Zyxel ผู้ให้บริการอุปกรณ์เครือข่ายจากไต้หวัน ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อ Router มากกว่า 12 รุ่น ซึ่งช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถ Remote Command Execution บนอุปกรณ์ที่ยังไม่ได้อัปเดตแพตช์ได้

ช่องโหว่ด้านความปลอดภัยประเภท Command Injection นี้มีหมายเลข CVE-2025-13942 โดยพบในฟังก์ชัน UPnP ของอุปกรณ์ Zyxel 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONTs และอุปกรณ์ Wireless extenders

Zyxel ระบุว่า ผู้โจมตีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเรียกใช้ OS command ของอุปกรณ์ที่ได้รับผลกระทบ โดยใช้ UPnP SOAP requests ที่ถูกสร้างขึ้นมาเพื่อโจมตีโดยเฉพาะ

อย่างไรก็ตาม การโจมตีผ่านช่องโหว่ CVE-2025-13942 น่าจะอยู่ในวงจำกัดกว่าที่ระดับความรุนแรงได้ระบุไว้ เนื่องจากการจะโจมตีระบบให้สำเร็จได้นั้นจำเป็นต้องมีการเปิดใช้งาน UPnP และการเข้าถึงผ่าน WAN ซึ่งการเข้าถึงผ่าน WAN นั้นถูก Disable ไว้เป็นค่า Default อยู่แล้ว

Zyxel ระบุว่า "การเข้าถึงผ่าน WAN บนอุปกรณ์เหล่านี้จะถูก Disable ไว้เป็นค่า Default และการโจมตีจากระยะไกลจะเกิดขึ้นได้ก็ต่อเมื่อมีการเปิดใช้งานทั้งการเข้าถึงผ่าน WAN และฟังก์ชัน UPnP ที่มีช่องโหว่เท่านั้น แต่บริษัทขอแนะนำให้ผู้ใช้ทำการติดตั้งแพตช์เพื่อรักษาระดับการป้องกันให้มีประสิทธิภาพสูงสุด"

นอกจากนี้ เมื่อวันอังคารที่ผ่านมา Zyxel ยังได้ออกแพตช์แก้ไขช่องโหว่ประเภท Command Injection ระดับความรุนแรงสูงอีก 2 รายการ (CVE-2025-13943 และ CVE-2026-1459) ซึ่งเป็นช่องโหว่ที่เกิดขึ้นหลังจากการยืนยันตัวตน โดยอาจทำให้ผู้ไม่หวังดีสามารถเรียกใช้ OS command ได้ หากได้ข้อมูล Credential ที่ถูกขโมยมา

Shadowserver ซึ่งเป็นองค์กรเฝ้าระวังด้านความปลอดภัยบนอินเทอร์เน็ต ปัจจุบันกำลังติดตามอุปกรณ์ Zyxel ที่เชื่อมต่ออยู่บนอินเทอร์เน็ตเกือบ 120,000 เครื่อง ซึ่งในจำนวนนี้เป็น Router มากกว่า 76,000 เครื่อง

อุปกรณ์ของ Zyxel มักตกเป็นเป้าหมายในการโจมตีอยู่บ่อยครั้ง เนื่องจากผู้ให้บริการอินเทอร์เน็ต (ISP) หลายแห่งทั่วโลกมักนำไปใช้เป็นอุปกรณ์มาตรฐานแก่ลูกค้า เมื่อมีการเปิดใช้งานสัญญาบริการอินเทอร์เน็ตใหม่

CISA กำลังติดตามช่องโหว่ของ Zyxel จำนวน 12 รายการ ที่ส่งผลกระทบต่ออุปกรณ์ Router, Firewall และ NAS ของบริษัท ซึ่งเป็นช่องโหว่ที่เคยถูกนำไปใช้ หรือกำลังถูกนำไปใช้ในการโจมตีจริงในปัจจุบัน

เมื่อต้นเดือนที่ผ่านมา Zyxel ได้ออกมาแจ้งเตือนว่า บริษัทไม่มีแผนที่จะออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยแบบ Zero-day จำนวน 2 รายการ (CVE-2024-40891 และ CVE-2024-40891) ที่กำลังถูกนำไปใช้ในการโจมตีจริง และส่งผลกระทบต่อ Router รุ่นที่หมดระยะเวลาการ Support (EOL) ไปแล้ว แต่ยังคงมีวางจำหน่ายอยู่ในช่องทางออนไลน์ โดยบริษัทแนะนำให้ลูกค้าเปลี่ยนไปใช้อุปกรณ์ Router รุ่นใหม่ที่ Firmware ได้รับการอัปเดตแก้ไขช่องโหว่แล้วแทน

Zyxel ระบุว่า "อุปกรณ์รุ่น VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 และ SBG3500 ถือเป็นผลิตภัณฑ์รุ่นเก่าที่หมดระยะเวลาการ Support (EOL) ไปแล้วมานานหลายปีแล้ว ดังนั้น จึงขอแนะนำให้ผู้ใช้งานเปลี่ยนไปใช้ผลิตภัณฑ์รุ่นใหม่กว่า เพื่อการป้องกันที่มีประสิทธิภาพสูงสุด"

Zyxel อ้างว่าปัจจุบันมีองค์กรธุรกิจมากกว่า 1 ล้านแห่งใน 150 ตลาดทั่วโลก ที่กำลังใช้งานผลิตภัณฑ์เครือข่ายของบริษัท

 

ที่มา : bleepingcomputer.

สรุปโดยย่อ

CVE-2025-55182 (React) และ CVE-2025-66478 (Next.js) เป็นช่องโหว่ RCE ระดับ Critical ซึ่งผู้โจมตีไม่จำเป็นต้องผ่านการยืนยันตัวตนในโปรโตคอล "Flight" ของ React Server Components (RSC)
ช่องโหว่อยู่ใน Default configurations – Next.

Cisco ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ใน Unified Contact Center Express (UCCX) software ซึ่งอาจทำให้ Hacker สามารถเรียกใช้คำสั่งด้วยสิทธิ์ root ได้

(more…)

Samsung ได้เผยแพร่การอัปเดตความปลอดภัยสำหรับ Android ซึ่งรวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัยที่ถูกระบุว่ามีการนำไปใช้ในการโจมตีแบบ Zero-Day แล้ว

ช่องโหว่ CVE-2025-21043 (CVSS Score : 8.8) เป็นช่องโหว่ out-of-bounds write ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดตามต้องการได้

Samsung ระบุใน advisory ว่า “Out-of-bounds Write ใน libimagecodec.

พบช่องโหว่ประเภท Command Injection ระดับ Critical ซึ่งนำไปสู่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ใน Trend Micro Apex One Management Console ซึ่งพบว่าปัจจุบันกำลังถูกนำมาใช้ในการโจมตีจริง

บริษัทยืนยันว่า พบการพยายามโจมตีจริงอย่างน้อยหนึ่งครั้งแล้ว ซึ่งส่งผลให้บริษัทต้องรีบออก mitigation tools ฉุกเฉินทันที

(more…)

 

พบช่องโหว่ด้านความปลอดภัยระดับ Critical ในระบบเครื่องปรับอากาศหลายรุ่นของ Mitsubishi Electric ซึ่งทำให้ผู้ไม่หวังดีสามารถ Bypass การยืนยันตัวตน และควบคุมอุปกรณ์ที่ได้รับผลกระทบจากระยะไกลได้ (more…)

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยระดับ Critical ในซอฟต์แวร์ MegaRAC Baseboard Management Controller (BMC) ของ AMI ที่อาจทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตน และดำเนินการโจมตีหลังจากเจาะระบบได้

ช่องโหว่นี้มีหมายเลข CVE-2024-54085 และมีคะแนน CVSS v4 ที่ระดับ 10.0 แสดงให้เห็นถึงระดับความรุนแรงขั้นสูงสุด

บริษัทด้านความปลอดภัยเฟิร์มแวร์ Eclypsium ให้ข้อมูลกับ The Hacker News โดยระบุว่า "ผู้โจมตีทั้งจากภายใน และภายนอกเครือข่ายสามารถใช้ช่องโหว่นี้ได้ผ่าน remote management interfaces (Redfish) หรือโฮสต์ภายในที่เชื่อมต่อกับอินเตอร์เฟซของ BMC (Redfish)"

"การใช้ช่องโหว่นี้ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ที่ถูกโจมตีจากระยะไกลได้ โดยติดตั้งมัลแวร์ หรือแรนซัมแวร์จากระยะไกล, แก้ไขเฟิร์มแวร์ ทำให้ชิ้นส่วนของเมนบอร์ด (BMC หรืออาจรวมถึง BIOS/UEFI) ไม่สามารถใช้งานได้ รวมถึงอาจก่อให้เกิดความเสียหายทาง physical กับเซิร์ฟเวอร์ (เช่น แรงดันไฟฟ้าเกิน หรือทำให้ใช้งานไม่ได้โดยสิ้นเชิง) และสร้าง reboot loops ที่เหยื่อไม่สามารถหยุดได้"

ช่องโหว่นี้ยังสามารถถูกนำไปใช้เพื่อก่อกวนระบบ โดยทำให้อุปกรณ์ที่ได้รับผลกระทบ reboot อย่างต่อเนื่องผ่านคำสั่งที่เป็นอันตราย ซึ่งอาจนำไปสู่การหยุดทำงานของระบบแบบไม่มีกำหนด จนกว่าอุปกรณ์ หรือฮาร์ดแวร์นั้นจะถูกตั้งค่าใหม่ทั้งหมด

CVE-2024-54085 เป็นช่องโหว่ในรายการล่าสุดของจำนวนช่องโหว่ที่ถูกพบใน AMI MegaRAC BMCs ตั้งแต่เดือนธันวาคม 2022 โดยทั้งหมดถูกระบุภายใต้ชื่อ BMC&C :

CVE-2022-40259 - ช่องโหว่ Arbitrary Code Execution ผ่าน Redfish API
CVE-2022-40242 - ช่องโหว่ Default credentials เพื่อเข้าถึง UID = 0 shell ผ่าน SSH
CVE-2022-2827 - ช่องโหว่ User enumeration ผ่าน API
CVE-2022-26872 - ช่องโหว่ Password reset interception ผ่าน API
CVE-2022-40258 - ช่องโหว่ Weak password hashes สำหรับ Redfish & API
CVE-2023-34329 - ช่องโหว่ Authentication Bypass ผ่าน HTTP Header Spoofing
CVE-2023-34330 - ช่องโหว่ Code injection ผ่าน Dynamic Redfish Extension interface

Eclypsium ระบุว่า CVE-2024-54085 มีความคล้ายคลึงกับ CVE-2023-34329 เนื่องจากช่องโหว่ทั้งสองรายการสามารถใช้เพื่อ bypass การยืนยันตัวตนได้ และก่อให้เกิดผลกระทบในลักษณะเดียวกัน โดยช่องโหว่นี้ได้รับการยืนยันว่าส่งผลกระทบต่ออุปกรณ์ดังต่อไปนี้ :

HPE Cray XD670
Asus RS720A-E11-RS24U
ASRockRack

AMI ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วเมื่อวันที่ 11 มีนาคม 2025 ที่ผ่านมา แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีจริง แต่ผู้ใช้งานควรอัปเดตระบบของตนทันทีที่ผู้ผลิต หรือผู้จำหน่าย OEM ได้ออกแพตช์แก้ไขช่องโหว่เหล่านี้ และปล่อยอัปเดตให้กับลูกค้า

ตอนนี้ทั้ง HPE และ Lenovo ได้ปล่อยแพตช์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ของพวกเขาแล้ว และรวมถึงการแก้ไขช่องโหว่ CVE-2024-54085 จาก AMI อีกด้วย

Eclypsium ระบุเพิ่มเติมว่า "การติดตั้งแพตช์สำหรับช่องโหว่เหล่านี้ไม่ใช่เรื่องง่าย เนื่องจากจะต้องมีการหยุดการทำงานของอุปกรณ์ โดยช่องโหว่นี้ส่งผลกระทบเฉพาะกับซอฟต์แวร์ BMC ของ AMI อย่างไรก็ตาม เนื่องจาก AMI เป็นหัวใจสำคัญของ BIOS supply chain ผลกระทบจึงตกไปที่ผู้ผลิต หรือผู้จำหน่ายฮาร์ดแวร์มากกว่า"

ที่มา : thehackernews

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ความปลอดภัยระดับ Critical ใน PHP เพื่อติดตั้งโปรแกรมขุดสกุลเงินดิจิทัล และโทรจันการเข้าถึงระยะไกล (RATs) เช่น Quasar RAT

ช่องโหว่นี้มีหมายเลข CVE-2024-4577 ซึ่งเป็นช่องโหว่ Argument Injection ใน PHP บนระบบ Windows ที่รันในโหมด CGI โดยทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้

บริษัทด้านความปลอดภัยทางไซเบอร์ Bitdefender ระบุว่า มีความพยายามโจมตีโดยใช้ช่องโหว่ CVE-2024-4577 เพิ่มขึ้นอย่างมากตั้งแต่ปลายปีที่แล้ว โดยมีการโจมตีมากที่สุดในไต้หวัน (54.65%), ฮ่องกง (27.06%), บราซิล (16.39%), ญี่ปุ่น (1.57%) และอินเดีย (0.33%)

ประมาณ 15% ของความพยายามโจมตีโดยใช้ช่องโหว่ที่ตรวจพบ เกี่ยวข้องกับการตรวจสอบช่องโหว่พื้นฐาน โดยใช้คำสั่งเช่น "whoami" และ "echo <test_string>" อีก 15% เกี่ยวข้องกับการตรวจสอบระบบ ซึ่งรวมถึงการตรวจสอบ Process Enumeration, การค้นหาเครือข่าย, ข้อมูลผู้ใช้ และโดเมน และการเก็บข้อมูลของระบบ

Martin Zugec ผู้อำนวยการฝ่ายโซลูชันทางเทคนิคของ Bitdefender เปิดเผยว่า อย่างน้อย 5% ของการโจมตีที่ตรวจพบ นำไปสู่การติดตั้ง XMRig เครื่องขุดสกุลเงินดิจิทัล

Zugec เสริมว่า "อีกหนึ่งแคมเปญเล็ก ๆ ที่เกี่ยวข้องกับการติดตั้ง Nicehash Miners ซึ่งเป็นแพลตฟอร์มที่ช่วยให้ผู้ใช้งานสามารถขาย computing power เพื่อแลกกับคริปโตฯ"

"กระบวนการขุดถูกปลอมแปลงเป็นแอปพลิเคชันที่ดูเหมือนถูกต้องตามปกติ เช่น javawindows.

พบช่องโหว่ด้านความปลอดภัยระดับ Critical สองรายการในปลั๊กอิน Spam protection, Anti-Spam และ FireWall ของ WordPress ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถติดตั้ง และเปิดใช้งานปลั๊กอินที่เป็นอันตรายบนเว็บไซต์ที่มีช่องโหว่ และอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

Microsoft ออก Patch Tuesday ประจำเดือนพฤศจิกายน 2024 โดยแก้ไขช่องโหว่ 91 รายการ รวมถึงช่องโหว่ zero-days 4 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย (more…)