WatchGuard ออกประกาศเตือนให้ลูกค้าทำการแพตช์แก้ไขช่องโหว่ระดับ Critical ประเภท Remote Code Execution (RCE) ที่กำลังถูกโจมตีอยู่ในขณะนี้ ซึ่งพบในอุปกรณ์ Firewall รุ่น Firebox

(more…)

พบช่องโหว่การรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical หมายเลข CVE-2025-11953 ในแพ็คเกจ NPM @react-native-community/cli

แพ็คเกจนี้มียอดดาวน์โหลดเกือบ 2 ล้านครั้งต่อสัปดาห์ โดยทำหน้าที่เป็นเครื่องมือ command-line interface (CLI) สำหรับ React Native ซึ่งเป็น JavaScript framework ที่นักพัฒนาใช้ในการสร้างแอปฯ มือถือแบบ cross-platform

ช่องโหว่นี้ได้คะแนน CVSS 9.8 เนื่องจากสามารถเข้าถึงได้ผ่านเครือข่าย มีความซับซ้อนในการโจมตีต่ำ และอาจสร้างความเสียหายร้ายแรง โดยทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถรันคำสั่งบนระบบปฏิบัติการบนเครื่องของนักพัฒนาผ่านทาง development server ของแพ็คเกจได้

CLI ของ React Native ซึ่งถูกแยกออกจากโค้ดหลักเมื่อหลายปีก่อนเพื่อให้บำรุงรักษาง่ายขึ้น ทำหน้าที่จัดการงานที่สำคัญ เช่น การเริ่มต้นโปรเจกต์ และการรัน Metro bundler

คำสั่งอย่าง “npm start” หรือ “npx react-native run-android” จะเป็นการเปิดใช้งานเซิร์ฟเวอร์นี้ ซึ่งทำหน้าที่ bundle JavaScript สำหรับ emulators หรืออุปกรณ์

แต่นักวิจัยของ JFrog พบว่า /open-url endpoint ของเซิร์ฟเวอร์ จัดการ user input ผิดพลาด โดยส่งข้อมูลนั้นโดยตรงไปยังฟังก์ชัน open() ที่ไม่ปลอดภัยของไลบรารี NPM ที่ชื่อ “open”

บน Windows เหตุการณ์นี้ทำให้เกิดการรันคำสั่ง shell ที่สามารถควบคุมพารามิเตอร์ได้อย่างเต็มที่ ตัวอย่าง PoC พิสูจน์ด้วยการเปิดโปรแกรม calc.

Fortinet ออกแพตซ์อัปเดตด้านความปลอดภัย เพื่อแก้ไขช่องโหว่ระดับ Critical ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ซึ่งกำลังถูกใช้ในการโจมตีแบบ zero-day ต่อระบบโทรศัพท์องค์กร FortiVoice โดยช่องโหว่นี้เป็นช่องโหว่แบบ stack-based overflow ที่มีหมายเลข CVE-2025-32756 และส่งผลกระทบต่อผลิตภัณฑ์อื่น ๆ ของ Fortinet เช่น FortiMail, FortiNDR, FortiRecorder และ FortiCamera ด้วย

จากการแจ้งเตือนด้านความปลอดภัยเมื่อวันอังคารที่ผ่านมา บริษัทระบุว่า การโจมตีที่สำเร็จอาจเปิดโอกาสให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถสั่งให้ระบบประมวลผลคำสั่ง หรือโค้ดตามที่ผู้โจมตีต้องการผ่าน HTTP request ที่ออกแบบมาโดยเฉพาะ

ทีมความปลอดภัยผลิตภัณฑ์ของ Fortinet พบช่องโหว่ CVE-2025-32756 จากการตรวจสอบการดำเนินการของผู้โจมตี ซึ่งรวมถึงการสแกนเครือข่าย, การลบไฟล์ crashlog ของระบบเพื่อลบหลักฐาน และการเปิดฟังก์ชัน 'fcgi debugging' เพื่อบันทึกข้อมูล credentials จากระบบ หรือการพยายามเข้าสู่ระบบผ่าน SSH

จากรายงานคำแนะนำด้านความปลอดภัย ผู้โจมตีใช้ IP address ต่าง ๆ ในการโจมตี รวมถึง 198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244 และ 218.187.69[.]59

ระหว่างการวิเคราะห์การโจมตี FortiVoice, Fortinet พบ IoCs (Indicators of compromise) ซึ่งรวมถึงการเปิดใช้งานฟังก์ชัน 'fcgi debugging' บนระบบที่ถูกแฮ็ก (โดยปกติฟังก์ชันนี้จะไม่ได้เปิดใช้งาน) หากต้องการตรวจสอบว่าระบบของคุณเปิดใช้งานอยู่หรือไม่ ให้รันคำสั่ง: `diag debug application fcgi` และสังเกตข้อความ `"general to-file ENABLED"`

จากการตรวจสอบการโจมตี Fortinet พบว่าผู้โจมตีได้ดำเนินการโดย ติดตั้งมัลแวร์บนอุปกรณ์ที่ถูกเจาะ, เพิ่ม cron jobs เพื่อขโมยข้อมูล credentials และปล่อยสคริปต์เพื่อสแกนเครือข่ายของเหยื่อ

บริษัทยังได้ให้คำแนะนำเกี่ยวกับการลดความเสี่ยงสำหรับลูกค้าที่ไม่สามารถติดตั้งอัปเดตแพตซ์ด้านความปลอดภัยในวันนี้ได้ทันที โดยแนะนำให้ปิดการใช้งาน HTTP/HTTPS administrative interface บนอุปกรณ์ที่มีช่องโหว่

เมื่อเดือนที่ผ่านมา Shadowserver Foundation พบอุปกรณ์ Fortinet กว่า 16,000 เครื่อง ที่เชื่อมต่ออินเทอร์เน็ตถูกโจมตีโดยใช้ backdoor แบบ symlink ซึ่งยังคงเข้าถึงไฟล์สำคัญได้ แม้อุปกรณ์จะได้รับการแพตช์แล้วจากเหตุการณ์ก่อนหน้า

ในช่วงต้นเดือนเมษายน ยังมีการแจ้งเตือนช่องโหว่ใน FortiSwitch ซึ่งอาจถูกใช้เพื่อเปลี่ยนรหัสผ่านผู้ดูแลระบบจากระยะไกลได้เช่นกัน

ที่มา : bleepingcomputer

 

พบการเผยแพร่เครื่องมือทดสอบการโจมตีช่องโหว่ระดับ Critical ใน Apache Parquet ออกสู่สาธารณะ ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-30065 โดยเครื่องมือสามารถทำให้ค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่ได้ง่ายขึ้น (more…)

พบการเผยแพร่ช่องโหว่ระดับ critical ใน Erlang/OTP SSH หมายเลข CVE-2025-32433 ที่ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการยืนยันตัวตนบนอุปกรณ์ที่มีช่องโหว่ได้ (more…)

Apache ได้แก้ไขช่องโหว่ระดับ critical ในซอฟต์แวร์โอเพ่นซอร์ส OFBiz (Open For Business) ซึ่งเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้ตามที่ต้องการบนเซิร์ฟเวอร์ Linux และ Windows ที่มีช่องโหว่ (more…)

PHP ออกอัปเดตเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) บน Windows ซึ่งส่งผลกระทบตั้งแต่เวอร์ชัน 5.x และอาจส่งผลกระทบต่อเซิร์ฟเวอร์จำนวนมากทั่วโลก

PHP เป็น open-source scripting language ที่ใช้กันอย่างแพร่หลาย โดยถูกออกแบบมาเพื่อการพัฒนาเว็บ และใช้กันทั่วไปบนเซิร์ฟเวอร์ทั้งบน Windows และ Linux

CVE-2024-4577 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่เกิดจากการจัดการ character encoding โดยเฉพาะฟีเจอร์ 'Best-Fit' บน Windows เมื่อใช้ PHP ในโหมด CGI

ทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตนสามารถ bypass การป้องกันของช่องโหว่ CVE-2012-1823 ก่อนหน้านี้ ด้วย character ที่เฉพาะเจาะจง ทำให้สามารถดำเนินการได้บน PHP servers ผ่านการโจมตีแบบ argument injection attack ซึ่งช่องโหว่ถูกค้นพบโดย Orange Tsai นักวิจัยด้านความปลอดภัยของ Devcore Principal เมื่อวันที่ 7 พฤษภาคม 2024 และได้รายงานช่องโหว่ให้แก่นักพัฒนา PHP ในเวลาต่อมา

ช่องโหว่ CVE-2024-4577 ส่งผลกระทบต่อ PHP ทุกเวอร์ชันบน Windows หากผู้ใช้งานใช้ PHP 8.0 (End of Life), PHP 7.x (End of Life) หรือ PHP 5.x (End of Life) ควรอัปเดตให้เป็นเวอร์ชันที่ใหม่กว่า หรือใช้วิธีการลดผลกระทบของช่องโหว่

นักวิจัยระบุว่า แม้ว่า PHP จะไม่ได้ใช้งาน CGI mode แต่ช่องโหว่ CVE-2024-4577 ก็อาจยังคงสามารถถูกโจมตีได้ ตราบใดที่ไฟล์ปฏิบัติการ PHP (เช่น php.

จากบริการการสแกนบนเว็บสาธารณะที่แสดงข้อมูล Fortinet FortiOS และ FortiProxy secure web gateway กว่า 150,000 รายการ มีความเสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2024-21762 ที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งที่เป็นอันตรายได้โดยไม่จำเป็นต้องมีการ authentication

โดยหน่วยงานป้องกันทางไซเบอร์ของอเมริกา หรือ CISA ออกมายืนยันว่าพบกลุ่ม Hacker ได้มุ่งเป้าโจมตีช่องโหว่ดังกล่าว รวมถึงทาง CISA ได้เพิ่มช่องโหว่ดังกล่าวไปใน Known Exploited Vulnerabilities (KEV) catalog หรือรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตีแล้ว (more…)

ผู้เชี่ยวชาญเผยรายละเอียดใหม่ของช่องโหว่ Zero-Click Outlook RCE

ข้อมูลทางเทคนิคเกี่ยวกับช่องโหว่ด้านความปลอดภัยสองรายการที่ได้รับการแก้ไขแล้วใน Microsoft Windows ซึ่งอาจถูกใช้ร่วมกันจากผู้โจมตีเพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอีเมล Outlook โดยไม่ต้องมีการโต้ตอบจากผู้ใช้

Ben Barnea นักวิจัยด้านความปลอดภัยจาก Akamai ผู้ค้นพบช่องโหว่ ยืนยันในรายงานที่แชร์กับ The Hacker News ว่า "ผู้โจมตีจากอินเทอร์เน็ตสามารถเชื่อมโยงช่องโหว่ทั้งสองเข้าด้วยกันเพื่อสร้างช่องโหว่ Remote Code Execution (RCE) แบบ zero-click ที่สมบูรณ์บนไคลเอ็นต์ Outlook ได้"

รายการช่องโหว่ด้านความปลอดภัย ซึ่ง Microsoft ได้แก้ไขไปเมื่อเดือนสิงหาคม และตุลาคม 2023 ตามลำดับ

CVE-2023-35384 (CVSS score: 5.4) - ช่องโหว่ Windows HTML Platforms Security Feature Bypass
CVE-2023-36710 (CVSS score: 7.8) - ช่องโหว่ Windows Media Foundation Core Remote Code Execution

นักวิจัยจาก Akamai ระบุว่า CVE-2023-35384 เป็นการ bypass ช่องโหว่ด้านความปลอดระดับ Critical ที่ Microsoft แก้ไขไปในเดือนมีนาคม 2023 ช่องโหว่นั้นคือ CVE-2023-23397 (CVSS score: 9.8) ซึ่งเกี่ยวข้องกับการยกระดับสิทธิ์ ซึ่งอาจนำไปสู่การขโมยข้อมูล NTLM credentials และช่วยให้ผู้โจมตีสามารถใช้เพื่อโจมตีต่อได้

ช่วงต้นเดือนนี้ Microsoft, Proofpoint และ Palo Alto Networks Unit 42 ได้เปิดเผยว่า กลุ่มแฮ็กเกอร์ชาวรัสเซียที่รู้จักกันในชื่อ APT28 (หรือ Forest Blizzard) กำลังโจมตีโดยใช้ช่องโหว่ดังกล่าวหลายครั้ง เพื่อเข้าถึงบัญชีผู้ใช้บนเซิร์ฟเวอร์ Exchange โดยไม่ได้รับอนุญาต

น่าสังเกตว่า CVE-2023-35384 เป็นการ bypass แพตช์ครั้งที่สองต่อจาก CVE-2023-29324 ซึ่งถูกค้นพบโดย Barnea และถูกแก้ไขโดย Microsoft ในอัปเดตความปลอดภัยเดือนพฤษภาคม 2023

Barnea ระบุว่า "เราพบวิธีการ bypass การแก้ไขช่องโหว่เดิมของ Outlook ซึ่งทำให้เราสามารถบังคับให้ไคลเอ็นต์เชื่อมต่อกับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม และดาวน์โหลดไฟล์ที่เป็นอันตราย"

CVE-2023-35384 เช่นเดียวกับ CVE-2023-29324 มีต้นตอมาจากปัญหาการวิเคราะห์เส้นทางโดยฟังก์ชัน MapUrlToZone ซึ่งสามารถถูกโจมตีได้โดยการส่งอีเมลที่มีไฟล์อันตรายหรือ URL ไปยังไคลเอ็นต์ Outlook

Microsoft ระบุในประกาศเตือนว่า "มีช่องโหว่ที่ทำการ bypass ความปลอดภัยเกิดขึ้นเมื่อแพลตฟอร์ม MSHTML ไม่สามารถตรวจสอบ Security Zone ที่ถูกต้องของ request สำหรับ URL ที่เจาะจงได้ ซึ่งอาจทำให้ผู้โจมตีสามารถหลอกให้ผู้ใช้เข้าถึง URL ใน Internet Security Zone ที่มีข้อจำกัดน้อยกว่าที่ตั้งใจไว้"

ด้วยวิธีนี้ ช่องโหว่ดังกล่าวไม่เพียงแต่ใช้เพื่อขโมยข้อมูล NTLM credentials เท่านั้น แต่ยังสามารถเชื่อมโยงกับช่องโหว่ CVE-2023-36710 เพื่อดาวน์โหลดไฟล์เสียงที่ปรับแต่งพิเศษ ซึ่งเมื่อเล่นอัตโนมัติผ่านฟีเจอร์เสียงเตือนของ Outlook จะสามารถทำให้เกิดการเรียกใช้โค้ด zero-click บนเครื่องของเหยื่อได้

โดย CVE-2023-36710 ส่งผลกระทบต่อ Audio Compression Manager (ACM) component ซึ่งเป็นเฟรมเวิร์กมัลติมีเดียของ Windows รุ่นเก่าที่ใช้สำหรับจัดการตัวแปลงสัญญาณเสียง (audio codecs) ช่องโหว่นี้เกิดจาก integer overflow ที่เกิดขึ้นเมื่อเล่นไฟล์ WAV

เพื่อลดความเสี่ยง แนะนำให้องค์กรควรดำเนินการดังนี้

ควรใช้วิธีการ Microsegmentation เพื่อบล็อกการเชื่อมต่อ SMB ออกไปยัง public IP
ปิดการใช้งาน NTLM
เพิ่มผู้ใช้เข้าไปในกลุ่มความปลอดภัย Protected Users ซึ่งจะป้องกันการใช้ NTLM เป็นกลไกลการยืนยันตัวตน

ที่อยู่ : thehackernews

WordPress ออกแพตซ์อัปเดตเวอร์ชัน 6.4.2 ที่ระบุถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ซึ่งอาจใช้ร่วมกับช่องโหว่อื่นที่ทำให้ผู้โจมตีสามารถเรียกใช้ PHP code ที่เป็นอันตรายบนเว็บไซต์ได้

WordPress เป็นระบบการจัดการเนื้อหา Content Management System (CMS) ซึ่งเป็นซอฟต์แวร์แบบโอเพนซอร์สที่ได้รับความนิยมอย่างมากในการสร้าง และจัดการเว็บไซต์ ซึ่งปัจจุบันมีการใช้งานมากกว่า 800 ล้านเว็บไซต์ หรือประมาณ 45% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

โดยทีมรักษาความปลอดภัยพบช่องโหว่ของ Property Oriented Programming (POP) ที่ถูกนำมาใช้ใน WordPress 6.4 ซึ่งอาจทำให้มีการเรียกใช้ PHP code ที่เป็นอันตรายได้

การโจมตีช่องโหว่ POP ผู้โจมตีต้องควบคุมคุณสมบัติทั้งหมดของ deserialize object ซึ่งสามารถทำได้ผ่านฟังก์ชัน unserialize () ของ PHP โดยการควบคุมค่าที่ส่งไปยัง magic method เช่น '_wakeup()'

โดยเว็บไซต์เป้าหมายต้องมีช่องโหว่ PHP object injection ซึ่งอาจอยู่บนปลั๊กอิน หรือส่วนต่าง ๆ ของธีม จึงจะส่งผลกระทบทำให้ช่องโหว่มีระดับความรุนแรงสูงขึ้นเป็นระดับ Critical

WordPress ระบุว่าช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลไม่สามารถโจมตีได้โดยตรง แต่ทีมรักษาความปลอดภัยเชื่อว่าเมื่อใช้ร่วมกับปลั๊กอินบางตัว โดยเฉพาะที่มีการติดตั้งในหลายเว็บไซต์ยิ่งอาจทำให้มีระดับความรุนแรงสูงขึ้น

ผู้เชี่ยวชาญด้านความปลอดภัยของ Wordfence ให้รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่นี้โดยอธิบายว่า ช่องโหว่อยู่ในประเภท 'WP_HTML_Token' ซึ่งอยู่ใน WordPress 6.4 เพื่อปรับปรุงการการวิเคราะห์แบบ HTML ใน block editor โดยประกอบด้วย magic method '__destruct' ซึ่งใช้ 'call_user_func' เพื่อดำเนินการฟังก์ชันที่กำหนดไว้ในคุณสมบัติ 'on_destroy' และ 'bookmark_name'

นักวิจัยระบุว่าผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ object injection สามารถควบคุมคุณสมบัติเหล่านี้เพื่อสั่งรันโค้ดได้ตามที่ต้องการ

แม้ว่าช่องโหว่นี้จะไม่รุนแรงด้วยตัวมันเอง เนื่องจากความจำเป็นในการใช้ประโยชน์จาก object injection ในปลั๊กอิน หรือธีมที่ติดตั้ง และใช้งานอยู่ แต่การมี POP ที่สามารถใช้ประโยชน์ได้ใน WordPress สามารถเพิ่มความเสี่ยงของเว็บไซต์ WordPress ขึ้นได้

การแจ้งเตือนอื่นจากแพลตฟอร์มความปลอดภัย Patchstack สำหรับ WordPress และปลั๊กอินระบุว่า ช่องโหว่นี้ถูกอัปโหลดเมื่อหลายสัปดาห์ก่อนบน GitHub และต่อมาได้เพิ่มลงในไลบรารี PHPGGC ซึ่งใช้ในการทดสอบความปลอดภัยของแอปพลิเคชัน PHP

ถึงแม้ช่องโหว่อาจมีความรุนแรง และสามารถโจมตีได้แค่ในบางกรณี อย่างไรก็ตามนักวิจัยแนะนำให้ผู้ดูแลระบบอัปเดต WordPress ให้เป็นเวอร์ชันล่าสุด และแม้ว่าการอัปเดตส่วนใหญ่จะติดตั้งเวอร์ชันใหม่ให้โดยอัตโนมัติ แต่ยังคงแนะนำให้ตรวจสอบด้วยตนเองว่าการอัปเดตเสร็จสมบูรณ์หรือไม่

ที่มา: bleepingcomputer