สำนักงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกคำเตือนว่า แฮ็กเกอร์กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ต่าง ๆ ใน Linux Kernel และระบบปฏิบัติการ Android

ช่องโหว่ล่าสุดที่หน่วยงานได้เพิ่มเข้าไปในแคตตาล็อกช่องโหว่ที่มีการถูกนำไปใช้ในการโจมตีจริง (KEV catalog) คือ CVE-2025-48595 ซึ่งเป็นช่องโหว่ประเภท Integer Overflow ที่มีความรุนแรงระดับ High ใน Android Framework โดยช่องโหว่นี้สามารถถูกนำไปใช้เพื่อยกระดับสิทธิ์การเข้าถึงได้

ตามรายงานแจ้งเตือนด้านความปลอดภัยล่าสุดของ Google ช่องโหว่ด้านความปลอดภัยดังกล่าว ส่งผลกระทบต่อ Android เวอร์ชัน 14 ถึง 16 และสามารถถูกใช้โจมตีได้โดยไม่จำเป็นต้องมีการโต้ตอบใด ๆ จากผู้ใช้งาน

Google ระบุว่า CVE-2025-48595 อาจกำลังถูกนำไปใช้ในการโจมตีแบบเจาะจงเป้าหมายในวงจำกัด แต่ไม่ได้ให้รายละเอียดเฉพาะเจาะจงเกี่ยวกับการโจมตี หรือข้อมูลทางเทคนิคที่เกี่ยวกับช่องโหว่ หรือเหตุการณ์ที่เกิดขึ้น

ช่องโหว่นี้ได้รับการแก้ไขแล้วด้วยแพตช์ความปลอดภัยประจำเดือนมิถุนายน 2026 (security patch levels 2026-06-01 และ 2026-06-05)

ช่องโหว่ที่สองที่ CISA เพิ่มเข้าไปใน KEV catalog คือช่องโหว่ที่มีหมายเลข CVE-2022-0492 ซึ่งเป็นช่องโหว่ Privilege Escalation ที่มีความรุนแรงระดับ High โดยส่งผลกระทบต่อ Linux Kernel หลายเวอร์ชัน ตั้งแต่เวอร์ชัน 2.6 ถึง 4.20 และ 5.5 ถึง 5.17

ช่องโหว่นี้อยู่ในฟังก์ชัน ‘cgroup_release_agent_write()’ ของระบบย่อย cgroups v1 เนื่องจากการตรวจสอบการ authentication ที่ไม่รัดกุมพอ ผู้โจมตีในระดับ Local สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อ bypass namespace isolation ยกระดับสิทธิ์ และอาจ escape ออกจากคอนเทนเนอร์เพื่อเข้าถึงระบบโฮสต์ในระดับ Root ได้

ตามรายงานก่อนหน้านี้จาก Aqua Security และ Palo Alto Networks ช่องโหว่นี้ส่งผลกระทบเป็นหลักต่อสภาพแวดล้อมแบบคอนเทนเนอร์ที่ใช้ cgroups v1 และจะเป็นอันตรายอย่างยิ่งเมื่อคอนเทนเนอร์ได้รับสิทธิ์การทำงานที่สูงขึ้น

เวอร์ชันของ Linux Kernel ที่ได้รับการแก้ไขช่องโหว่นี้แล้ว ได้แก่ :

4.9.301+
4.14.266+
4.19.229+
5.4.177+
5.10.97+
5.15.20+
5.16.6+
5.17-rc3+

การเพิ่มช่องโหว่ทั้งสองรายการใน KEV ส่งผลให้หน่วยงานรัฐบาลกลางทั้งหมดที่อยู่ภายใต้คำสั่ง BOD 22-01 จะต้องติดตั้งอัปเดตความปลอดภัย และดำเนินการลดผลกระทบตามที่ผู้พัฒนาซอฟต์แวร์แนะนำ หรือให้หยุดใช้งานซอฟต์แวร์ที่ได้รับผลกระทบดังกล่าว โดย CISA ได้กำหนดเวลาภายในวันที่ 5 มิถุนายน 2026

อย่างไรก็ตาม KEV ยังเป็นเหมือนประกาศเตือนสำหรับหน่วยงานโครงสร้างพื้นฐานที่สำคัญ และองค์กรขนาดใหญ่โดยทั่วไป ซึ่งองค์กรเหล่านี้ควรดำเนินมาตรการรักษาความปลอดภัยเพื่อรับมือกับช่องโหว่เหล่านี้อย่างเร่งด่วนในระดับเดียวกัน

ทั้งนี้ ช่องโหว่ทั้งสองรายการยังไม่ได้ถูกระบุว่ามีการนำไปใช้โจมตีโดยกลุ่มแรนซัมแวร์ ซึ่งเป็นเครื่องหมายเตือนเฉพาะที่ CISA มักใช้ในรายการ KEV เพื่อเน้นย้ำถึงความรุนแรงเป็นพิเศษ และความเร่งด่วนในการอัปเดตแพตช์

 

ที่มา : bleepingcomputer.

SolarWinds ออกแพตช์อัปเดตเร่งด่วนระดับ critical สำหรับช่องโหว่ของ Web Help Desk ซึ่งเป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถเข้าสู่ระบบที่มีช่องโหว่ได้โดยใช้ hardcoded credentials

โดย Web Help Desk (WHD) เป็นซอฟต์แวร์ช่วยเหลือทางด้านไอทีที่ได้รับความนิยมจากหน่วยงานของรัฐ, บริษัทขนาดใหญ่, องค์กรด้านการดูแลสุขภาพ และการศึกษา เพื่อนำมาช่วยให้งานบริหารจัดการเป็นรูปแบบอัตโนมัติ และมีประสิทธิภาพมากขึ้น ทั้งนี้ระบบ IT management ของ SolarWind มีลูกค้าใช้งานมากกว่า 300,000 รายทั่วโลก

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-28987 ได้รับการแก้ไขไปเมื่อวันพุธที่ 21 สิงหาคม 2024 ที่ผ่านมา โดยเป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนเข้าถึงฟังก์ชันภายใน และแก้ไขข้อมูลบนอุปกรณ์ที่ถูกโจมตีได้หลังจากการโจมตีสำเร็จ ช่องโหว่นี้ถูกค้นพบ และรายงานโดย Zach Hanley นักวิจัยด้านความปลอดภัยจาก Horizon3.ai

(more…)

เมื่อไม่นานมานี้ สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของอเมริกา (CISA) ได้เพิ่มช่องโหว่ทางด้านความปลอดภัยที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบันบน Microsoft .NET และ Visual Studio ลงใน KEV Catalog โดยอ้างอิงจากหลักฐานการพบการโจมตีที่เกิดขึ้น
ช่องโหว่ CVE-2023-38180 (คะแนน CVSS: 7.5) เป็นช่องโหว่ denial-of-service (DoS) ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ .NET และ Visual Studio ซึ่งช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วโดย Microsoft จากการอัปเดต Patch Tuesday ในเดือนสิงหาคม 2023 เมื่อต้นสัปดาห์นี้ โดยได้มีการประเมินว่าจะพบการโจมตีช่องโหว่นี้เพิ่มขึ้นเรื่อย ๆ และติดแท็กช่องโหว่นี้ไว้ว่า “Exploitation More Likely”

ในขณะที่ปัจจุบันยังไม่มีรายละเอียดเกี่ยวกับการโจมตีที่แน่ชัด แต่ Microsoft ได้รับรายงานว่ามี Proof-of-Concept (PoC) สำหรับช่องโหว่ออกมาแล้ว นอกจากนี้ยังพบว่าการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้สามารถทำได้โดยไม่ต้องได้รับการอนุญาต หรือการตอบโต้จากผู้ใช้งาน
Microsoft ระบุว่าได้มีการทดสอบ Proof-of-Concept (PoC) และพบว่าการโจมตีไม่ได้ผลกับระบบส่วนใหญ่ รวมทั้งไม่สามารถใช้ได้กับทุกสถานการณ์ ซึ่ง Proof-of-Concept (PoC) จะต้องได้รับการแก้ไขจากผู้โจมตีที่มีทักษะ และความเชี่ยวชาญเท่านั้น
สำหรับซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบ ได้แก่ ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 เวอร์ชัน 17.2, Microsoft Visual Studio 2022 เวอร์ชัน 17.4 และ Microsoft Visual Studio 2022 เวอร์ชัน 17.6

ดังนั้น เพื่อลดความเสี่ยงที่อาจเกิดขึ้น CISA จึงแนะนำให้หน่วยงาน Federal Civilian Executive Branch (FCEB) เร่งอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ภายในวันที่ 30 สิงหาคม 2023

ที่มา: thehackernews.