สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เผยแพร่คำแนะนำด้านความปลอดภัยจำนวน 5 ข้อเกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) เมื่อวันที่ 29 พฤษภาคม 2025 โดยระบุถึงช่องโหว่สำคัญในระบบอัตโนมัติในระบบอุตสาหกรรม และโครงสร้างพื้นฐานที่ใช้งานกันอย่างแพร่หลาย
(more…)
เมื่อวันพฤหัสบดีที่ผ่านมา สำนักงานด้านความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดเผยว่า Commvault กำลังเฝ้าระวังกิจกรรมภัยคุกคามทางไซเบอร์ที่กำหนดเป้าหมายไปยังแอปพลิเคชันที่โฮสต์อยู่ในสภาพแวดล้อม Microsoft Azure ของบริษัท (more…)
หน่วยงานความมั่นคงทางไซเบอร์ CISA กำลังให้ความสนใจต่อช่องโหว่ที่ค้นพบใน TeleMessage ซึ่งเป็นแอปพลิเคชันการส่งข้อความที่เพิ่งถูกใช้โดยอดีตที่ปรึกษาด้านความมั่นคงแห่งชาติของทรัมป์, Mike Waltz
ในช่วงเวลาสั้น ๆ ของ Waltz ในฐานะที่ปรึกษาด้านความมั่นคงแห่งชาติ มีเหตุการณ์ที่เกี่ยวข้องกับการใช้แอปพลิเคชันส่งข้อความถึง 2 ครั้ง ครั้งแรกคือ เหตุการณ์ที่รู้จักกันในชื่อ ‘Signalgate’ เมื่อเขาเพิ่มนักข่าวเข้าไปในกลุ่มแชท Signal โดยไม่ได้ตั้งใจที่มีบรรดาผู้นำด้านความมั่นคงแห่งชาติกำลังพูดคุยเกี่ยวกับการปฏิบัติการทางทหารที่กำลังจะเกิดขึ้นในเยเมน
หลังจากนั้น Waltz ถูกพบเห็นใช้แอปพลิเคชันที่ชื่อว่า TeleMessage Signal บนโทรศัพท์ของเขา ซึ่งทำให้เกิดข้อกังวลด้านความปลอดภัยอีกครั้ง
(more…)
เมื่อวันจันทร์ที่ผ่านมา (28 เมษายน 2025) CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงสองรายการ ที่ส่งผลกระทบต่อ Broadcom Brocade Fabric OS และ Commvault Web Server ลงในบัญชีรายการ Known Exploited Vulnerabilities (KEV) โดยอ้างอิงจากหลักฐานว่ากำลังถูกใช้ในการโจมตีจริงในโลกไซเบอร์
ช่องโหว่ดังกล่าวมีรายละเอียดดังนี้ :
CVE-2025-1976 (คะแนน CVSS: 8.6) - ช่องโหว่ code injection ที่ส่งผลกระทบต่อ Broadcom Brocade Fabric OS ซึ่งสามารถทำให้ผู้ใช้งานในระดับ local ที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการด้วยสิทธิ์ root อย่างเต็มรูปแบบได้
CVE-2025-3928 (คะแนน CVSS: 8.7) - ช่องโหว่ unspecified flaw ใน Commvault Web Server ที่อนุญาตให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนแล้ว สามารถสร้าง และเรียกใช้ web shell ได้
เมื่อเดือนกุมภาพันธ์ 2025 ที่ผ่านมา Commvault ระบุว่า "การโจมตีช่องโหว่นี้จำเป็นต้องใช้ข้อมูล Credentials ของผู้ใช้งานที่ผ่านการยืนยันตัวตนภายในสภาพแวดล้อมซอฟต์แวร์ของ Commvault"
ช่องโหว่นี้ส่งผลกระทบต่อ Commvault Web Server ในเวอร์ชั่นของ Windows และ Linux ดังต่อไปนี้ :
11.36.0 - 11.36.45 (แก้ไขแล้วในเวอร์ชั่น 11.36.46)
11.32.0 - 11.32.88 (แก้ไขแล้วในเวอร์ชั่น 11.32.89)
11.28.0 - 11.28.140 (แก้ไขแล้วในเวอร์ชั่น 11.28.141)
11.20.0 - 11.20.216 (แก้ไขแล้วในเวอร์ชั่น 11.20.217)
สำหรับช่องโหว่ CVE-2025-1976 นั้น ทาง Broadcom ระบุว่า เป็นช่องโหว่ในการตรวจสอบ IP Address ซึ่งอาจทำให้ผู้ใช้งานในระดับ local ที่มีสิทธิ์ผู้ดูแลระบบ สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการด้วยสิทธิ์ root บน Fabric OS เวอร์ชั่น 9.1.0 ถึง 9.1.1d6 โดยช่องโหว่นี้ได้รับการแก้ไขไปแล้วในเวอร์ชั่น 9.1.1d7
วันที่ 17 เมษายน 2025 ทาง Broadcom ระบุว่า "ช่องโหว่นี้สามารถทำให้ผู้ใช้งานเรียกใช้คำสั่งที่มีอยู่บน Fabric OS หรืออาจใช้เพื่อแก้ไข Fabric OS เอง รวมถึงการเพิ่ม subroutines ของตนเองได้"
"แม้ว่าการโจมตีนี้จะต้องมีการเข้าถึงระบบอย่างถูกต้อง จนไปถึงสิทธิ์ผู้ดูแลระบบก่อน แต่พบว่าช่องโหว่นี้กำลังถูกนำไปใช้ในการโจมตีจริงในโลกไซเบอร์แล้ว"
ปัจจุบันยังไม่มีรายละเอียดที่เกี่ยวกับวิธีการที่ช่องโหว่ทั้งสองนี้ถูกนำไปใช้โจมตีในโลกไซเบอร์ ทั้งขนาดของการโจมตี และผู้ที่อยู่เบื้องหลังการโจมตีเหล่านี้
หน่วยงานในสังกัด Federal Civilian Executive Branch (FCEB) ต้องติดตั้งแพตช์สำหรับ Commvault Web Server ภายในวันที่ 17 พฤษภาคม 2025 และสำหรับ Broadcom Brocade Fabric OS ภายในวันที่ 19 พฤษภาคม 2025 ตามลำดับ เพื่อแก้ไขช่องโหว่ดังกล่าว
ที่มา : thehackernews
CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ส่งผลกระทบต่อ Gladinet CentreStack เข้าไปใน Known Exploited Vulnerabilities (KEV) เมื่อวันอังคารที่ผ่านมา หลังพบหลักฐานว่ากำลังมีการใช้ช่องโหว่ดังกล่าวโจมตีระบบจริง (more…)
CISA แจ้งเตือนปฏิบัติการของกลุ่มแรนซัมแวร์ Medusa ได้ส่งผลกระทบต่อองค์กรมากกว่า 300 แห่งในภาคส่วนโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกาจนถึงเมื่อเดือนที่ผ่านมา
ข้อมูลนี้ถูกเปิดเผยในคำแนะนำที่ออกมาในวันนี้ (12 มีนาคม 2025) โดยประสานงานกับสำนักงานสอบสวนกลาง (FBI) และ ศูนย์แบ่งปัน และวิเคราะห์ข้อมูลจากหลายรัฐ (MS-ISAC)
CISA, FBI และ MS-ISAC ระบุว่า "เมื่อเดือนกุมภาพันธ์ 2025 กลุ่ม Medusa และพันธมิตร โจมตีเหยื่อมากกว่า 300 รายจากหลายภาคส่วนของโครงสร้างพื้นฐานที่สำคัญ โดยอุตสาหกรรมที่ได้รับผลกระทบประกอบด้วย การแพทย์, การศึกษา, กฎหมาย, ประกันภัย, เทคโนโลยี และการผลิต"
“FBI, CISA และ MS-ISAC สนับสนุนให้องค์กรต่าง ๆ ดำเนินการตามคำแนะนำในส่วนของการลดผลกระทบตามคำแนะนำฉบับนี้ เพื่อลดโอกาส และผลกระทบจากเหตุการณ์ที่เกี่ยวข้องกับแรนซัมแวร์ Medusa”
ตามที่คำแนะนำระบุไว้ เพื่อป้องกันการโจมตีจากแรนซัมแวร์ Medusa ผู้ป้องกันระบบควรใช้มาตรการต่อไปนี้ :
ลดความเสี่ยงจากช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก โดยควรดำเนินการให้ระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ได้รับการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดภายในระยะเวลาที่เหมาะสม
ดำเนินการทำ Networks Segment เพื่อลดการโจมตีในลักษณะ Lateral Movement ระหว่างอุปกรณ์ที่ติดมัลแวร์ และอุปกรณ์อื่น ๆ ภายในองค์กร
Filter Network Traffic โดยปิดกั้นการเข้าถึงจากแหล่งที่มาที่ไม่รู้จัก หรือไม่น่าเชื่อถือจาก remote services มายังระบบภายใน
ปฏิบัติการของแรนซัมแวร์กลุ่มนี้ ถูกพบครั้งแรกเมื่อ 4 ปีก่อนในเดือนมกราคม 2021 แต่การดำเนินการของกลุ่มนี้เพิ่งกลับมาเพิ่มขึ้นอีกครั้งเมื่อสองปีที่แล้วในปี 2023 เมื่อพวกเขาเปิดตัวเว็บไซต์ Medusa Blog เพื่อกดดันเหยื่อให้จ่ายค่าไถ่โดยใช้ข้อมูลที่ถูกขโมยมาเป็นเครื่องมือในการต่อรอง
Medusa เปิดตัวครั้งแรกในรูปแบบแรนซัมแวร์แบบปิด โดยที่กลุ่มผู้โจมตีเพียงกลุ่มเดียวจะรับผิดชอบในการพัฒนา และการดำเนินงานทั้งหมด แม้ว่า Medusa จะพัฒนาไปเป็น Ransomware-as-a-Service (RaaS) และนำเอาโมเดลพันธมิตรมาใช้ในภายหลัง แต่ผู้พัฒนายังคงดูแลการดำเนินการที่สำคัญ รวมถึงการเจรจาค่าไถ่
“นักพัฒนาของ Medusa มักจะรับสมัคร initial access brokers (IABs) จากฟอรัมของอาชญากรไซเบอร์เพื่อขอสิทธิ์ในการเข้าถึงเหยื่อที่มีศักยภาพ อาจมีการจ่ายเงินระหว่าง 100 ดอลลาร์สหรัฐฯ ถึง 1 ล้านดอลลาร์สหรัฐฯ สำหรับพันธมิตรที่ให้ข้อมูลเหล่านี้ พร้อมเสนอโอกาสทำงานกับ Medusa โดยเฉพาะ"
นอกจากนี้ยังพบว่ากลุ่มมัลแวร์หลายกลุ่ม และปฏิบัติการอาชญากรรมทางไซเบอร์ มีการใช้ชื่อ Medusa รวมถึง botnet ที่มีพื้นฐานจาก Mirai ซึ่งมีความสามารถในการโจมตีแรนซัมแวร์ และปฏิบัติการมัลแวร์ Malware-as-a-service (MaaS) สำหรับ Android ที่ค้นพบในปี 2020 (ที่รู้จักกันในชื่อ TangleBot)
เนื่องจากการใช้ชื่อที่พบบ่อยนี้ จึงมีรายงานที่ทำให้เกิดความสับสนเกี่ยวกับแรนซัมแวร์ Medusa โดยหลายคนคิดว่าเป็นการปฏิบัติการเดียวกับ MedusaLocker ซึ่งเป็นแรนซัมแวร์ที่รู้จักกันอย่างแพร่หลาย แม้ว่าทั้งสองจะเป็นการปฏิบัติการที่แตกต่างกันโดยสิ้นเชิง
การโจมตีด้วยแรนซัมแวร์ Medusa มีแนวโน้มเพิ่มขึ้น
ตั้งแต่ที่มีการเปิดโปง กลุ่ม Medusa ได้อ้างว่ามีเหยื่อกว่า 400 รายทั่วโลก และได้รับความสนใจมากขึ้นในเดือนมีนาคม 2023 หลังจากอ้างความรับผิดชอบในการโจมตีเขตการศึกษาของรัฐมินนีแอโพลิส (MPS) และมีการแชร์วิดีโอของข้อมูลที่ถูกขโมยออกมา
กลุ่ม Medusa ยังได้ปล่อยไฟล์ที่อ้างว่าเป็นข้อมูลที่ขโมยมาจาก Toyota Financial Services ซึ่งเป็นบริษัทในเครือของ Toyota Motor Corporation บน Dark Extortion Portal ในเดือนพฤศจิกายน 2023 หลังจากที่บริษัทปฏิเสธที่จะจ่ายค่าไถ่ 8 ล้านดอลลาร์สหรัฐฯ และแจ้งลูกค้าเกี่ยวกับการละเมิดข้อมูล
ทีม Threat Hunter ของ Symantec ระบุเมื่อสัปดาห์ที่แล้ว "การโจมตีด้วยแรนซัมแวร์ Medusa เพิ่มขึ้น 42% ระหว่างปี 2023 และ 2024 และปฏิบัติการนี้ยังคงเพิ่มสูงขึ้นอย่างต่อเนื่อง โดยการโจมตีด้วย Medusa ในเดือนมกราคม และกุมภาพันธ์ 2025 เพิ่มขึ้นเกือบสองเท่าเมื่อเทียบกับสองเดือนแรกของปี 2024"
เมื่อเดือนที่แล้ว CISA และ FBI เคยได้ออกการแจ้งเตือนร่วมกัน โดยเตือนว่าผู้เสียหายจากหลายอุตสาหกรรมทั่วโลกกว่า 70 ประเทศ รวมถึงโครงสร้างพื้นฐานที่สำคัญ ได้ถูกละเมิดในเหตุการณ์โจมตีของ Ghost ransomware
ที่มา : bleepingcomputer
CISA ได้แจ้งเตือนหน่วยงานของรัฐบาลกลางสหรัฐฯ ให้ตรวจสอบ และแก้ไขความปลอดภัยระบบของตนจากการโจมตีโดยใช้ช่องโหว่ของ Cisco และ Windows ถึงแม้ว่า CISA จะระบุว่าช่องโหว่เหล่านี้กำลังถูกใช้ในการโจมตีอย่างแพร่หลาย แต่ก็ยังไม่ได้ให้รายละเอียดที่เจาะจงเกี่ยวกับการโจมตีนี้ และใครอยู่เบื้องหลัง
(more…)
สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ระบุว่า ข่าวที่มีการรายงานว่า CISA ถูกสั่งให้ไม่ติดตาม หรือรายงานเกี่ยวกับภัยคุกคามทางไซเบอร์จากรัสเซียนั้นไม่เป็นความจริง และภารกิจยังคงไม่เปลี่ยนแปลง
หน่วยงานความปลอดภัยทางไซเบอร์ของสหรัฐฯ ได้โพสต์บน X โดยระบุว่า "ภารกิจของ CISA คือการป้องกันภัยคุกคามทางไซเบอร์ทั้งหมด ที่มุ่งเป้าไปยังโครงสร้างพื้นฐานสำคัญของสหรัฐฯ รวมถึงภัยคุกคามจากรัสเซีย"
"ไม่มีการเปลี่ยนแปลงในท่าทีของ CISA การรายงานใด ๆ ที่ขัดแย้งกันนั้นเป็นเท็จ และทำลายความมั่นคงของชาติของเรา"
ข่าวนี้เกิดขึ้นหลังจากที่ The Guardian รายงานเมื่อวันเสาร์ที่ผ่านมาว่า (1 มีนาคม 2025) "รัฐบาลทรัมป์ไม่มองว่ารัสเซียเป็นภัยคุกคามทางไซเบอร์ต่อโครงสร้างพื้นฐานที่สำคัญ และผลประโยชน์ของสหรัฐฯ อีกต่อไป"
ตามรายงานดังกล่าว CISA ได้รับคำสั่งใหม่ในบันทึกภายในให้มุ่งเน้นการปกป้องระบบท้องถิ่น และภัยคุกคามจากจีน โดยไม่ได้กล่าวถึงรัสเซีย นอกจากนี้ The Guardian ยังรายงานว่า นักวิเคราะห์ของ CISA ได้รับคำสั่งด้วยวาจาว่าไม่ให้ติดตาม หรือรายงานเกี่ยวกับภัยคุกคามทางไซเบอร์ของรัสเซีย
CISA เป็นหน่วยงานของรัฐบาลสหรัฐฯ ที่รับผิดชอบในการปกป้องโครงสร้างพื้นฐานที่สำคัญ รวมถึงโครงสร้างพื้นฐานที่เกี่ยวข้องกับการเลือกตั้งจากภัยคุกคามทางไซเบอร์ และภัยคุกคามทาง Physical โดย CISA จะทำการตรวจสอบ และลดผลกระทบจากภัยคุกคามทางไซเบอร์จากศัตรูจากต่างประเทศรวมถึงรัสเซีย โดยแบ่งปันข้อมูลเกี่ยวกับภัยคุกคาม ประสานงานการตอบสนองต่อเหตุการณ์ และทำงานร่วมกับหน่วยงานของรัฐบาล และองค์กรเอกชนเพื่อเสริมสร้างการป้องกันความปลอดภัยทางไซเบอร์ระดับชาติ
ในการตอบคำถามเกี่ยวกับรายงานของ The Guardian นั้น Tricia McLaughlin ผู้ช่วยเลขานุการฝ่ายกิจการสาธารณะ กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ให้ข้อมูลกับ BleepingComputer ว่า บันทึกดังกล่าวเป็นข่าวปลอม และ CISA จะยังคงดำเนินการจัดการกับภัยคุกคามทางไซเบอร์จากรัสเซียต่อไป
McLaughlin ระบุกับ BleepingComputer ว่า "เรื่องราวทั้งหมดของ The Guardian เป็นเรื่องไร้สาระ อ้างอิงจากบันทึกที่ถูกกล่าวหาว่า รัฐบาลทรัมป์ไม่เคยออกคำสั่ง และ The Guardian ปฏิเสธที่จะให้เราดู หรือให้วันที่ของบันทึกดังกล่าว"
"CISA ยังคงมุ่งมั่นที่จะจัดการกับภัยคุกคามทางไซเบอร์ทั้งหมดที่มุ่งเป้าไปยังโครงสร้างพื้นฐานสำคัญของสหรัฐฯ รวมถึงจากรัสเซียด้วย ไม่มีการเปลี่ยนแปลงในท่าที หรือความสำคัญในด้านนี้"
TheRecord ยังรายงานเมื่อวันศุกร์ที่ผ่านมาว่า (28 กุมภาพันธ์ 2025) Pete Hegseth รัฐมนตรีว่าการกระทรวงกลาโหมได้สั่งการให้ Cyber Command หยุดปฏิบัติการโจมตีที่วางแผนไว้ ซึ่งมุ่งเป้าหมายไปที่รัสเซีย
The New York Times และ The Washington Post ยืนยันเพิ่มเติมเมื่อวันเสาร์ (1 มีนาคม 2025) โดยแหล่งข่าวระบุว่า การเปลี่ยนแปลงในท่าทีนี้มีขึ้นเพื่อให้สามารถเจรจาหยุดการรุกรานของรัสเซียในยูเครนได้
เจ้าหน้าที่ฝ่ายกลาโหมระดับอาวุโส ได้ระบุในคำแถลงเมื่อได้รับการติดต่อเกี่ยวกับการเปลี่ยนแปลงคำสั่งของ Cyber Command
โดยเจ้าหน้าที่ฝ่ายกลาโหมระบุว่า "เนื่องจากความกังวลเกี่ยวกับความปลอดภัยในการปฏิบัติการ เราไม่ให้ความเห็น หรือหารือเกี่ยวกับข่าวกรองทางไซเบอร์, แผนการ หรือการปฏิบัติการ"
"ไม่มีสิ่งใดที่มีความสำคัญต่อเลขานุการ Hegseth มากกว่าความปลอดภัยของเจ้าหน้าที่ของสหรัฐฯ ในการปฏิบัติการทุกประเภท รวมถึงในด้านไซเบอร์ด้วย"
ที่มา : bleepingcomputer
CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่ด้านความปลอดภัย 2 รายการที่ส่งผลกระทบต่อ Adobe ColdFusion และ Oracle Agile Product Lifecycle Management (PLM) เข้าสู่รายการช่องโหว่ที่กำลังถูกนำไปใช้ในการโจมตีจริง (KEV) โดยอ้างอิงจากหลักฐานการถูกโจมตีจริง (more…)
Ivanti ปล่อยแพตซ์อัปเดตด้านความปลอดภัยสำหรับ Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) และ Ivanti Secure Access Client (ISAC) เพื่อแก้ไขช่องโหว่หลายรายการ รวมถึงช่องโหว่ความรุนแรงระดับ Critical สามรายการ (more…)