Patch Tuesday ประจำเดือนพฤศจิกายน 2025 ของ Microsoft อัปเดตความปลอดภัยสำหรับช่องโหว่ 63 รายการ รวมถึงช่องโหว่ zero-day 1 รายการที่กำลังถูกใช้ในการโจมตี
Patch Tuesday ในรอบนี้ได้แก้ไขช่องโหว่ระดับ "Critical" จำนวน 4 รายการ โดยมี 2 รายการเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution), มี 1 รายการเป็นช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege) และอีก 1 รายการเป็นช่องโหว่การเปิดเผยข้อมูล (Information Disclosure) (more…)
QNAP ได้แก้ไขช่องโหว่ zero-day จำนวน 7 รายการ ที่นักวิจัยด้านความปลอดภัยใช้โจมตีในการแฮ็กอุปกรณ์ NAS (network-attached storage) ของ QNAP ในระหว่างการแข่งขัน Pwn2Own Ireland 2025
ช่องโหว่เหล่านี้ส่งผลกระทบต่อระบบปฏิบัติการ QTS และ QuTS hero ของ QNAP (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849) และซอฟต์แวร์ของบริษัท ได้แก่ Hyper Data Protector (CVE-2025-59389), Malware Remover (CVE-2025-11837) และ HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842)
QNAP ได้ระบุในคำแนะนำที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมา โดยระบุว่า ช่องโหว่ด้านความปลอดภัยเหล่านี้ถูกใช้โจมตีในงาน Pwn2Own โดยทีม Summoning Team, DEVCORE, Team DDOS และนักศึกษาฝึกงานจาก CyCraft technology
เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้ QNAP แนะนำให้อัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด และเปลี่ยนรหัสผ่านทั้งหมดเพื่อเพิ่มความปลอดภัย
QNAP ได้แก้ไขช่องโหว่ทั้งหมดแล้วในซอฟต์แวร์เวอร์ชันดังต่อไปนี้ :
Hyper Data Protector 2.2.4.1 และเวอร์ชันที่ใหม่กว่า
Malware Remover 6.6.8.20251023 และเวอร์ชันที่ใหม่กว่า
HBS 3 Hybrid Backup Sync 26.2.0.938 และเวอร์ชันที่ใหม่กว่า
QTS 5.2.7.3297 build 20251024 และเวอร์ชันที่ใหม่กว่า
QuTS hero h5.2.7.3297 build 20251024 และเวอร์ชันที่ใหม่กว่า
QuTS hero h5.3.1.3292 build 20251024 และเวอร์ชันที่ใหม่กว่า
สำหรับผู้ใช้ที่ต้องการอัปเดต OS ให้ล็อกอินเข้าสู่ QTS หรือ QuTS Hero ในฐานะผู้ดูแลระบบ จากนั้นไปที่ Control Panel > System > Firmware Update และคลิก "Check for Update" ตรงหัวข้อ Live Update
หากต้องการอัปเดตแอปที่มีช่องโหว่ ให้ล็อกอินเข้าสู่ QTS หรือ QuTS hero ในฐานะผู้ดูแลระบบก่อน จากนั้นเปิด App Center แล้วคลิกปุ่มค้นหา พิมพ์ชื่อแอปที่คุณต้องการอัปเดตแล้วกด ENTER ในผลการค้นหา ให้คลิก "Update" จากนั้นยืนยันการดำเนินการโดยคลิก "OK" ในข้อความยืนยันที่ปรากฏขึ้น
QNAP ระบุว่า "เพื่อรักษาความปลอดภัยให้กับอุปกรณ์ ขอแนะนำให้อัปเดตระบบเป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ เพื่อเป็นการแก้ไขช่องโหว่ สามารถตรวจสอบสถานะการ support ผลิตภัณฑ์ เพื่อดูการอัปเดตล่าสุดที่มีให้สำหรับ NAS รุ่นที่กำลังใช้งานอยู่"
เมื่อหนึ่งปีที่แล้ว ผู้ผลิต NAS (QNAP) ได้แก้ไขช่องโหว่ zero-day อีกสองรายการที่ถูกใช้โจมตีในระหว่างการแข่งขัน Pwn2Own Ireland 2024 ได้แก่ ช่องโหว่ OS command injection (CVE-2024-50388) ในโซลูชันการสำรองข้อมูล และกู้คืนระบบ Hybrid Backup Sync และช่องโหว่ SQL injection (SQLi) (CVE-2024-50387) ในบริการ SMB Service ของ QNAP
ในวันที่ 7 พฤศจิกายน 2025 QNAP ยังได้ปล่อยอัปเดต QuMagie 2.7.0 พร้อมการแก้ไขช่องโหว่ SQLi ที่มีความรุนแรงระดับ Critical (CVE-2025-52425) ในโซลูชันการจัดการ และการแชร์รูปภาพ ซึ่งช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีจากภายนอกเรียกใช้โค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตบนอุปกรณ์ที่มีช่องโหว่ได้
ที่มา : bleepingcomputer.
ปัจจุบันกลุ่ม Ransomware กำลังมีการปรับโครงสร้างใหม่ โดยกลุ่ม Ransomware ในชื่อ DragonForce กำลังจัดตั้งกลุ่ม operations ย่อยต่าง ๆ ภายใต้โครงสร้างของกลุ่ม DragonForce Ransomware
DragonForce ได้เชิญชวนให้กลุ่ม Hacker และกลุ่ม Ransomware ต่าง ๆ มาร่วมเป็นพันธมิตร ทำให้สามารถดำเนินการในรูปแบบ Ransomware-as-a-service (RaaS) โดยที่ไม่จำเป็นต้องรับภาระทางด้านต้นทุนในการโจมตี และการบำรุงรักษาโครงสร้างพื้นฐาน (more…)
QNAP แก้ไขช่องโหว่ rsync จำนวน 6 รายการ ซึ่งอาจทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ Network Attached Storage (NAS) ที่มีช่องโหว่ได้ (more…)
การอัปเดตเฟิร์มแวร์ล่าสุดที่ถูกส่งไปยังอุปกรณ์ QNAP Network Attached Storage (NAS) ทำให้ผู้ดูแลระบบหลายรายไม่สามารถเข้าถึงระบบจัดเก็บข้อมูลของตนได้ บริษัทได้ถอนการอัปเดตเฟิร์มแวร์ และปล่อยเวอร์ชันที่ได้รับการแก้ไขแล้ว แต่การตอบสนองของบริษัททำให้บางผู้ (more…)
QNAP เผยแพร่ประกาศด้านความปลอดภัยในช่วงสุดสัปดาห์ที่ผ่านมา ซึ่งระบุถึงช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีความรุนแรงระดับ Critical 3 รายการที่ผู้ใช้งานควรอัปเดตแพทช์โดยเร็วที่สุด
เริ่มต้นด้วย QNAP Notes Station 3 ซึ่งเป็นแอปพลิเคชันสำหรับจดบันทึก และใช้ทำงานร่วมกันในระบบ NAS ของบริษัท โดยมีช่องโหว่ 2 รายการที่ส่งผลกระทบต่อแอปพลิเคชันนี้
CVE-2024-38643 (คะแนน CVSS v4: 9.3 ความรุนแรงระดับ Critical) เป็นช่องโหว่การขาดการตรวจสอบการยืนยันตัวตนในฟังก์ชันที่สำคัญ ซึ่งอาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงระบบได้โดยไม่ได้รับอนุญาต และสามารถเข้าควบคุมระบบบางอย่างได้ การที่ไม่มีระบบการตรวจสอบการยืนยันตัวตนที่เหมาะสมทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยไม่ต้องมีข้อมูล credential
CVE-2024-38645 (คะแนน CVSS v4: 9.4 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Server-side request forgery (SSRF) ที่อาจทำให้ผู้โจมตีจากภายนอกที่มีข้อมูล credentials สำหรับการยืนยันตัวตน สามารถส่ง requests ที่สร้างขึ้นมาเป็นพิเศษเพื่อควบคุมพฤติกรรมของฝั่งเซิร์ฟเวอร์ ซึ่งอาจทำให้ข้อมูลที่สำคัญของแอปพลิเคชันถูกเปิดเผยได้
QNAP ได้แก้ไขช่องโหว่ดังกล่าวใน Notes Station 3 เวอร์ชัน 3.9.7 แล้ว และแนะนำให้ผู้ใช้ทำการอัปเดตเป็นเวอร์ชันดังกล่าว หรือใหม่กว่าเพื่อลดความเสี่ยง
ช่องโหว่อีก 2 รายการที่ระบุในประกาศฉบับเดียวกัน คือ CVE-2024-38644 และ CVE-2024-38646 เป็นช่องโหว่ที่มีความรุนแรงระดับ High (คะแนน CVSS v4: 8.7 และ 8.4) โดยช่องโหว่เหล่านี้เกี่ยวข้องกับการโจมตีแบบ Command Injection และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ซึ่งต้องอาศัยการเข้าถึงในระดับผู้ใช้งานจึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ได้
ช่องโหว่ใน QuRouter
ช่องโหว่ที่ 3 ระดับ Critical ที่ QNAP แก้ไขคือ CVE-2024-48860 ส่งผลกระทบต่อผลิตภัณฑ์ QuRouter 2.4.x ซึ่งเป็นกลุ่มเราเตอร์ความเร็วสูง และมีความปลอดภัยของ QNAP
ช่องโหว่นี้จัดอยู่ในระดับ "Critical" (คะแนน CVSS v4: 9.5) โดยเป็นช่องโหว่ OS Command Injection ที่อาจทำให้ผู้โจมตีจากภายนอกสามารถรันคำสั่งบนระบบได้
นอกจากนี้ QNAP ยังได้แก้ไขช่องโหว่ command injection ที่มีระดับความรุนแรงต่ำ ซึ่งมีหมายเลข CVE-2024-48861 โดยทั้งสองช่องโหว่ได้รับการแก้ไขแล้วใน QuRouter เวอร์ชัน 2.4.3.106
การแก้ไขอื่น ๆ ของ QNAP
ผลิตภัณฑ์อื่น ๆ ที่ได้รับการแก้ไขช่องโหว่ในช่วงสุดสัปดาห์นี้ ได้แก่ QNAP AI Core (เอนจิน AI), QuLog Center (เครื่องมือจัดการ log), QTS (ระบบปฏิบัติการมาตรฐานสำหรับอุปกรณ์ NAS) และ QuTS Hero (เวอร์ชันขั้นสูงของ QTS)
ช่องโหว่สำคัญที่ได้รับการแก้ไขในผลิตภัณฑ์เหล่านี้ ซึ่งมีคะแนน CVSS v4 อยู่ที่ระหว่าง 7.7 ถึง 8.7 (ความรุนแรงระดับ High)
CVE-2024-38647: เป็นช่องโหว่การเปิดเผยข้อมูล (Information Exposure) ที่อาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงข้อมูลที่สำคัญ และทำให้ความปลอดภัยของระบบถูกโจมตี โดยช่องโหว่นี้ส่งผลกระทบต่อ QNAP AI Core เวอร์ชัน 3.4.x และได้รับการแก้ไขแล้วในเวอร์ชัน 3.4.1 และเวอร์ชันที่ใหม่กว่า
CVE-2024-48862: เป็นช่องโหว่ Link-Following flaw ที่อาจทำให้ผู้โจมตีจากภายนอก สามารถเข้าถึง หรือแก้ไขไฟล์ได้ ช่องโหว่นี้ส่งผลกระทบต่อ QuLog Center เวอร์ชัน 1.7.x และ 1.8.x โดยได้รับการแก้ไขในเวอร์ชัน 1.7.0.831 และ 1.8.0.888
CVE-2024-50396 และ CVE-2024-50397: เป็นช่องโหว่เกี่ยวกับ การจัดการรูปแบบสตริงที่มีการควบคุมจากภายนอก (Improper Handling of Externally Controlled Format Strings) ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ หรือแก้ไขหน่วยความจำของระบบได้ ซึ่งช่องโหว่หมายเลข CVE-2024-50396 สามารถถูกใช้โจมตีจากระยะไกลเพื่อควบคุมหน่วยความจำของระบบได้ ในขณะที่ช่องโหว่ CVE-2024-50397 จำเป็นต้องมีการเข้าถึงในระดับผู้ใช้ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ โดยช่องโหว่ทั้งสองรายการได้รับการแก้ไขแล้วใน QTS เวอร์ชัน 5.2.1.2930 และ QuTS Hero เวอร์ชัน h5.2.1.2929
QNAP แนะนำให้ลูกค้าทำการติดตั้งแพตซ์อัปเดตโดยเร็วที่สุดเพื่อป้องกันการถูกโจมตีที่อาจเกิดขึ้น
ตามปกติแล้ว อุปกรณ์ QNAP ไม่ควรเชื่อมต่อกับอินเทอร์เน็ตโดยตรง แต่ควรใช้งานผ่าน VPN แทน เพื่อป้องกันการถูกโจมตีจากระยะไกลผ่านช่องโหว่ต่าง ๆ
ที่มา : bleepingcomputer
D-Link รายงานการพบอุปกรณ์ D-Link Network-Attached Storage (NAS) ที่หมดอายุการใช้งานแล้ว (End-of-Life) มากกว่า 60,000 รายการ มีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะแล้ว (more…)
Synology ผู้ผลิตอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย (NAS) ของไต้หวัน ได้แก้ไขช่องโหว่ระดับ Critical 2 รายการที่ถูกโจมตีในการแข่งขัน Pwn2Own hacking competition (more…)
QNAP ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ zero-day ที่สอง ซึ่งถูกนักวิจัยด้านความปลอดภัยนำไปใช้โจมตีในการแข่งขันแฮ็ก Pwn2Own เมื่อสัปดาห์ที่ผ่านมา
ช่องโหว่ระดับ Critical นี้เป็นช่องโหว่ SQL injection (SQLi) ที่มีหมายเลข CVE-2024-50387 เป็นช่องโหว่ใน SMB service ของ QNAP และได้รับการแก้ไขแล้วในเวอร์ชัน 4.15.002 ขึ้นไป และ h4.15.002 ขึ้นไป
ช่องโหว่ zero-day นี้ได้รับการแก้ไขไปแล้วหนึ่งสัปดาห์หลังจากที่ YingMuo (ซึ่งทำงานร่วมกับโครงการฝึกงาน DEVCORE) สามารถเข้าถึงสิทธิ์ root และควบคุมอุปกรณ์ QNAP TS-464 NAS ได้ในงาน Pwn2Own Ireland 2024 (more…)
QNAP แก้ไขช่อง zero-day ความรุนแรงระดับ Critical ที่ถูกนักวิจัยด้านความปลอดภัยใช้โจมตีอุปกรณ์ NAS TS-464 ในระหว่างการแข่งขัน Pwn2Own Ireland 2024
CVE-2024-50388 เป็นช่องโหว่ด้านความปลอดภัยที่เกิดจาก OS command injection ใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.x ซึ่งเป็นโซลูชันการกู้คืนระบบ และการสำรองข้อมูล ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งได้ตามที่ต้องการได้
ช่องโหว่ดังกล่าวถูกค้นพบโดย Ha The Long และ Ha Anh Hoang จาก Viettel Cyber Security ที่สามารถเรียกใช้คำสั่ง และได้รับสิทธิ์ของผู้ดูแลระบบในวันที่สามของงาน Pwn2Own Ireland 2024
ปัจจุบัน QNAP ได้แก้ไขช่องโหว่ดังกล่าวแล้วใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.1.673 และเวอร์ชันที่ใหม่กว่า
หากต้องการอัปเดต HBS 3 บนอุปกรณ์ NAS สามารถเข้าสู่ระบบ QTS หรือ QuTS hero ในฐานะผู้ดูแลระบบ เปิด App Center และค้นหา "HBS 3 Hybrid Backup Sync" หากมีการอัปเดต ให้คลิก "Update" หากไม่พบปุ่ม "Update" แสดงว่า HBS 3 Hybrid Backup Sync อาจได้รับการอัปเดตไปแล้ว
หลังจากการแข่งขัน Pwn2Own ผู้ให้บริการมักจะใช้เวลาในการออกอัปเดตแพตซ์ด้านความปลอดภัย เนื่องจากพวกเขามีเวลา 90 วันจนกว่า Zero Day Initiative ของ Trend Micro จะเผยแพร่รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ถูกใช้ในระหว่างการแข่งขัน Pwn2Own
ทั้งนี้ในการแข่งขันดังกล่าว ทีม Viettel เป็นผู้คว้าชัยชนะในการแข่งขัน Pwn2Own Ireland 2024 โดยมีรางวัลมูลค่ารวมกว่า 1 ล้านเหรียญสหรัฐฯ โดยมอบให้กับ Hacker ที่เปิดเผยช่องโหว่ Zero Day ที่ไม่ซ้ำกันมากกว่า 70 รายการ
ในปี 2021 QNAP ได้ลบ backdoor account ใน Hybrid Backup Sync solution (CVE-2021-28799) ซึ่งถูกใช้ในการโจมตีร่วมกับช่องโหว่ SQL Injection ใน Multimedia Console และ Media Streaming Add-On (CVE-2020-36195) เพื่อติดตั้ง Qlocker ransomware ในอุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ตเพื่อเข้ารหัสไฟล์ข้อมูล
ในเดือนมิถุนายน 2020 QNAP ได้แจ้งเตือนการโจมตีด้วย eCh0raix ransomware ที่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของแอป Photo Station หลังจากนั้นหนึ่งปีต่อมา eCh0raix (หรือที่เรียกว่า QNAPCrypt) ได้กลับมาโจมตีอีกครั้งโดยใช้ประโยชน์จากช่องโหว่ที่พบ และบัญชีที่ใช้รหัสผ่านที่คาดเดาได้ง่าย
นอกจากนี้ QNAP ยังแจ้งเตือนลูกค้าในเดือนกันยายน 2020 เกี่ยวกับการโจมตีด้วย AgeLocker ransomware ที่กำหนดเป้าหมายไปที่อุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ต และใช้งาน Photo Station เวอร์ชันเก่า และมีช่องโหว่
อุปกรณ์ QNAP เป็นเป้าหมายยอดนิยมของกลุ่ม Hacker ที่ใช้ในการเรียกค่าไถ่ เนื่องจากอุปกรณ์เหล่านี้จัดเก็บไฟล์ส่วนบุคคลที่มีความสำคัญ ทำให้สามารถใช้เป็นเครื่องมือในการบังคับให้เหยื่อจ่ายค่าไถ่เพื่อถอดรหัสข้อมูลได้
ที่มา : bleepingcomputer