CISA แจ้งเตือนหน่วยงานรัฐบาลสหรัฐฯ ให้รักษาความปลอดภัยระบบของตนเพื่อป้องกันช่องโหว่ Privilege Escalation บน Windows Task Host ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับ SYSTEM ได้ (more…)

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกประกาศเตือนเมื่อวันพฤหัสบดีที่ผ่านมา หลังตรวจพบว่ามีการนำช่องโหว่ใน Apache ActiveMQ มาใช้ในการโจมตีจริง โดยช่องโหว่ดังกล่าวเพิ่งมีการอัปเดตแพตช์ไปเมื่อต้นเดือนนี้ (more…)

 

หน่วยงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) แจ้งเตือนพบ Hacker กำลังโจมตีช่องโหว่ระดับ Critical ที่มีหมายเลข CVE-2026-33017 ซึ่งส่งผลกระทบต่อ Langflow framework สำหรับการสร้าง AI agents (more…)

CISA แจ้งเตือนหน่วยงานรัฐบาลสหรัฐฯ ให้เร่งอัปเดตแพตซ์ความปลอดภัยของ Wing FTP Server จากช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง ซึ่งอาจถูกนำไปใช้ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ได้

(more…)

สำนักงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) สั่งการให้หน่วยงานรัฐบาลอัปเดตระบบของตนเพื่อแก้ไขช่องโหว่ n8n ที่กำลังถูกใช้ในการโจมตีอย่างแพร่หลายในปัจจุบัน (more…)

สำนักงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้สั่งให้หน่วยงานของรัฐบาลกลางแก้ไขช่องโหว่ด้านความปลอดภัยของ iOS จำนวน 3 รายการ ซึ่งตกเป็นเป้าหมายในการโจมตีเพื่อขโมยข้อมูลคริปโตเคอร์เรนซี โดยมีการใช้เครื่องมือโจมตี Coruna

จากข้อมูลของนักวิจัยจาก Google Threat Intelligence Group (GTIG) ได้เปิดเผยเมื่อต้นสัปดาห์ที่ผ่านมา เครื่องมือ Coruna ใช้ exploit ที่มีความซับซ้อนหลายขั้นตอนมุ่งเป้าไปที่ช่องโหว่ของ iOS ถึง 23 รายการ ซึ่งหลายรายการถูกนำมาใช้ในการโจมตีแบบ Zero-day (more…)

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ของ VMware Aria Operations ที่มีหมายเลข CVE-2026-22719 ลงใน Known Exploited Vulnerabilities catalog พร้อมระบุว่าช่องโหว่นี้กำลังถูกใช้ในการโจมตี

ทางด้าน Broadcom ได้รับทราบรายงานของช่องโหว่ และระบุว่า ช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีแล้ว แต่ยังไม่สามารถยืนยันข้อเท็จจริงของรายงานเหล่านั้นได้ (more…)

CISA ประกาศแจ้งเตือนช่องโหว่ 2 รายการของ Roundcube Webmail ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีจริง พร้อมทั้งสั่งการให้หน่วยงานของรัฐบาลกลางสหรัฐฯ ดำเนินการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าวภายในสามสัปดาห์

Roundcube Webmail เป็นโปรแกรมจัดการอีเมลบนเว็บ ซึ่งถูกใช้เป็นหน้าต่างใช้งานอีเมลเริ่มต้นสำหรับ cPanel ซึ่งเป็น Web hosting control panel ที่ได้รับความนิยมอย่างแพร่หลายมาตั้งแต่ปี 2008

(more…)

CISA กำลังแจ้งเตือนหน่วยงานรัฐบาลให้ทำการแพตช์แก้ไขระบบ Oracle Identity Manager ซึ่งมีหมายเลขช่องโหว่คือ CVE-2025-61757 โดยช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแล้ว และมีความเป็นไปได้ว่าอาจเป็นการโจมตีแบบ Zero-day

CVE-2025-61757 เป็นช่องโหว่ประเภท RCE แบบไม่ต้องยืนยันตัวตนใน Oracle Identity Manager ซึ่งถูกค้นพบ และเปิดเผยโดย Adam Kues และ Shubham Shahflaw นักวิเคราะห์จาก Searchlight Cyber

ช่องโหว่ดังกล่าวเกิดจากการ Authentication bypass ใน REST API ของ Oracle Identity Manager โดย Security filter สามารถถูกหลอกให้เข้าใจผิดว่า Endpoint ที่มีการป้องกันนั้นเป็นพื้นที่สาธารณะ เพียงแค่เติมพารามิเตอร์อย่าง ?WSDL หรือ ;.wadl ต่อท้าย URL paths

เมื่อสามารถเข้าถึงได้โดยไม่ต้องยืนยันตัวตนแล้ว ผู้โจมตีจะสามารถเข้าถึง Groovy script ซึ่งเป็น Endpoint สำหรับการ compilation ที่ตามปกติจะไม่ได้สั่ง execute script แต่ช่องทางนี้กลับสามารถถูกใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายในช่วง Compile time ได้ ผ่านทางฟีเจอร์การประมวลผล Annotation ของ Groovy

การเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกัน ทำให้นักวิจัยสามารถเรียกใช้โค้ดจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตนบนระบบ Oracle Identity Manager ที่ได้รับผลกระทบได้สำเร็จ

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว โดยเป็นส่วนหนึ่งของการอัปเดตความปลอดภัยประจำเดือนตุลาคม 2025 ของ Oracle ที่ปล่อยออกมาเมื่อวันที่ 21 ตุลาคมที่ผ่านมา

วันที่ 20 พฤศจิกายนที่ผ่านมา Searchlight Cyber ได้เผยแพร่รายงานเชิงเทคนิคที่ลงรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าว พร้อมทั้งให้ข้อมูลทั้งหมดที่จำเป็นสำหรับการใช้ช่องโหว่นี้ในการโจมตี

นักวิจัย ระบุว่า "เมื่อพิจารณาถึงความซับซ้อนของช่องโหว่ Oracle Access Manager บางรายการก่อนหน้านี้ ช่องโหว่ตัวนี้ถือว่าค่อนข้างไม่ซับซ้อน และง่ายต่อการถูกผู้ไม่หวังดีนำไปใช้ในการโจมตี"

CVE-2025-61757 ถูกนำไปใช้ในการโจมตีจริง

วันที่ 21 พฤศจิกายนที่ผ่านมา ทาง CISA ได้เพิ่มช่องโหว่ CVE-2025-61757 ของ Oracle เข้าสู่บัญชีรายชื่อช่องโหว่ที่กำลังถูกใช้ในการโจมตีจริง (KEV catalog) และได้กำหนดเส้นตายให้หน่วยงานฝ่ายบริหารของรัฐบาลกลาง (FCEB) ดำเนินการอัปเดตแพตช์แก้ไขช่องโหว่ดังกล่าวให้แล้วเสร็จภายในวันที่ 12 ธันวาคม ตามข้อบังคับในคำสั่งการดำเนินงานที่มีผลผูกพัน (BOD) 22-01

CISA ระบุว่า "ช่องโหว่ประเภทนี้ถือเป็นช่องทางการโจมตีที่พบได้บ่อยสำหรับผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อหน่วยงานของรัฐบาลกลาง"

แม้ว่าทาง CISA จะยังไม่ได้เปิดเผยรายละเอียดว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีอย่างไร แต่ Johannes Ullrich คณบดีฝ่ายวิจัยของสถาบัน SANS Technology Institute ได้ออกมาเตือนเมื่อวันที่ 20 พฤศจิกายนว่า ช่องโหว่ดังกล่าวอาจถูกนำไปใช้โจมตีในรูปแบบ Zero-day มาตั้งแต่วันที่ 30 สิงหาคมแล้ว

Ullrich อธิบายไว้ในบันทึก ISC Handler Diary ระบุว่า "URL นี้ถูกเข้าถึงหลายครั้งในช่วงระหว่างวันที่ 30 สิงหาคม ถึง 9 กันยายนของปีนี้ ซึ่งเป็นเวลานานก่อนที่ Oracle จะออกแพตช์แก้ไขช่องโหว่ดังกล่าว"

"มี IP Address ที่แตกต่างกันจำนวนมากที่ทำการสแกนหาช่องโหว่ดังกล่าว แต่ทั้งหมดกลับใช้ User Agent ตัวเดียวกัน ซึ่งแสดงให้เห็นว่าเราอาจกำลังรับมือกับผู้โจมตีเพียงรายเดียว"

จากข้อมูลของ Ullrich ผู้ไม่หวังดีได้ส่งคำสั่ง HTTP POST request ไปยัง Endpoint ต่าง ๆ ดังต่อไปนี้ ซึ่งตรงกับรูปแบบการโจมตีระบบที่ทาง Searchlight Cyber ได้แชร์ข้อมูลเอาไว้

นักวิจัยระบุว่า ความพยายามในการโจมตีมาจาก IP Address ที่แตกต่างกันจำนวน 3 IP ได้แก่ 89.238.132[.]76, 185.245.82[.]81 และ 138.199.29[.]153 แต่ทั้งหมดกลับใช้ User Agent ของเบราว์เซอร์ตัวเดียวกัน ซึ่งตรงกับ Google Chrome 60 บนระบบปฏิบัติการ Windows 10

ที่มา : bleepingcomputer

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานแห่งสหรัฐฯ (CISA) ได้ออกมาเตือนหน่วยงานภาครัฐให้ทำการอัปเดตแพตช์ช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง ซึ่งส่งผลกระทบต่อ Firewall WatchGuard Firebox

(more…)