สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้สั่งให้หน่วยงานรัฐบาลสหรัฐฯ เร่งแก้ไขช่องโหว่ Windows Server Update Services (WSUS) ความรุนแรงระดับ Crtical หลังจาก Microsoft เพิ่มช่องโหว่ดังกล่าวเข้าไปในรายการช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตี

CVE-2025-59287 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Crtical) เป็นช่องโหว่ Remote Code Execution (RCE) ซึ่งหากสามารถโจมตีช่องโหว่ได้สำเร็จ จะส่งผลกระทบต่อ Windows servers ที่เปิดใช้งาน WSUS Server role (เป็นฟีเจอร์ที่ไม่ได้เปิดใช้งานเป็นค่าเริ่มต้น) ซึ่งทำหน้าที่เป็นแหล่งอัปเดตสำหรับเซิร์ฟเวอร์อื่น ๆ ภายในองค์กร

Hacker สามารถใช้ช่องโหว่นี้โจมตีได้จากระยะไกล ในรูปแบบการโจมตีที่ไม่ซับซ้อน ซึ่งไม่จำเป็นต้องมีการโต้ตอบ หรือสิทธิ์พิเศษจากผู้ใช้งาน โดยหากโจมตีได้สำเร็จ ผู้โจมตีจะได้รับสิทธิ์ SYSTEM และเรียกใช้คำสั่งที่เป็นอันตรายได้

หลังจากที่ HawkTrace Security บริษัทรักษาความปลอดภัยไซเบอร์ ได้เผยแพร่ชุดสาธิตการโจมตี Proof-of-Concept(PoC) ทาง Microsoft ก็ได้ออกแพตซ์อัปเดตความปลอดภัยแบบ out-of-band security updates เพื่อแก้ไขช่องโหว่ CVE-2025-59287 บน Windows Server ทุกเวอร์ชันที่ได้รับผลกระทบ และแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์โดยเร็วที่สุด

ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตช์ฉุกเฉินได้ในทันที ควรปิดใช้งาน WSUS Server บนระบบที่มีช่องโหว่ เพื่อป้องกันการโจมตีช่องโหว่ดังกล่าว

ช่องโหว่ CVE-2025-59287 ถูกใช้ในการโจมตีแล้ว

ในวันที่มีการเผยแพร่การอัปเดตความปลอดภัยของช่องโหว่ CVE-2025-59287 บริษัทรักษาความปลอดภัยทางไซเบอร์สัญชาติอเมริกัน Huntress ได้พบหลักฐานการโจมตีช่องโหว่ที่มุ่งเป้าไปที่ WSUS instances ซึ่งใช้งานพอร์ตเริ่มต้น (8530/TCP และ 8531/TCP) ที่ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต

รวมถึง Eye Security บริษัทรักษาความปลอดภัยไซเบอร์สัญชาติเนเธอร์แลนด์ ก็ได้พบการสแกน และโจมตีระบบ หลังจากการเปิดเผยช่องโหว่ โดยระบบของลูกค้าอย่างน้อยหนึ่งรายถูกโจมตีโดยใช้ช่องโหว่ที่แตกต่างจากช่องโหว่ที่ Hawktrace ได้เผยแพร่

หลังจากนั้น Shadowserver ได้ติดตาม WSUS instances กว่า 2,800 รายการที่เปิดพอร์ตเริ่มต้น (8530/TCP และ 8531/TCP) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต แม้ว่าจะไม่ได้ระบุว่ามี WSUS instances จำนวนเท่าไรที่ได้รับการอัปเดตแพตแล้ว

หน่วยงานรัฐบาลกลางสั่งให้แก้ไขช่องโหว่โดยด่วน

CISA ยังได้เพิ่มช่องโหว่อีกรายการ ซึ่งส่งผลกระทบต่อ Adobe Commerce stores (เดิมคือ Magento) ซึ่งถูกระบุว่าถูกใช้ในการโจมตีในช่วงที่ผ่านมาเช่นกัน

โดย CISA ได้เพิ่มช่องโหว่ทั้งสองรายการลงใน Known Exploited Vulnerabilities catalog ซึ่งแสดงรายการช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตีอยู่จริง

ตามคำสั่งปฏิบัติการ (BOD) 22-01 เดือนพฤศจิกายน 2021 หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลางสหรัฐฯ (FCEB) จะต้องแก้ไขระบบของตนภายในสามสัปดาห์ภายในวันที่ 14 พฤศจิกายน 2025 เพื่อป้องกันการโจมตีช่องโหว่ที่อาจเกิดขึ้น

แม้ว่าข้อกำหนดนี้จะบังคับใช้เฉพาะกับหน่วยงานรัฐบาลสหรัฐฯ เท่านั้น แต่ขอแนะนำให้ผู้ดูแลระบบ และผู้มีส่วนเกี่ยวข้องทุกคนจัดลำดับความสำคัญในการแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้โดยเร็วที่สุด

CISA แนะนำให้ผู้ดูแลระบบ และผู้มีส่วนเกี่ยวข้องระบุเซิร์ฟเวอร์ที่มีช่องโหว่ทั้งหมด และใช้การอัปเดตความปลอดภัยแบบ out-of-band security updates สำหรับ CVE-2025-59287 หลังจากติดตั้งแล้ว ให้รีบูต WSUS servers เพื่อดำเนินการแก้ไขช่องโหว่ และรักษาความปลอดภัย Windows servers ที่เหลือให้เสร็จสิ้น

ที่มา : bleepingcomputer

CISA ระบุว่า ขณะนี้ผู้ไม่หวังดีกำลังใช้การโจมตีจากช่องโหว่ยกระดับสิทธิ์ (privilege escalation) ความรุนแรงสูงของ Windows SMB ซึ่งช่องโหว่ดังกล่าวจะช่วยให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับ SYSTEM บนระบบที่ยังไม่ได้ทำการอัปเดตแพตช์ได้

ช่องโหว่ด้านความปลอดภัยนี้มีหมายเลข CVE-2025-33073 ซึ่งส่งผลกระทบต่อ Windows Server และ Windows 10 ทุกเวอร์ชัน รวมถึงระบบ Windows 11 จนถึงเวอร์ชัน 24H2

Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ดังกล่าวไปแล้วในรอบการอัปเดต Patch Tuesday ประจำเดือนมิถุนายน 2025 พร้อมเปิดเผยว่า ช่องโหว่ดังกล่าวมีสาเหตุมาจาก improper access control ที่ไม่เหมาะสม ทำให้ผู้โจมตีที่ได้รับ authorized แล้ว สามารถยกระดับสิทธิ์ของตนเองผ่านทางเครือข่ายได้

Microsoft ระบุว่า "ผู้โจมตีสามารถโน้มน้าวให้เหยื่อเชื่อมต่อไปยังเซิร์ฟเวอร์แอปพลิเคชันที่เป็นอันตราย (เช่น เซิร์ฟเวอร์ SMB) ที่ผู้โจมตีควบคุมอยู่ เมื่อทำการเชื่อมต่อ เซิร์ฟเวอร์ที่เป็นอันตรายดังกล่าวก็จะสามารถโจมตีตัวโปรโตคอลได้"

"เพื่อใช้การโจมตีจากช่องโหว่ดังกล่าว ผู้โจมตีสามารถรันสคริปต์อันตรายที่สร้างขึ้นมาเป็นพิเศษ เพื่อบังคับให้เครื่องของเหยื่อเชื่อมต่อกลับมายังระบบของผู้โจมตีโดยใช้ SMB และการยืนยันตัวตน ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ได้"

ในขณะนั้น คำแนะนำด้านความปลอดภัยระบุว่า ข้อมูลเกี่ยวกับช่องโหว่ดังกล่าวได้ถูกเผยแพร่ต่อสาธารณะแล้วก่อนที่การอัปเดตความปลอดภัยจะถูกปล่อยออกมา อย่างไรก็ตาม Microsoft ยังไม่ได้ออกมายอมรับต่อสาธารณะถึงคำกล่าวอ้างของ CISA ที่ว่าช่องโหว่ CVE-2025-33073 กำลังถูกใช้ในการโจมตีจริงอยู่ในขณะนี้

Microsoft ได้ให้เครดิตการค้นพบช่องโหว่ดังกล่าวแก่นักวิจัยด้านความปลอดภัยหลายคน ได้แก่ Keisuke Hirata จาก CrowdStrike, Wilfried Bécard จาก Synacktiv, Stefan Walter จาก SySS GmbH, James Forshaw จาก Google Project Zero และ RedTeam Pentesting GmbH

CISA ยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี CVE-2025-33073 ที่กำลังเกิดขึ้น แต่ได้เพิ่มช่องโหว่ดังกล่าวเข้าไปใน Known Exploited Vulnerabilities Catalog โดยให้เวลาหน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) เป็นเวลาสามสัปดาห์ในการอัปเกรดระบบรักษาความปลอดภัยของตนภายในวันที่ 10 พฤศจิกายน ตามที่ข้อกำหนดโดยคำสั่ง Binding Operational Directive (BOD) 22-01

แม้ว่าคำสั่ง BOD 22-01 จะมุ่งเป้าไปที่หน่วยงานของรัฐบาลกลางเท่านั้น แต่หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ (CISA) ยังคงสนับสนุนให้ทุกองค์กร รวมถึงองค์กรในภาคเอกชน ตรวจสอบให้แน่ใจว่าได้ทำการแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตีจริงนี้โดยเร็วที่สุด

CISA แจ้งเตือนเมื่อวันที่ 20 ตุลาคม โดยระบุว่า "ช่องโหว่ประเภทนี้เป็นช่องโหว่การโจมตีที่พบบ่อยสำหรับผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อองค์กรของรัฐบาลกลาง"

 

ที่มา : bleepingcomputer.

CISA ได้ออกคำเตือนว่า ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ระดับความรุนแรงสูงสุดใน Adobe Experience Manager เพื่อรันโค้ดบนระบบที่ยังไม่ได้อัปเดตแพตช์ (more…)

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ระดับ Critical (CVE-2025-32463) ในแพ็กเกจ sudo ซึ่งทำให้สามารถรันคำสั่งด้วยสิทธิ์ระดับ Root บนระบบปฏิบัติการ Linux ได้

สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานแห่งสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่นี้ใน Known Exploited Vulnerabilities (KEV) โดยระบุว่าเป็น "การนำฟังก์ชันจากส่วนควบคุมที่ไม่น่าเชื่อถือมาใช้"

CISA กำหนดให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ต้องดำเนินการแก้ไขอย่างเป็นทางการ หรือยุติการใช้ sudo ภายในวันที่ 20 ตุลาคมนี้ (more…)

CISA ออกประกาศเตือนว่ามี Hacker กำลังใช้ประโยชน์จากช่องโหว่ Arbitrary Code Execution ในระบบ Git Distributed Version Control System และได้เพิ่มช่องโหว่นี้เข้าไปใน Known Exploited Vulnerabilities Catalog และกำหนด Deadline ให้หน่วยงานรัฐบาลกลางอัปเดตแพทช์ภายในวันที่ 15 กันยายน (more…)

CISA แจ้งเตือนว่ากลุ่มผู้โจมตีได้เริ่มใช้ช่องโหว่ที่มีระดับความรุนแรงสูงในซอฟต์แวร์ Print Management ของ PaperCut NG/MF เพื่อโจมตี โดยช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) ผ่านการโจมตีแบบ Cross-Site Request Forgery (CSRF) (more…)

หน่วยงานด้านความมั่นคงไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ร่วมกับ FBI ศูนย์อาชญากรรมไซเบอร์ของกระทรวงกลาโหม และหน่วยงานความมั่นคงแห่งชาติ (NSA) ได้ออกคำเตือนเร่งด่วนเกี่ยวกับความเป็นไปได้ของการโจมตีทางไซเบอร์โดยกลุ่มที่เชื่อมโยงกับรัฐบาลอิหร่าน ซึ่งมีเป้าหมายคือโครงสร้างพื้นฐานสำคัญของสหรัฐฯ (more…)

เมื่อวันพุธที่ผ่านมา สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ 3 รายการลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยแต่ละรายการส่งผลกระทบต่อ AMI MegaRAC, เราเตอร์ D-Link DIR-859 และ Fortinet FortiOS โดยอ้างอิงจากหลักฐานจากการโจมตีจริง (more…)

สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เผยแพร่คำแนะนำด้านความปลอดภัยจำนวน 5 ข้อเกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) เมื่อวันที่ 29 พฤษภาคม 2025 โดยระบุถึงช่องโหว่สำคัญในระบบอัตโนมัติในระบบอุตสาหกรรม และโครงสร้างพื้นฐานที่ใช้งานกันอย่างแพร่หลาย

(more…)

เมื่อวันพฤหัสบดีที่ผ่านมา สำนักงานด้านความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดเผยว่า Commvault กำลังเฝ้าระวังกิจกรรมภัยคุกคามทางไซเบอร์ที่กำหนดเป้าหมายไปยังแอปพลิเคชันที่โฮสต์อยู่ในสภาพแวดล้อม Microsoft Azure ของบริษัท (more…)