Check Point เปิดเผยช่องโหว่ Zero-day ใน VPN ที่มีความเกี่ยวข้องกับกลุ่ม Qilin Ransomware

บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล Check Point ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อการใช้งาน Remote Access VPN และ cc ซึ่งกำลังถูกนำไปใช้ในการโจมตีแบบ Zero-day

ช่องโหว่นี้มีหมายเลข CVE-2026-50751 ทำให้ผู้โจมตีจากภายนอกที่ไม่ได้รับอนุญาตสามารถ bypass authentication สำหรับการเข้าถึงผ่าน Mobile Access, SSL VPNs, Remote Access VPNs หรือไฟร์วอลล์ที่ตกเป็นเป้าหมาย และสร้างการเชื่อมต่อ VPN ได้

ทางบริษัทระบุว่า ช่องโหว่นี้ส่งผลกระทบเฉพาะการใช้งานที่กำหนดค่าให้ใช้โปรโตคอลสำหรับการแลกเปลี่ยนคีย์ IKEv1 ที่เลิกใช้แล้ว กับ security gateways ที่ยอมรับ Remote Access clients แบบเดิม และไม่ต้องการ certificate ที่ตรวจสอบ machine ที่มีการเชื่อมต่อ

การโจมตีเริ่มขึ้นในวันที่ 7 พฤษภาคม และทวีความรุนแรงขึ้นอย่างรวดเร็วในช่วงต้นเดือนมิถุนายน และส่งผลกระทบต่อองค์กรเพียงไม่กี่สิบแห่งทั่วโลก โดยอย่างน้อยหนึ่งเหตุการณ์มีความเชื่อมโยงกับการปฏิบัติการของกลุ่ม Qilin Ransomware

บริษัทระบุว่า "นักวิจัยของ Check Point ได้ตรวจพบการโจมตีช่องโหว่ CVE-2026-50751 ซึ่งเป็นช่องโหว่ authentication bypass ระดับ Critical ที่ส่งผลกระทบต่อการใช้งาน Check Point Remote Access VPN และ Mobile Access ที่กำหนดค่าให้ใช้โปรโตคอลการแลกเปลี่ยนคีย์ IKEv1 ที่ล้าสมัย"

"จนถึงปัจจุบัน พบการโจมตีอยู่เพียงไม่กี่สิบองค์กรเป้าหมายทั่วโลก หนึ่งในนั้นเกี่ยวข้องกับกิจกรรมหลังการเจาะระบบที่ได้รับการยืนยันแล้วว่า เชื่อมโยงกับกลุ่มพันธมิตรของ Qilin Ransomware ลูกค้าที่ใช้โปรโตคอลการแลกเปลี่ยนคีย์ IKEv1 ควรติดตั้งการอัปเดตความปลอดภัยทันที"

Check Point ยังได้แชร์มาตรการลดผลกระทบสำหรับลูกค้าที่ไม่สามารถแก้ไขระบบที่มีช่องโหว่ได้ทันที โดยแนะนำให้ยกเลิกการรองรับซอฟต์แวร์ฝั่งไคลเอนต์รุ่นเก่า กำหนดคุณสมบัติสำหรับการตรวจสอบสิทธิ์ (Global Properties) ในการ VPN เป็น IKEv2 เท่านั้น บังคับตั้งค่าการตรวจสอบสิทธิ์ด้วย Machine Certificate รวมถึงเปิดใช้งาน IPS และดาวน์โหลด Signatures มาใช้งาน

ขณะตรวจสอบช่องโหว่ CVE-2026-50751 นั้นทาง Check Point ได้พบช่องโหว่ที่สองที่มีหมายเลข CVE-2026-50752 ที่ส่งผลกระทบต่อ certificate validation ในการแลกเปลี่ยนคีย์ IKEv1 ที่ล้าสมัย ซึ่งสามารถใช้ประโยชน์ในการโจมตีแบบ man-in-the-middle บน VPN site-to-site ได้

แม้ว่า Check Point ยังไม่พบหลักฐานการโจมตีจากช่องโหว่ CVE-2026-50752 แต่ทางบริษัทได้แนะนำให้ลูกค้าดำเนินการอัปเดตระบบเพื่อลดความเสี่ยงที่อาจเกิดขึ้น

สำหรับกลุ่ม Qilin Ransomware ถูกพบครั้งแรกเมื่อเดือนสิงหาคม 2022 ในรูปแบบ Ransomware-as-a-Service หรือ RaaS ภายใต้ชื่อ "Agenda" และนับตั้งแต่นั้นมา กลุ่มนี้ได้อ้างว่าเป็นผู้อยู่เบื้องหลังในการโจมตีเหยื่อ บนเว็บไซต์ที่เผยแพร่ข้อมูลรั่วไหลไปแล้วกว่า 400 ราย

รายชื่อของเหยื่อของกลุ่มดังกล่าวนี้ ยังรวมถึงองค์กรระดับโลกที่มีชื่อเสียง เช่น Yangfeng บริษัทด้านยานยนต์, Nissan, Asahi บริษัทเบียร์ของญี่ปุ่น, Lee Enterprises บริษัทด้านธุรกิจสิ่งพิมพ์, Synnovis ผู้ให้บริการด้านพยาธิวิทยา และ Court Services Victoria หน่วยงานบริการศาลของประเทศออสเตรเลีย

 

ที่มา: bleepingcomputer.

Nissan เปิดเผยเหตุการณ์ข้อมูลลูกค้าหลายพันรายรั่วไหล จากเหตุการณ์ Red Hat breach

บริษัท นิสสัน มอเตอร์ จำกัด (Nissan) ยืนยันว่าข้อมูลของลูกค้าหลายพันรายได้รับผลกระทบ หลังจากเกิดเหตุการณ์ข้อมูลรั่วไหลที่ Red Hat เมื่อเดือนกันยายนที่ผ่านมา

ผู้ผลิตรถยนต์สัญชาติญี่ปุ่นรายนี้ ซึ่งมีสำนักงานใหญ่อยู่ที่เมืองโยโกฮาม่า ประเทศญี่ปุ่น มีกำลังการผลิตรถยนต์มากกว่า 3.2 ล้านคันต่อปี บริษัทมีพนักงานรวม 120,000 คน และมีฐานธุรกิจที่แข็งแกร่งทั้งในญี่ปุ่น, อเมริกาเหนือ, ยุโรป และเอเชีย (more…)

Qilin Ransomware ใช้ WSL เพื่อรัน Linux encryptors ใน Windows

พบกลุ่ม Qilin Ransomware ได้ใช้ Linux encryptors ใน Windows โดยใช้ Windows Subsystem for Linux (WSL) เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัยแบบเดิม

(more…)

เครื่องมือการเข้ารหัสแบบใหม่ของ Qilin ransomware ที่สามารถเข้ารหัส และหลบเลี่ยงการตรวจจับได้

พบเครื่องมือเวอร์ชันใหม่ของ Qilin ransomware ที่พัฒนาโดยใช้ภาษา Rust มีชื่อว่า 'Qilin.B' ถูกตรวจพบในการโจมตี โดยมีการเข้ารหัสที่ซับซ้อนขึ้น และสามารถหลบเลี่ยงการตรวจจับจากอุปกรณ์รักษาความปลอดภัย รวมไปถึงสามารถขัดขวางกระบวนการกู้คืนข้อมูลได้

Qilin.