล่าวไปแล้วในรอบการอัปเดต Patch Tuesday ประจำเดือนมิถุนายน 2025 พร้อมเปิดเผยว่า ช่องโหว่ดังกล่าวมีสาเหตุมาจาก improper access control ที่ไม่เหมาะสม ทำให้ผู้โจมตีที่ได้รับ authorized แล้ว สามารถยกระดับสิทธิ์ของตนเองผ่านทางเครือข่ายได้

Microsoft ระบุว่า "ผู้โจมตีสามารถโน้มน้าวให้เหยื่อเชื่อมต่อไปยังเซิร์ฟเวอร์แอปพลิเคชันที่เป็นอันตราย (เช่น เซิร์ฟเวอร์ SMB) ที่ผู้โจมตีควบคุมอยู่ เมื่อทำการเชื่อมต่อ เซิร์ฟเวอร์ที่เป็นอันตรายดังกล่าวก็จะสามารถโจมตีตัวโปรโตคอลได้"

"เพื่อใช้การโจมตีจากช่องโหว่ดังกล่าว ผู้โจมตีสามารถรันสคริปต์อันตรายที่สร้างขึ้นมาเป็นพิเศษ เพื่อบังคับให้เครื่องของเหยื่อเชื่อมต่อกลับมายังระบบของผู้โจมตีโดยใช้ SMB และการยืนยันตัวตน ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ได้"

ในขณะนั้น คำแนะนำด้านความปลอดภัยระบุว่า ข้อมูลเกี่ยวกับช่องโหว่ดังกล่าวได้ถูกเผยแพร่ต่อสาธารณะแล้วก่อนที่การอัปเดตความปลอดภัยจะถูกปล่อยออกมา อย่างไรก็ตาม Microsoft ยังไม่ได้ออกมายอมรับต่อสาธารณะถึงคำกล่าวอ้างของ CISA ที่ว่าช่องโหว่ CVE-2025-33073 กำลังถูกใช้ในการโจมตีจริงอยู่ในขณะนี้

Microsoft ได้ให้เครดิตการค้นพบช่องโหว่ดังกล่าวแก่นักวิจัยด้านความปลอดภัยหลายคน ได้แก่ Keisuke Hirata จาก CrowdStrike, Wilfried Bécard จาก Synacktiv, Stefan Walter จาก SySS GmbH, James Forshaw จาก Google Project Zero และ RedTeam Pentesting GmbH

CISA ยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี CVE-2025-33073 ที่กำลังเกิดขึ้น แต่ได้เพิ่มช่องโหว่ดังกล่าวเข้าไปใน Known Exploited Vulnerabilities Catalog โดยให้เวลาหน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) เป็นเวลาสามสัปดาห์ในการอัปเกรดระบบรักษาความปลอดภัยของตนภายในวันที่ 10 พฤศจิกายน ตามที่ข้อกำหนดโดยคำสั่ง Binding Operational Directive (BOD) 22-01

แม้ว่าคำสั่ง BOD 22-01 จะมุ่งเป้าไปที่หน่วยงานของรัฐบาลกลางเท่านั้น แต่หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ (CISA) ยังคงสนับสนุนให้ทุกองค์กร รวมถึงองค์กรในภาคเอกชน ตรวจสอบให้แน่ใจว่าได้ทำการแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตีจริงนี้โดยเร็วที่สุด

CISA แจ้งเตือนเมื่อวันที่ 20 ตุลาคม โดยระบุว่า "ช่องโหว่ประเภทนี้เป็นช่องโหว่การโจมตีที่พบบ่อยสำหรับผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อองค์กรของรัฐบาลกลาง"

 

ที่มา : bleepingcomputer.

CISA ได้ออกคำเตือนว่า ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ระดับความรุนแรงสูงสุดใน Adobe Experience Manager เพื่อรันโค้ดบนระบบที่ยังไม่ได้อัปเดตแพตช์ (more…)

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ระดับ Critical (CVE-2025-32463) ในแพ็กเกจ sudo ซึ่งทำให้สามารถรันคำสั่งด้วยสิทธิ์ระดับ Root บนระบบปฏิบัติการ Linux ได้

สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานแห่งสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่นี้ใน Known Exploited Vulnerabilities (KEV) โดยระบุว่าเป็น "การนำฟังก์ชันจากส่วนควบคุมที่ไม่น่าเชื่อถือมาใช้"

CISA กำหนดให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ต้องดำเนินการแก้ไขอย่างเป็นทางการ หรือยุติการใช้ sudo ภายในวันที่ 20 ตุลาคมนี้ (more…)

CISA ออกประกาศเตือนว่ามี Hacker กำลังใช้ประโยชน์จากช่องโหว่ Arbitrary Code Execution ในระบบ Git Distributed Version Control System และได้เพิ่มช่องโหว่นี้เข้าไปใน Known Exploited Vulnerabilities Catalog และกำหนด Deadline ให้หน่วยงานรัฐบาลกลางอัปเดตแพทช์ภายในวันที่ 15 กันยายน (more…)

CISA แจ้งเตือนว่ากลุ่มผู้โจมตีได้เริ่มใช้ช่องโหว่ที่มีระดับความรุนแรงสูงในซอฟต์แวร์ Print Management ของ PaperCut NG/MF เพื่อโจมตี โดยช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) ผ่านการโจมตีแบบ Cross-Site Request Forgery (CSRF) (more…)