สำนักงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกคำเตือนว่า แฮ็กเกอร์กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ต่าง ๆ ใน Linux Kernel และระบบปฏิบัติการ Android

ช่องโหว่ล่าสุดที่หน่วยงานได้เพิ่มเข้าไปในแคตตาล็อกช่องโหว่ที่มีการถูกนำไปใช้ในการโจมตีจริง (KEV catalog) คือ CVE-2025-48595 ซึ่งเป็นช่องโหว่ประเภท Integer Overflow ที่มีความรุนแรงระดับ High ใน Android Framework โดยช่องโหว่นี้สามารถถูกนำไปใช้เพื่อยกระดับสิทธิ์การเข้าถึงได้

ตามรายงานแจ้งเตือนด้านความปลอดภัยล่าสุดของ Google ช่องโหว่ด้านความปลอดภัยดังกล่าว ส่งผลกระทบต่อ Android เวอร์ชัน 14 ถึง 16 และสามารถถูกใช้โจมตีได้โดยไม่จำเป็นต้องมีการโต้ตอบใด ๆ จากผู้ใช้งาน

Google ระบุว่า CVE-2025-48595 อาจกำลังถูกนำไปใช้ในการโจมตีแบบเจาะจงเป้าหมายในวงจำกัด แต่ไม่ได้ให้รายละเอียดเฉพาะเจาะจงเกี่ยวกับการโจมตี หรือข้อมูลทางเทคนิคที่เกี่ยวกับช่องโหว่ หรือเหตุการณ์ที่เกิดขึ้น

ช่องโหว่นี้ได้รับการแก้ไขแล้วด้วยแพตช์ความปลอดภัยประจำเดือนมิถุนายน 2026 (security patch levels 2026-06-01 และ 2026-06-05)

ช่องโหว่ที่สองที่ CISA เพิ่มเข้าไปใน KEV catalog คือช่องโหว่ที่มีหมายเลข CVE-2022-0492 ซึ่งเป็นช่องโหว่ Privilege Escalation ที่มีความรุนแรงระดับ High โดยส่งผลกระทบต่อ Linux Kernel หลายเวอร์ชัน ตั้งแต่เวอร์ชัน 2.6 ถึง 4.20 และ 5.5 ถึง 5.17

ช่องโหว่นี้อยู่ในฟังก์ชัน ‘cgroup_release_agent_write()’ ของระบบย่อย cgroups v1 เนื่องจากการตรวจสอบการ authentication ที่ไม่รัดกุมพอ ผู้โจมตีในระดับ Local สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อ bypass namespace isolation ยกระดับสิทธิ์ และอาจ escape ออกจากคอนเทนเนอร์เพื่อเข้าถึงระบบโฮสต์ในระดับ Root ได้

ตามรายงานก่อนหน้านี้จาก Aqua Security และ Palo Alto Networks ช่องโหว่นี้ส่งผลกระทบเป็นหลักต่อสภาพแวดล้อมแบบคอนเทนเนอร์ที่ใช้ cgroups v1 และจะเป็นอันตรายอย่างยิ่งเมื่อคอนเทนเนอร์ได้รับสิทธิ์การทำงานที่สูงขึ้น

เวอร์ชันของ Linux Kernel ที่ได้รับการแก้ไขช่องโหว่นี้แล้ว ได้แก่ :

4.9.301+
4.14.266+
4.19.229+
5.4.177+
5.10.97+
5.15.20+
5.16.6+
5.17-rc3+

การเพิ่มช่องโหว่ทั้งสองรายการใน KEV ส่งผลให้หน่วยงานรัฐบาลกลางทั้งหมดที่อยู่ภายใต้คำสั่ง BOD 22-01 จะต้องติดตั้งอัปเดตความปลอดภัย และดำเนินการลดผลกระทบตามที่ผู้พัฒนาซอฟต์แวร์แนะนำ หรือให้หยุดใช้งานซอฟต์แวร์ที่ได้รับผลกระทบดังกล่าว โดย CISA ได้กำหนดเวลาภายในวันที่ 5 มิถุนายน 2026

อย่างไรก็ตาม KEV ยังเป็นเหมือนประกาศเตือนสำหรับหน่วยงานโครงสร้างพื้นฐานที่สำคัญ และองค์กรขนาดใหญ่โดยทั่วไป ซึ่งองค์กรเหล่านี้ควรดำเนินมาตรการรักษาความปลอดภัยเพื่อรับมือกับช่องโหว่เหล่านี้อย่างเร่งด่วนในระดับเดียวกัน

ทั้งนี้ ช่องโหว่ทั้งสองรายการยังไม่ได้ถูกระบุว่ามีการนำไปใช้โจมตีโดยกลุ่มแรนซัมแวร์ ซึ่งเป็นเครื่องหมายเตือนเฉพาะที่ CISA มักใช้ในรายการ KEV เพื่อเน้นย้ำถึงความรุนแรงเป็นพิเศษ และความเร่งด่วนในการอัปเดตแพตช์

 

ที่มา : bleepingcomputer.

มีการตรวจพบการโจมตีโดยใช้ประโยชน์จากช่องโหว่ Zero-Day ระดับ Critical บน Android ในการโจมตีแบบระบุเป้าหมาย ซึ่งช่วยให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ที่ได้รับผลกระทบได้อย่างเกือบสมบูรณ์ โดยที่ผู้ใช้ไม่ต้องมีการโต้ตอบใด ๆ กับระบบเลย (Zero-Click)

ช่องโหว่ดังกล่าว ซึ่งมีหมายเลข CVE-2025-48595 ได้รับการเน้นย้ำในรายงานความปลอดภัย Android ประจำเดือนมิถุนายน 2026 โดยทาง Google ได้ยืนยันว่าเริ่มพบการนำช่องโหว่นี้ไปใช้โจมตีจริงในวงจำกัดแล้ว ซึ่งช่องโหว่นี้อยู่ใน Component ของ Android Framework และจัดเป็นช่องโหว่การยกระดับสิทธิ์ (EoP) ที่มีระดับความรุนแรงสูง

ภายใต้เงื่อนไขบางประการ ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้จากระยะไกล เพื่อยกระดับสิทธิ์ของตนเอง โดยไม่จำเป็นต้องใช้สิทธิ์ในการรันโค้ดเพิ่มเติมแต่อย่างใด ซึ่งช่วยเพิ่มระดับความเสี่ยงอย่างมาก เนื่องจากหากทำการโจมตีสำเร็จ ผู้โจมตีสามารถ bypass ระบบป้องกันที่เป็นแกนหลักความปลอดภัย และเข้าถึงทรัพยากรที่สำคัญของระบบได้

นักวิจัยด้านความปลอดภัยระบุว่า ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ที่ใช้ระบบปฏิบัติการ Android เวอร์ชัน 14, 15, 16 และ 16 QPR2 แม้ว่าจะถูกจัดอยู่ในกลุ่มที่มีความรุนแรงระดับสูง แต่คุณลักษณะในการโจมตีของช่องโหว่นี้ โดยเฉพาะการที่ผู้ใช้ไม่ต้องมีการโต้ตอบใด ๆ กับระบบเลย ทำให้ช่องโหว่นี้มีความอันตรายเป็นพิเศษในการโจมตีแบบระบุเป้าหมาย

พฤติกรรมการโจมตีในสถานการณ์จริง

ในสถานการณ์การโจมตีจริง ช่องโหว่ดังกล่าว มักจะถูกนำมาเชื่อมโยงกับช่องโหว่อื่น ๆ เพื่อให้สามารถยึดครอง และควบคุมอุปกรณ์ได้อย่างสมบูรณ์ ซึ่งรวมถึงการลักลอบขโมยข้อมูล การสอดแนม และการแฝงตัวเพื่อเข้าถึงระบบอย่างถาวร

Google ระบุว่า ปัญหาร้ายแรงที่สุดในรายงานความปลอดภัยฉบับนี้อาจนำไปสู่การยกระดับสิทธิ์จากระยะไกล โดยที่ผู้ใช้ไม่ต้องมีส่วนร่วมใด ๆ เลย พร้อมทั้งเน้นย้ำถึงผลกระทบที่อาจเกิดขึ้นหากมาตรการลดผลกระทบในระดับแพลตฟอร์มถูกละเลย

ระบบป้องกันและคำแนะนำในการรับมือ

แม้ว่า Android จะมีการวางระบบป้องกันไว้หลายชั้น ซึ่งรวมถึงการจำกัดการเข้าถึงข้อมูล การควบคุมสิทธิ์ และการป้องกันขณะทำงาน แต่ผู้โจมตีที่มีความเชี่ยวชาญระดับสูงก็ยังสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้ภายใต้เงื่อนไขเฉพาะ โดยเฉพาะอย่างยิ่งบนอุปกรณ์ที่ยังไม่ได้รับการอัปเดตแพตช์ หรือเป็นเวอร์ชันเก่า

ทางบริษัทยืนยันว่า ได้แจ้งเตือนเกี่ยวกับช่องโหว่ดังกล่าวให้แก่พันธมิตรของ Android ทราบล่วงหน้าอย่างน้อยหนึ่งเดือนก่อนที่จะมีการเปิดเผยข้อมูลสู่สาธารณะ เพื่อให้ผู้ผลิตอุปกรณ์มีเวลาในการเตรียมตัว และเผยแพร่แพตช์อัปเดต

การอัปเดตความปลอดภัยที่รวมอยู่ในแพตช์ 2026-06-05 สามารถแก้ไขช่องโหว่ CVE-2025-48595 และช่องโหว่ที่เกี่ยวข้องทั้งหมดแล้ว โดยคาดว่าจะมีการปล่อยแพตช์ซอร์สโค้ดไปยัง Android Open Source Project (AOSP) repository ไม่นานหลังจากรายงานความปลอดภัยนี้ถูกเผยแพร่

Google Play Protect ยังคงมีบทบาทสำคัญในการช่วยลดความเสี่ยงจากความพยายามโจมตี โดยฟีเจอร์นี้จะถูกเปิดใช้งานไว้เป็นค่าเริ่มต้นบนอุปกรณ์ที่รองรับบริการ Google Mobile Services (GMS) ซึ่งจะคอยสแกนแอปพลิเคชันอย่างต่อเนื่อง และแจ้งเตือนผู้ใช้หากพบแอปพลิเคชันที่อาจเป็นอันตราย

อย่างไรก็ตาม ผู้ใช้งานที่ทำการ Sideload App หรือติดตั้งแอปพลิเคชันจากแหล่งภายนอกที่ไม่ใช่ช่องทางหลัก ยังคงมีความเสี่ยงสูงกว่า เนื่องจากช่องทางเหล่านี้มักถูกผู้โจมตีใช้เป็นเครื่องมือในการส่งต่อโค้ดโจมตี

ทีมรักษาความปลอดภัยของ Android ได้เรียกร้องให้ผู้ใช้ และองค์กรต่าง ๆ ดำเนินการอัปเดตอุปกรณ์ของตนให้เป็นเวอร์ชันแพตช์ความปลอดภัยล่าสุดโดยทันที

การอัปเดตแพตช์ที่ล่าช้า ยังคงเป็นหนึ่งในปัจจัยหลักที่ทำให้ผู้โจมตีสามารถนำช่องโหว่ที่รับรู้กันทั่วไป มาพัฒนาเป็นเครื่องมือโจมตี ซึ่งกรณีการโจมตีแบบ Zero-Day นี้ ยังช่วยเน้นย้ำถึงแนวโน้มในภาพรวมของภัยคุกคามบนมือถือ โดยผู้โจมตีมักมุ่งเป้าไปที่ Component หลักของระบบปฏิบัติการมากขึ้น เพื่อสร้างผลกระทบให้รุนแรงที่สุด

ดังนั้น ในขณะที่เทคนิคการโจมตีมีการพัฒนาอยู่ตลอดเวลา การอัปเดตแพตช์อย่างทันท่วงที และการวางระบบป้องกันความปลอดภัยหลายชั้น ยังคงเป็นสิ่งจำเป็นอย่างยิ่งในการลดความเสี่ยงจากการถูกโจมตี และป้องกันไม่ให้อุปกรณ์ถูกควบคุม หรือยึดระบบได้สำเร็จ

 

ที่มา : cybersecuritynews.