สำนักงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกคำเตือนว่า แฮ็กเกอร์กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ต่าง ๆ ใน Linux Kernel และระบบปฏิบัติการ Android

ช่องโหว่ล่าสุดที่หน่วยงานได้เพิ่มเข้าไปในแคตตาล็อกช่องโหว่ที่มีการถูกนำไปใช้ในการโจมตีจริง (KEV catalog) คือ CVE-2025-48595 ซึ่งเป็นช่องโหว่ประเภท Integer Overflow ที่มีความรุนแรงระดับ High ใน Android Framework โดยช่องโหว่นี้สามารถถูกนำไปใช้เพื่อยกระดับสิทธิ์การเข้าถึงได้

ตามรายงานแจ้งเตือนด้านความปลอดภัยล่าสุดของ Google ช่องโหว่ด้านความปลอดภัยดังกล่าว ส่งผลกระทบต่อ Android เวอร์ชัน 14 ถึง 16 และสามารถถูกใช้โจมตีได้โดยไม่จำเป็นต้องมีการโต้ตอบใด ๆ จากผู้ใช้งาน

Google ระบุว่า CVE-2025-48595 อาจกำลังถูกนำไปใช้ในการโจมตีแบบเจาะจงเป้าหมายในวงจำกัด แต่ไม่ได้ให้รายละเอียดเฉพาะเจาะจงเกี่ยวกับการโจมตี หรือข้อมูลทางเทคนิคที่เกี่ยวกับช่องโหว่ หรือเหตุการณ์ที่เกิดขึ้น

ช่องโหว่นี้ได้รับการแก้ไขแล้วด้วยแพตช์ความปลอดภัยประจำเดือนมิถุนายน 2026 (security patch levels 2026-06-01 และ 2026-06-05)

ช่องโหว่ที่สองที่ CISA เพิ่มเข้าไปใน KEV catalog คือช่องโหว่ที่มีหมายเลข CVE-2022-0492 ซึ่งเป็นช่องโหว่ Privilege Escalation ที่มีความรุนแรงระดับ High โดยส่งผลกระทบต่อ Linux Kernel หลายเวอร์ชัน ตั้งแต่เวอร์ชัน 2.6 ถึง 4.20 และ 5.5 ถึง 5.17

ช่องโหว่นี้อยู่ในฟังก์ชัน ‘cgroup_release_agent_write()’ ของระบบย่อย cgroups v1 เนื่องจากการตรวจสอบการ authentication ที่ไม่รัดกุมพอ ผู้โจมตีในระดับ Local สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อ bypass namespace isolation ยกระดับสิทธิ์ และอาจ escape ออกจากคอนเทนเนอร์เพื่อเข้าถึงระบบโฮสต์ในระดับ Root ได้

ตามรายงานก่อนหน้านี้จาก Aqua Security และ Palo Alto Networks ช่องโหว่นี้ส่งผลกระทบเป็นหลักต่อสภาพแวดล้อมแบบคอนเทนเนอร์ที่ใช้ cgroups v1 และจะเป็นอันตรายอย่างยิ่งเมื่อคอนเทนเนอร์ได้รับสิทธิ์การทำงานที่สูงขึ้น

เวอร์ชันของ Linux Kernel ที่ได้รับการแก้ไขช่องโหว่นี้แล้ว ได้แก่ :

4.9.301+
4.14.266+
4.19.229+
5.4.177+
5.10.97+
5.15.20+
5.16.6+
5.17-rc3+

การเพิ่มช่องโหว่ทั้งสองรายการใน KEV ส่งผลให้หน่วยงานรัฐบาลกลางทั้งหมดที่อยู่ภายใต้คำสั่ง BOD 22-01 จะต้องติดตั้งอัปเดตความปลอดภัย และดำเนินการลดผลกระทบตามที่ผู้พัฒนาซอฟต์แวร์แนะนำ หรือให้หยุดใช้งานซอฟต์แวร์ที่ได้รับผลกระทบดังกล่าว โดย CISA ได้กำหนดเวลาภายในวันที่ 5 มิถุนายน 2026

อย่างไรก็ตาม KEV ยังเป็นเหมือนประกาศเตือนสำหรับหน่วยงานโครงสร้างพื้นฐานที่สำคัญ และองค์กรขนาดใหญ่โดยทั่วไป ซึ่งองค์กรเหล่านี้ควรดำเนินมาตรการรักษาความปลอดภัยเพื่อรับมือกับช่องโหว่เหล่านี้อย่างเร่งด่วนในระดับเดียวกัน

ทั้งนี้ ช่องโหว่ทั้งสองรายการยังไม่ได้ถูกระบุว่ามีการนำไปใช้โจมตีโดยกลุ่มแรนซัมแวร์ ซึ่งเป็นเครื่องหมายเตือนเฉพาะที่ CISA มักใช้ในรายการ KEV เพื่อเน้นย้ำถึงความรุนแรงเป็นพิเศษ และความเร่งด่วนในการอัปเดตแพตช์

 

ที่มา : bleepingcomputer.

รายงานข่าวแจ้งเตือนภัยไซเบอร์ครั้งสำคัญ หลังพบรูปแบบการโจมตีแบบหลายขั้นตอน โดยผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ F5 BIG-IP ที่เชื่อมต่อกับอินเทอร์เน็ตเป็นจุดเริ่มต้นสำหรับการโจมตีที่มุ่งเน้นไปที่ระบบยืนยันตัวตน จนกระทั่งสามารถเข้าถึงระบบ Active Directory (more…)

Linux distros ต่าง ๆ กำลังทยอยออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ Kernel privilege escalation ที่มีความรุนแรงระดับสูง ซึ่งช่วยให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ Root ได้ (more…)

ช่องโหว่ Zero-day ใหม่บน Linux ที่มีชื่อว่า Dirty Frag อาจทำให้ผู้โจมตีที่สามารถเข้าถึงเครื่องของเหยื่อได้ และได้รับสิทธิ์ Root บน Major Linux Distributions ส่วนใหญ่ได้ด้วยการใช้คำสั่งเพียงคำสั่งเดียว

Hyunwoo Kim นักวิจัยด้านความปลอดภัยเป็นผู้เปิดเผยช่องโหว่นี้เมื่อวันที่ 8 พฤษภาคมที่ผ่านมา พร้อมทั้งเผยแพร่ชุดโค้ด Proof-of-concept (PoC) โดยระบุว่า ช่องโหว่ Local privilege escalation นี้เกิดขึ้นมาเมื่อราว ๆ 9 ปีก่อนในส่วน Algorithm interface การเข้ารหัส algif_aead ของ Linux kernel

Dirty Frag ทำงานโดยการเชื่อมโยงช่องโหว่ 2 รายการของ Kernel เข้าด้วยกัน ได้แก่ ช่องโหว่ xfrm-ESP Page-Cache Write และช่องโหว่ RxRPC Page-Cache Write เพื่อทำการแก้ไขไฟล์ระบบที่ได้รับการปกป้องไว้ในหน่วยความจำโดยไม่ได้รับอนุญาต และทำให้สามารถยกระดับสิทธิ์ได้ในที่สุด

นอกจากนี้ แม้ว่า Dirty Frag จะจัดอยู่ในช่องโหว่ประเภทเดียวกันกับ Dirty Pipe และ Copy Fail บน Linux แต่มันก็ทำการโจมตีผ่าน Fragment field ของโครงสร้างข้อมูล Kernel ที่แตกต่างออกไป

Kim ระบุว่า "เช่นเดียวกับช่องโหว่ Copy Fail ก่อนหน้านี้ Dirty Frag อาจทำให้สามารถยกระดับสิทธิ์เป็น Root ได้ในทันทีบน Major distributions ทั้งหมด และมันทำงานโดยการเชื่อมโยงช่องโหว่ 2 รายการที่แยกจากกันเข้าด้วยกัน"

"Dirty Frag เป็นกรณีที่ขยายขอบเขตของ Bug class ที่ Dirty Pipe และ Copy Fail จัดอยู่ เนื่องจากมันเป็น Deterministic logic bug ซึ่งไม่ได้ขึ้นอยู่กับช่วงเวลา จึงไม่จำเป็นต้องอาศัยเงื่อนไข Race condition ส่งผลให้ Kernel ไม่เกิดการหยุดทำงานกะทันหันแม้การโจมตีจะไม่สำเร็จ และทำให้มีอัตราความสำเร็จที่สูงมาก"

การยกระดับสิทธิ์ระดับ Kernel นี้ส่งผลกระทบต่อ Linux distros เป็นวงกว้าง รวมถึง Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed และ Fedora ซึ่งในขณะนี้ยังไม่ได้รับการแพตช์แก้ไข

Kim ได้เผยแพร่เอกสารรายละเอียดของ Dirty Frag ฉบับสมบูรณ์ และชุดโค้ด PoC โดยได้รับความยินยอมจากผู้ดูแล Distribution หลังจากข้อตกลงในการระงับการเปิดเผยข้อมูลต่อสาธารณะถูกละเมิดเมื่อวันที่ 7 พฤษภาคม 2026 เนื่องจากมีบุคคลที่สามที่ไม่เกี่ยวข้องได้เผยแพร่วิธีการโจมตีดังกล่าวออกมา

Kim ระบุว่า "เนื่องจากข้อตกลงระงับการเปิดเผยข้อมูลถูกละเมิดไปแล้ว จึงยังไม่มีแพตช์แก้ไขหรือหมายเลข CVE ออกมารองรับในขณะนี้ หลังจากได้ปรึกษากับเหล่าผู้ดูแลผ่านทาง linux-distros@vs.

ช่องโหว่ใหม่ที่ถูกตั้งชื่อว่า Pack2TheRoot สามารถถูกใช้โจมตีผ่าน PackageKit daemon เพื่อทำให้ผู้ใช้ Linux ภายในเครื่องสามารถติดตั้ง หรือถอนแพ็กเกจของระบบ และยกระดับสิทธิ์เป็น root ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-41651 และได้รับคะแนนความรุนแรงระดับสูงที่ 8.8 จาก 10 คะแนน โดยช่องโหว่ดังกล่าวแฝงตัวมานานเกือบ 12 ปีใน PackageKit daemon ซึ่งเป็น Background service ที่ทำหน้าที่จัดการการติดตั้ง, อัปเดต และถอนการติดตั้งซอฟต์แวร์บนระบบ Linux

เมื่อช่วงต้นสัปดาห์ที่ผ่านมา มีการเผยแพร่ข้อมูลบางส่วนเกี่ยวกับช่องโหว่ดังกล่าว พร้อมกับการปล่อย PackageKit เวอร์ชัน 1.3.5 ที่ออกมาแก้ไขปัญหาดังกล่าว อย่างไรก็ตาม รายละเอียดทางเทคนิค และ Demo exploit ยังไม่ถูกเปิดเผย เพื่อเปิดโอกาสให้มีการกระจายอัปเดตแพตช์แก้ไขไปอย่างทั่วถึงเสียก่อน

การตรวจสอบจากทีม Red Team ของ Deutsche Telekom ค้นพบว่า สาเหตุของ Bug นี้มาจากกลไกที่ PackageKit ใช้ในการรับมือกับ Requests ที่เกี่ยวข้องกับการจัดการแพ็กเกจ

โดยเฉพาะอย่างยิ่ง นักวิจัยพบว่าคำสั่งอย่าง ‘pkcon install’ สามารถทำงานได้โดยไม่ต้องผ่านการยืนยันตัวตนภายใต้เงื่อนไขบางประการบนระบบ Fedora ซึ่งอาจทำให้พวกเขาสามารถติดตั้งแพ็กเกจของระบบได้

พวกเขาได้ใช้เครื่องมือ AI อย่าง Claude Opus ในการสำรวจเพิ่มเติมถึงความเป็นไปได้ที่จะโจมตีระบบโดยอาศัยพฤติกรรมดังกล่าว และได้นำไปสู่การค้นพบช่องโหว่ CVE-2026-41651 ในที่สุด

ผลกระทบและการแก้ไข

Red Team ของ Deutsche Telekom ได้รายงานสิ่งที่พวกเขาค้นพบให้กับ Red Hat และผู้ดูแลของโปรเจกต์ PackageKit เมื่อวันที่ 8 เมษายนที่ผ่านมา พวกเขาระบุว่า สามารถประเมินได้เลยว่า Linux distributions ทุกตัวที่มีการติดตั้ง PackageKit มาล่วงหน้า และถูกเปิดใช้งานมาตั้งแต่ต้นล้วนมีช่องโหว่ CVE-2026-41651 ทั้งหมด

อ้างอิงจากประกาศแจ้งเตือนด้านความปลอดภัยของโปรเจกต์ระบุว่า ช่องโหว่ดังกล่าวอยู่มาตั้งแต่ PackageKit เวอร์ชัน 1.0.2 ที่ปล่อยออกมาในเดือนพฤศจิกายนปี 2014 และส่งผลกระทบต่อทุกเวอร์ชันต่อเนื่องมาจนถึงเวอร์ชัน 1.3.4

การทดสอบของนักวิจัยได้ยืนยันแล้วว่า ผู้โจมตีสามารถใช้ช่องโหว่ CVE-2026-41651 โจมตีได้ใน Linux distributions ดังต่อไปนี้

Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta)
Ubuntu Server 22.04 – 24.04 (LTS)
Debian Desktop Trixie 13.4
RockyLinux Desktop 10.1
Fedora 43 Desktop
Fedora 43 Server

อย่างไรก็ตาม รายชื่อนี้ยังไม่ได้ครอบคลุมทั้งหมด และ Linux distribution ใด ๆ ที่ใช้งาน PackageKit ควรถูกพิจารณาว่ามีความเสี่ยงที่อาจถูกโจมตีได้

ผู้ใช้ควรอัปเกรดเป็น PackageKit เวอร์ชัน 1.3.5 โดยเร็วที่สุด และตรวจสอบให้แน่ใจว่าซอฟต์แวร์อื่น ๆ ที่มีการใช้งานแพ็กเกจนี้เป็นส่วนประกอบได้ถูกอัปเดตไปเป็นเวอร์ชันที่ปลอดภัยแล้วเช่นกัน

ผู้ใช้สามารถใช้คำสั่งด้านล่างนี้เพื่อตรวจสอบว่าเครื่องของตนมีการติดตั้ง PackageKit เวอร์ชันที่มีช่องโหว่ไว้หรือไม่ และตรวจสอบว่า Daemon ดังกล่าวกำลังทำงานอยู่หรือไม่

ผู้ใช้สามารถรันคำสั่ง systemctl status packagekit หรือ pkmon เพื่อตรวจสอบว่า PackageKit daemon พร้อมใช้งาน และกำลังทำงานอยู่หรือไม่ ซึ่งจะเป็นการบ่งบอกว่าระบบอาจตกอยู่ในความเสี่ยงหากยังไม่ได้รับการอัปเดตแพตช์แก้ไข

ถึงแม้จะยังไม่มีการเปิดเผยรายละเอียดเกี่ยวกับการนำช่องโหว่ไปใช้โจมตีจริง แต่ทีมนักวิจัยตั้งข้อสังเกตว่ามีสัญญาณแสดงให้เห็นชัดเจนเมื่อระบบถูกโจมตี เนื่องจากการโจมตีระบบจะส่งผลให้ PackageKit daemon เกิดข้อผิดพลาดแบบ Assertion failure และ Crashing ได้

แม้ว่า Systemd จะสามารถกู้คืน Daemon กลับมาทำงานได้ แต่ร่องรอยการ Crash ดังกล่าวก็สามารถสังเกตเห็นได้ใน System logs

 

ที่มา : bleepingcomputer.

มัลแวร์ GoGra เวอร์ชัน Linux ใช้โครงสร้างพื้นฐานของ Microsoft ที่ถูกต้องตามปกติ โดยอาศัย Outlook Inbox ในการส่งมัลแวร์อย่างลับ ๆ

(more…)

ImunifyAV ซึ่งเป็นโปรแกรมสแกนมัลแวร์สำหรับเซิร์ฟเวอร์ Linux ที่มีเว็บไซต์มากกว่า 10 ล้านแห่งใช้งานอยู่ ถูกพบว่ามีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่อาจถูกใช้เพื่อโจมตีระบบ hosting ได้

(more…)

CISA ยืนยันเมื่อวันพฤหัสบดี (30 ตุลาคม 2025) ที่ผ่านมาว่า ขณะนี้พบการโจมตีโดยใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ระดับความรุนแรงสูงใน Linux kernel แล้ว ซึ่งเป็นสาเหตุของการโจมตีด้วยแรนซัมแวร์ (more…)

มีรายงานการค้นพบแพ็คเกจอันตราย 10 รายการบน npm registry ที่เลียนแบบ software projects ที่ถูกต้อง โดยแพ็คเกจเหล่านี้จะดาวน์โหลด component สำหรับขโมยข้อมูล ที่จะรวบรวมข้อมูลสำคัญจากระบบ Windows, Linux และ macOS

แพ็คเกจเหล่านี้ถูกอัปโหลดไปยัง npm เมื่อวันที่ 4 กรกฎาคม และไม่ถูกตรวจพบเป็นเวลานาน เนื่องจากการเข้ารหัสหลายชั้น ซึ่งช่วยให้รอดพ้นจากกลไกการวิเคราะห์โค้ดแบบทั่วไป

ตามรายงานของนักวิจัยจากบริษัทความปลอดภัยทางไซเบอร์ Socket ระบุว่า แพ็คเกจทั้ง 10 นี้มียอดดาวน์โหลดเกือบ 10,000 ครั้ง และได้ขโมยข้อมูล credentials จาก system keyrings, เบราว์เซอร์ และ authentication services

แพ็คเกจเหล่านี้ยังคงดาวน์โหลดได้ แม้ว่า Socket จะรายงานไปยัง npm แล้วก็ตาม:

typescriptjs
deezcord.

พบช่องโหว่ความปลอดภัยระดับ Critical ใน Linux UDisks daemon ที่อาจทำให้ผู้โจมตีที่ไม่มีสิทธิ์ สามารถเข้าถึงไฟล์ที่เป็นของผู้ใช้ที่มีสิทธิ์สูงได้

ช่องโหว่นี้มีหมายเลข CVE-2025-8067 และถูกเปิดเผยต่อสาธารณะเมื่อวันที่ 28 สิงหาคม 2025 โดยถูกจัดระดับความรุนแรงเป็น Important พร้อมคะแนน CVSS v3 ที่ 8.5

ช่องโหว่ D-Bus Privilege Escalation ของ UDisks

ช่องโหว่นี้เกิดจากการตรวจสอบ input validation อย่างไม่เหมาะสม ภายใน loop device handler ของ UDisks daemon ซึ่งประมวลผลผ่าน D-BUS interface

ช่องโหว่นี้เกิดขึ้นเมื่อ daemon จัดการกับพารามิเตอร์ที่สำคัญสองตัว ได้แก่ file descriptor list และ index value ที่ใช้ระบุไฟล์สำรองสำหรับการสร้างอุปกรณ์ loop

แม้ว่า daemon จะตรวจสอบค่า upper bound ของ index parameter ได้อย่างถูกต้องเพื่อป้องกันไม่ให้เกินค่าสูงสุดที่อนุญาต แต่กลับล้มเหลวในการตรวจสอบค่า lower bound

ความผิดพลาดนี้ทำให้ผู้โจมตีสามารถส่งค่า negative index เข้ามาได้ ซึ่งส่งผลให้เกิดเงื่อนไข out-of-bounds read ที่ถูกจัดประเภทเป็น CWE-125

ช่องโหว่นี้ทำให้ผู้ใช้ที่ไม่มีสิทธิ์สามารถสร้างอุปกรณ์ loop ผ่าน D-BUS interface ได้ ซึ่งอาจทำให้ UDisks daemon หยุดทำงาน หรือที่ร้ายแรงกว่านั้นคือช่วยให้มีการยกระดับสิทธิ์ภายในเครื่องได้

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเข้าถึงไฟล์ที่มีความสำคัญซึ่งเป็นของผู้ใช้ที่มีสิทธิ์สูง โดย bypass การควบคุมสิทธิ์ตามปกติ

นักวิจัยด้านความปลอดภัย Michael Imfeld (born0monday) เป็นผู้ค้นพบ และรายงานช่องโหว่นี้ต่อ Red Hat

ระบบที่ได้รับผลกระทบ

ทีมงานด้านความปลอดภัยของ Red Hat ได้จัดระดับช่องโหว่นี้เป็น Important เนื่องจากมีความซับซ้อนในการโจมตีต่ำ แต่มีศักยภาพสูงในการยกระดับสิทธิ์

ช่องโหว่นี้ส่งผลกระทบต่อหลายเวอร์ชันของ Red Hat Enterprise Linux ได้แก่

Red Hat Enterprise Linux 10 (udisks2)
Red Hat Enterprise Linux 9 (udisks2)
Red Hat Enterprise Linux 8 (udisks2)
Red Hat Enterprise Linux 7 (udisks2)
Red Hat Enterprise Linux 6 (udisks – หมดระยะเวลาการสนับสนุนแล้ว)

ผลกระทบทางเทคนิคอาจรวมถึงการเปิดเผยหน่วยความจำที่เก็บคีย์เข้ารหัส, ข้อมูลส่วนบุคคล และ memory addresses ซึ่งสามารถใช้เพื่อ bypass การป้องกันแบบ Address Space Layout Randomization (ASLR)

ปัจจุบันยังไม่มีวิธีการลดความเสี่ยง นอกจากการติดตั้งแพ็กเกจอัปเดตเมื่อมีการเผยแพร่ออกมา

องค์กรที่ใช้งาน Linux เวอร์ชันที่ได้รับผลกระทบควรให้ความสำคัญกับการติดตั้งแพตช์ด้านความปลอดภัยทันทีที่มีการเปิดตัว เพื่อป้องกันการโจมตีที่อาจใช้ช่องโหว่นี้ในการยกระดับสิทธิ์

ที่มา : cybersecuritynews