ช่องโหว่ด้านความปลอดภัยระดับ critical ภายใต้ชื่อ "MCPwn" ถูกตรวจพบใน nginx-ui เวอร์ชันที่ต่ำกว่า 2.3.4 ซึ่งเป็นเครื่องมือจัดการ Nginx แบบ open-source ผ่านเว็บ โดยออกแบบมาเพื่อช่วยให้การบริหารจัดการเว็บเซิร์ฟเวอร์ทำได้ง่ายขึ้น ซึ่งมีช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถ Bypass ระบบ Authentication เพื่อเข้าควบคุม Nginx service ได้
(more…)
ช่องโหว่ระดับ Critical ใน add-on Ninja Forms File Uploads ระดับพรีเมียมบนWordPress ทำให้ผู้ไม่หวังดีสามารถอัปโหลดไฟล์ใด ๆ เข้าสู่ระบบได้โดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายจากระยะไกลได้
ช่องโหว่นี้มีหมายเลข CVE-2026-0740 และในปัจจุบันกำลังถูกใช้ในการโจมตีจริง โดยข้อมูลจาก Defiant บริษัทด้านความปลอดภัยของ WordPress ระบุว่า Firewall Wordfence สามารถบล็อกการโจมตีได้มากกว่า 3,600 ครั้ง ภายในช่วง 24 ชั่วโมงที่ผ่านมา
Ninja Forms เป็นเครื่องมือสร้างแบบฟอร์มบน WordPress ยอดนิยม ที่มียอดดาวน์โหลดมากกว่า 600,000 ครั้ง ซึ่งช่วยให้ผู้ใช้สามารถสร้างแบบฟอร์มได้โดยไม่ต้องเขียนโค้ด โดยการใช้ Drag-and-drop interface ขณะที่ File Upload extension ซึ่งรวมอยู่ในชุดเครื่องมือเดียวกันนั้นมีผู้ใช้งานอยู่กว่า 90,000 ราย
ช่องโหว่ CVE-2026-0740 มีระดับความรุนแรง Critical ถึง 9.8 จาก 10 คะแนน โดยส่งผลกระทบต่อ Ninja Forms File Upload เวอร์ชันสูงสุดถึง 3.3.26
นักวิจัยจาก Wordfence ระบุว่า ช่องโหว่นี้เกิดจากการขาดการตรวจสอบประเภทไฟล์/นามสกุลของชื่อไฟล์ ทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตน สามารถอัปโหลดไฟล์ใด ๆ ก็ได้ รวมถึงสคริปต์ PHP และยังสามารถปรับแต่งชื่อไฟล์เพื่อทำ Path Traversal ได้อีกด้วย
Wordfence อธิบายเพิ่มเติมว่า “ในเวอร์ชันที่มีช่องโหว่ ฟังก์ชันดังกล่าวไม่มีการตรวจสอบประเภทไฟล์ก่อนที่จะดำเนินกระบวนการ move ไฟล์”
“หมายความว่า ไม่เพียงแต่ไฟล์ที่ปลอดภัยเท่านั้นที่สามารถอัปโหลดได้ แต่ยังสามารถอัปโหลดไฟล์ที่มีนามสกุล .php ได้อีกด้วย”
“เนื่องจากไม่มีการตรวจสอบความปลอดภัยของชื่อไฟล์ จึงทำให้มีพารามิเตอร์ที่เป็นอันตราย ซึ่งอาจทำให้เกิดการทำ Path Traversal ซึ่งช่วยให้สามารถย้ายไฟล์แปลกปลอมเข้าไปยัง directory หลักของ Webroot ได้โดยตรง
“ทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตน สามารถอัปโหลดโค้ด PHP ที่เป็นอันตรายได้ตามที่ต้องการ จากนั้นเข้าถึงไฟล์เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ได้”
ผลกระทบที่อาจเกิดขึ้นจากการโจมตีนั้นร้ายแรงมาก รวมถึงการติดตั้ง web shells และยึดครองเว็บไซต์ทั้งหมดโดยสมบูรณ์
การตรวจพบ และการแก้ไข
ช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Sélim Lanouar (whattheslime) ซึ่งได้ส่งรายงานผ่านโปรแกรม Bug Bounty ของ Wordfence เมื่อวันที่ 8 มกราคม 2026
หลังจากผ่านขั้นตอนการตรวจสอบแล้ว Wordfence ได้เปิดเผยรายละเอียดทั้งหมดให้แก่ผู้พัฒนาในวันเดียวกัน พร้อมทั้งดำเนินการส่งมาตรการลดผลกระทบชั่วคราวผ่าน Rules ของ Firewall ไปยังกลุ่มลูกค้าของตนทันที
ภายหลังการตรวจสอบแพตช์ และการแก้ไขเบื้องต้นเมื่อวันที่ 10 กุมภาพันธ์ 2026 ทางผู้พัฒนาได้ออกเวอร์ชันแก้ไขที่สมบูรณ์ในเวอร์ชัน 3.3.27 ซึ่งเปิดให้ใช้งานมาตั้งแต่วันที่ 19 มีนาคม 2026
เนื่องจาก Wordfence ตรวจพบความพยายามในการโจมตีนับพันครั้งต่อวัน ผู้ใช้ Ninja Forms File Upload จึงควรรีบอัปเกรดให้เป็นเวอร์ชันล่าสุด
ที่มา : bleepingcomputer.
กลุ่มแฮ็กเกอร์กำลังดำเนินการโจมตีครั้งใหญ่เพื่อขโมยข้อมูล credential ด้วยวิธีการอัตโนมัติ หลังจากประสบความสำเร็จในการใช้ช่องโหว่ React2Shell (CVE-2025-55182) ในแอปพลิเคชัน Next.
Zyxel ผู้ให้บริการอุปกรณ์เครือข่ายจากไต้หวัน ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อ Router มากกว่า 12 รุ่น ซึ่งช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถ Remote Command Execution บนอุปกรณ์ที่ยังไม่ได้อัปเดตแพตช์ได้
ช่องโหว่ด้านความปลอดภัยประเภท Command Injection นี้มีหมายเลข CVE-2025-13942 โดยพบในฟังก์ชัน UPnP ของอุปกรณ์ Zyxel 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONTs และอุปกรณ์ Wireless extenders
Zyxel ระบุว่า ผู้โจมตีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเรียกใช้ OS command ของอุปกรณ์ที่ได้รับผลกระทบ โดยใช้ UPnP SOAP requests ที่ถูกสร้างขึ้นมาเพื่อโจมตีโดยเฉพาะ
อย่างไรก็ตาม การโจมตีผ่านช่องโหว่ CVE-2025-13942 น่าจะอยู่ในวงจำกัดกว่าที่ระดับความรุนแรงได้ระบุไว้ เนื่องจากการจะโจมตีระบบให้สำเร็จได้นั้นจำเป็นต้องมีการเปิดใช้งาน UPnP และการเข้าถึงผ่าน WAN ซึ่งการเข้าถึงผ่าน WAN นั้นถูก Disable ไว้เป็นค่า Default อยู่แล้ว
Zyxel ระบุว่า "การเข้าถึงผ่าน WAN บนอุปกรณ์เหล่านี้จะถูก Disable ไว้เป็นค่า Default และการโจมตีจากระยะไกลจะเกิดขึ้นได้ก็ต่อเมื่อมีการเปิดใช้งานทั้งการเข้าถึงผ่าน WAN และฟังก์ชัน UPnP ที่มีช่องโหว่เท่านั้น แต่บริษัทขอแนะนำให้ผู้ใช้ทำการติดตั้งแพตช์เพื่อรักษาระดับการป้องกันให้มีประสิทธิภาพสูงสุด"
นอกจากนี้ เมื่อวันอังคารที่ผ่านมา Zyxel ยังได้ออกแพตช์แก้ไขช่องโหว่ประเภท Command Injection ระดับความรุนแรงสูงอีก 2 รายการ (CVE-2025-13943 และ CVE-2026-1459) ซึ่งเป็นช่องโหว่ที่เกิดขึ้นหลังจากการยืนยันตัวตน โดยอาจทำให้ผู้ไม่หวังดีสามารถเรียกใช้ OS command ได้ หากได้ข้อมูล Credential ที่ถูกขโมยมา
Shadowserver ซึ่งเป็นองค์กรเฝ้าระวังด้านความปลอดภัยบนอินเทอร์เน็ต ปัจจุบันกำลังติดตามอุปกรณ์ Zyxel ที่เชื่อมต่ออยู่บนอินเทอร์เน็ตเกือบ 120,000 เครื่อง ซึ่งในจำนวนนี้เป็น Router มากกว่า 76,000 เครื่อง
อุปกรณ์ของ Zyxel มักตกเป็นเป้าหมายในการโจมตีอยู่บ่อยครั้ง เนื่องจากผู้ให้บริการอินเทอร์เน็ต (ISP) หลายแห่งทั่วโลกมักนำไปใช้เป็นอุปกรณ์มาตรฐานแก่ลูกค้า เมื่อมีการเปิดใช้งานสัญญาบริการอินเทอร์เน็ตใหม่
CISA กำลังติดตามช่องโหว่ของ Zyxel จำนวน 12 รายการ ที่ส่งผลกระทบต่ออุปกรณ์ Router, Firewall และ NAS ของบริษัท ซึ่งเป็นช่องโหว่ที่เคยถูกนำไปใช้ หรือกำลังถูกนำไปใช้ในการโจมตีจริงในปัจจุบัน
เมื่อต้นเดือนที่ผ่านมา Zyxel ได้ออกมาแจ้งเตือนว่า บริษัทไม่มีแผนที่จะออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยแบบ Zero-day จำนวน 2 รายการ (CVE-2024-40891 และ CVE-2024-40891) ที่กำลังถูกนำไปใช้ในการโจมตีจริง และส่งผลกระทบต่อ Router รุ่นที่หมดระยะเวลาการ Support (EOL) ไปแล้ว แต่ยังคงมีวางจำหน่ายอยู่ในช่องทางออนไลน์ โดยบริษัทแนะนำให้ลูกค้าเปลี่ยนไปใช้อุปกรณ์ Router รุ่นใหม่ที่ Firmware ได้รับการอัปเดตแก้ไขช่องโหว่แล้วแทน
Zyxel ระบุว่า "อุปกรณ์รุ่น VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 และ SBG3500 ถือเป็นผลิตภัณฑ์รุ่นเก่าที่หมดระยะเวลาการ Support (EOL) ไปแล้วมานานหลายปีแล้ว ดังนั้น จึงขอแนะนำให้ผู้ใช้งานเปลี่ยนไปใช้ผลิตภัณฑ์รุ่นใหม่กว่า เพื่อการป้องกันที่มีประสิทธิภาพสูงสุด"
Zyxel อ้างว่าปัจจุบันมีองค์กรธุรกิจมากกว่า 1 ล้านแห่งใน 150 ตลาดทั่วโลก ที่กำลังใช้งานผลิตภัณฑ์เครือข่ายของบริษัท
ที่มา : bleepingcomputer.
กลุ่มผู้โจมตีที่มีแรงจูงใจทางการเงินถูกตรวจพบว่ากำลังใช้ประโยชน์จากช่องโหว่การรันโค้ดที่เป็นอันตรายจากระยะไกล CVE-2025-32432 ใน Craft CMS เพื่อใช้งานเพย์โหลดหลายชนิด เช่น:
เครื่องมือขุดคริปโตเคอร์เรนซี
ตัวโหลดมัลแวร์ ที่เรียกว่า Mimo Loader
proxyware ที่ใช้งานโดยทั่วไป
(more…)
Exploit code สำหรับการโจมตีช่องโหว่ระดับความรุนแรงสูงสุด (CVE-2024-3400, CVSSv3: 10.0) ใน PAN-OS ไฟร์วอลล์ของ Palo Alto Networks ถูกปล่อยออกสู่สาธารณะเรียบร้อยแล้ว
โดยช่องโหว่นี้สามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection บนไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่มีช่องโหว่ หากอุปกรณ์ดังกล่าวเปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล) (more…)
Exploit สำหรับโจมตีช่องโหว่การตรวจสอบสิทธิ์ของ GoAnywhere MFT ถูกปล่อยออกมาแล้ว
ล่าสุด Exploit code สำหรับโจมตีช่องโหว่ authentication bypass ระดับ Critical ในซอฟต์แวร์ GoAnywhere MFT (Managed File Transfer) ของ Fortra ซึ่งจะทำให้ผู้โจมตีสามารถสร้างชื่อผู้ใช้ที่เป็นผู้ดูแลระบบบนอินสแตนซ์ที่มีช่องโหว่ผ่านทางพอร์ทัลของผู้ดูแลระบบได้ (more…)
นักวิจัยด้านความปลอดภัย Julien Voisin ประกาศการค้นพบโค้ดสำหรับโจมตีช่องโหว่ (Exploit) สำหรับช่องโหว่ Spectre ในเว็บไซต์ VirusTotal โดยการโจมตีช่องโหว่ Spectre นั้นสามารถทำให้ผู้โจมตีเข้าถึงข้อมูลที่อยู่ในหน่วยความจำได้อย่างอิสระ
ทีม Intelligent Response ได้เคยมีการพูดช่องโหว่ Spectre และ Meltdown เมื่อปี 2018 สามารถอ่านบทความของเราได้ที่นี่ i-secure
จากการตรวจสอบ Exploit ที่อยู่ใน VirusTotal นั้น Voision พบ Exploit สำหรับระบบ Linux และ Windows ซึ่งเมื่อทำการใช้งานแล้วโดยบัญชีผู้ใช้ที่มีสิทธิ์ต่ำ ผู้ใช้ที่มีสิทธิ์ต่ำดังกล่าวจะสามารถดึงค่าแฮช LM/NT และ Kerberos ticket ใน Windows และข้อมูลใน /etc/shadow สำหรับระบบ Linux ได้ทันที
การวิเคราะห์ยังบ่งชี้ถึงที่มาของทั้งสอง Exploit โดยทั้งสอง Exploit มีที่มาจากโปรแกรม Canvas ของ Immunity ซึ่งเป็นโปรแกรมรวม Exploit คล้ายกับ Metasploit แต่มี Private exploit ที่ทาง Immunity มีการพัฒนาขึ้นเองอยู่ด้วย ที่มาของ Exploit ทั้งสองนั้นมาจากการรั่วไหลของ Canvas 7.26 ซึ่งเกิดขึ้นในช่วงเดือนธันวามคมที่ผ่านมา ซึ่งก็สอดคล้องกับงานวิจัยของ Immunity ที่เคยสาธิตการใช้งาน Canvas เพื่อโจมตีช่องโหว่ Spectre และขโมยข้อมูล Kerberos ticket มาตามวีดิโอ vimeo
ที่มา: bleepingcomputer
งานแฮกระดับประเทศของจีน Tianfu Cup ดำเนินเข้ามาสู่ปีที่ 3 แล้ว โดยในปีนี้นั้นเป้าหมายชื่อดังอย่าง iOS 14, Windows 10 v2004, Chrome รวมไปถึงกลุ่มเทคโนโลยี virtualization สามารถถูกโจมตีโดยช่องโหว่ได้สำเร็จ
Tianfu Cup ครั้งที่ 3 จัดขึ้นที่เมืองเฉิงตูในช่วงเวลาเดียวกับการแข่งขัน Pwn2Own ผู้เข้าแข่งขันจำนวน 15 ทีมจะมีเวลา 5 นาทีและเงื่อนไขในการโจมตีได้ 3 ครั้งเพื่อให้นำ exploit ที่ทำการพัฒนามาโจมตีกับเป้าหมาย เงินรางวัลจะถูกมอบให้กับทีมซึ่งโจมตีเป้าหมายได้สำเร็จก่อนตามเงื่อนไขของความยากและอื่นๆ โดยในปีนี้ทีมผู้ชนะซึ่งได้เงินรางวัลไปสูงสุดคือทีม 360 Enterprise Security and Government and (ESG) Vulnerability Research Institute จาก Qihoo 360 ซึ่งได้เงินรางวัลไป 22 ล้านบาท
นอกเหนือจาก iOS 14, Windos 10 และ Chrome แล้ว เป้าหมายที่ถูกโจมตีสำเร็จยังมี Samsung Galaxy S20, Ubuntu, Safari, Firefox, Adobe PDF Reader, Docker (Community Edition), VMWare EXSi (hypervisor), QEMU (emulator & virtualizer) และเฟิร์มแวร์ของ TP-Link และ ASUS ด้วย
การแข่งขัน Tianfu Cup เป็นส่วนหนึ่งของผลลัพธ์ที่หลังจากรัฐบาลจีนมีนโยบายจำกัดไม่ให้ชาวจีนเข้าร่วมการแข่งขันอย่าง Pwn2Own จากข้อกังวลเรื่องความมั่นคงของประเทศ แต่ผลักดันให้มีการแข่งขันภายในประเทศแทนและคาดว่าผลลัพธ์ที่ได้จากการแข่งขันจะก่อให้เกิดประโยชน์ต่อแนวทางด้านไซเบอร์ของจีน
ที่มา: zdnet
โค้ด exploit คือชุดของโค้ดซึ่งถูกออกแบบมาเพื่อโจมตีช่องโหว่ โดยไฟล์ exploit จะประกอบไปด้วยส่วนของโค้ดซึ่งใช้โจมตีช่องโหว่จริง ๆ และส่วนของโค้ดที่จะถูกนำมาใช้หลังจากโจมตีช่องโหว่สำเร็จ หรือที่รู้จักกันด้วยคำว่า payload
ทีมนักวิจัยด้านความปลอดภัยจาก Check Point ได้มีการแกะรอยไฟล์ไบนารีไฟล์หนึ่งซึ่งถูกตรวจพบในระบบของลูกค้าซึ่งถูกโจมตี โดยผลการแกะรอยไฟล์ประสานกับการเชื่อมโยงข้อมูลจากระบบ threat intelligence ทำให้ Check Point สามารถระบุตัวผู้ขายโค้ดสำหรับโจมตีช่องโหว่ และผู้ซื้อซึ่งรวมไปถึงกลุ่ม APT อื่น ๆ ได้
แนวทางของการแกะรอยของ Check Point ประกอบด้วยการดำเนินการ 3 ขั้นตอนซ้ำไปซ้ำมาและขยายผลการค้นหาออกไปเรื่อย ๆ ได้แก่
1. วิเคราะห์ไฟล์ไบนารีที่เจอ ระบุหาเอกลักษณ์ของไฟล์นั้น ๆ ซึ่งแฝงอยู่ใน metadata ของไฟล์หรือในส่วน header ของไฟล์เอง
2. นำผลลัพธ์ที่ได้ไปขยายผลในระบบ threat intelligence จนได้ไฟล์ที่มีลักษณะเหมือนกัน จากนั้นนำไฟล์ที่ได้มีวิเคราะห์ต่อไปเรื่อย ๆ
3. เมื่อถึงจุดหนึ่ง ไฟล์ที่ตรวจพบและมีคุณลักษณะเหมือนกันจะเชื่อมโยงกลับไปหาผู้ขายโดยอัตโนมัติ ถ้าข้อมูลในระบบ threat intelligence นั้นมากและมีคุณภาพมากพอ
กลุ่มผู้ขายโค้ดสำหรับโจมตีช่องโหว่ดังกล่าวมีชื่อว่า Volodya โดยลูกค้าซึ่งตรวจพบประวัติการซื้อขายโค้ดประกอบไปด้วยกลุ่ม APT ต่าง ๆ มากมาย ได้แก่ Ursnif, GandCrab, Cerber, Magniber, Turla และ APT28
สำหรับผู้ที่สนใจแนวทางในเชิงเทคนิค ทีมตอบสนองการโจมตีและภัยคุกคามขอแนะนำให้ลองอ่านบล็อกของ Check Point ฉบับเต็มที่ https://research.