รัฐเท็กซัสได้ยื่นฟ้อง TP-Link Systems บริษัทยักษ์ใหญ่ด้านอุปกรณ์เครือข่าย โดยกล่าวหาว่าบริษัททำการตลาดหลอกลวงผู้บริโภคว่า Router ของตนมีความปลอดภัย แต่กลับปล่อยให้แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนโจมตีช่องโหว่ของ Firmware และเข้าถึงอุปกรณ์ของผู้ใช้งานได้

การฟ้องร้องครั้งนี้เกิดขึ้นตามหลังจากการสืบสวนที่เริ่มขึ้นเมื่อเดือนตุลาคม 2025 โดยอ้างว่า TP-Link ทำให้ผู้ซื้อเข้าใจผิดด้วยการติดฉลากผลิตภัณฑ์ของตนว่า "Made in Vietnam" ทั้งที่ชิ้นส่วนเกือบทั้งหมดนำเข้ามาจากจีน General Paxton อัยการสูงสุดของรัฐเท็กซัสระบุว่า ประเด็นนี้มีความสำคัญอย่างมาก เนื่องจากกฎหมายของจีนสามารถบังคับให้บริษัทที่มีส่วนเกี่ยวข้องกับ Supply-chain ของจีน ต้องให้ความร่วมมือกับหน่วยข่าวกรองของรัฐบาล และสามารถสั่งให้ส่งมอบข้อมูลของผู้ใช้งานให้ได้

Paxton ระบุว่า "สัปดาห์นี้ สำนักงานกำลังเปิดฉากชุดปฏิบัติการร่วมเพื่อต่อต้านบริษัทที่มีความเชื่อมโยงกับพรรคคอมมิวนิสต์จีน (CCP) เพื่อส่งสัญญาณที่ชัดเจนว่า ในรัฐเท็กซัส เราจะให้ความสำคัญกับรัฐเท็กซัส และอเมริกาก่อนเสมอ TP-Link จะต้องเผชิญกับบทลงโทษทางกฎหมายขั้นเด็ดขาด โทษฐานนำความมั่นคงของชาวอเมริกันไปเสี่ยง ขอให้เรื่องนี้เป็นคำเตือนที่ชัดเจนไปยังองค์กรของจีนใด ๆ ที่พยายามบ่อนทำลายความมั่นคงของชาติอเมริกา"

คำยื่นฟ้องนี้ยังแสดงให้เห็นถึงประวัติความหละหลวมด้านความปลอดภัยที่ผ่านมา ซึ่งรวมถึงช่องโหว่ของ Firmware ที่กลุ่มแฮ็กเกอร์จีนนำไปใช้เป็นเครื่องมือ และการที่ Router ของบริษัทถูกนำไปใช้สร้างเครือข่าย Botnet เพื่อขโมยข้อมูล Credential ขนาดใหญ่ ซึ่งในเวลาต่อมาพบว่ามีความเชื่อมโยงกับการโจมตีแบบ Password-spray

ตามที่ Microsoft ได้รายงานไปเมื่อเดือนตุลาคม 2024 Botnet ดังกล่าว (ที่ถูกติดตามในชื่อ Quad7, CovertNetwork-1658 หรือ xlogin) ถูกสร้างขึ้นจากการแฮ็กเข้าระบบ Router ตามบ้านเรือน และธุรกิจขนาดเล็ก (โดยหลักแล้วคืออุปกรณ์ของ TP-Link) และควบคุมสั่งการโดยกลุ่มผู้ไม่หวังดีชาวจีน

Paxton ระบุเพิ่มเติมว่า "แม้จะมีการกล่าวอ้างถึงความเป็นส่วนตัว และความปลอดภัย แต่ผลิตภัณฑ์ของ TP-Link กลับถูกกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลสาธารณรัฐประชาชนจีน นำไปใช้เพื่อเปิดฉากปฏิบัติการโจมตีทางไซเบอร์ต่อสหรัฐอเมริกาหลายต่อหลายครั้ง"

"ด้วยชิ้นส่วนผลิตภัณฑ์เกือบทั้งหมดที่นำเข้ามาจากจีน การที่ TP-Link จงใจหลอกลวงชาวเท็กซัสเกี่ยวกับสัญชาติ, ความเป็นส่วนตัว และประสิทธิภาพด้านความปลอดภัยของอุปกรณ์เครือข่ายของตน จึงไม่เพียงแต่ผิดกฎหมายเท่านั้น แต่มันยังเป็นภัยคุกคามต่อความมั่นคงของชาติ ซึ่งอาจทำให้เกิดการลักลอบสอดแนม และเอาเปรียบผู้บริโภคชาวเท็กซัสอีกด้วย"

ขณะนี้ Paxton กำลังดำเนินการเรียกร้องค่าปรับทางแพ่ง และขอคำสั่งศาลเพื่อบังคับให้ TP-Link ต้องเปิดเผยแหล่งที่มาของอุปกรณ์ว่ามาจากประเทศจีน และต้องยุติการเก็บรวบรวมข้อมูลของผู้บริโภคโดยที่ไม่ได้รับการยินยอมแบบแจ้งให้ทราบล่วงหน้า

หน่วยงานระดับรัฐบาลกลางเคยแจ้งเตือนถึงช่องโหว่ใน Hardware ของ TP-Link ที่ถูกนำไปใช้ในการโจมตีมาก่อนหน้านี้ และปัจจุบัน CISA ได้ระบุช่องโหว่ด้านความปลอดภัยของ TP-Link จำนวน 6 รายการ ไว้ใน KEV Catalog แล้วว่ากำลังถูกนำไปใช้ในการโจมตีทางไซเบอร์จริง

ในเดือนธันวาคมปี 2024 มีรายงานว่ารัฐบาลสหรัฐฯ กำลังพิจารณาที่จะสั่งแบน Router ของ TP-Link โดยมีกระทรวงยุติธรรม, กระทรวงพาณิชย์ และกระทรวงกลาโหมของสหรัฐฯ กำลังร่วมกันสืบสวนประเด็นนี้ และมีสำนักงานของกระทรวงพาณิชย์อย่างน้อยหนึ่งแห่งได้ออกหมายเรียกไปยังบริษัทแล้ว

ล่าสุดเมื่อเดือนธันวาคมปี 2025 อัยการสูงสุดของรัฐเท็กซัสได้ยื่นฟ้องผู้ผลิตโทรทัศน์รายใหญ่ 5 ราย (ได้แก่ Sony, Samsung, LG รวมถึงบริษัทสัญชาติจีนอย่าง Hisense และ TCL - Technology Group Corporation) โดยกล่าวหาว่าบริษัทเหล่านี้ลักลอบเก็บข้อมูลของผู้ใช้งานอย่างผิดกฎหมาย โดยใช้เทคโนโลยี Automated Content Recognition (ACR)

โฆษกของ TP-Link ได้ให้สัมภาษณ์กับสำนักข่าว BleepingComputer โดยระบุว่า ข้อกล่าวหาของ General Paxton อัยการสูงสุดแห่งรัฐเท็กซัสนั้น "ไม่มีมูลความจริง และจะได้รับการพิสูจน์ว่าเป็นความเท็จ" โดยระบุว่าทั้งรัฐบาลจีน และพรรคคอมมิวนิสต์จีน (CCP) ไม่ได้มีอำนาจในการควบคุมบริษัท, ผลิตภัณฑ์ หรือข้อมูลของผู้ใช้งานแต่อย่างใด พร้อมกับระบุเพิ่มเติมว่า ข้อมูลของผู้ใช้งานในสหรัฐฯ ทั้งหมดนั้นถูกจัดเก็บไว้บนเซิร์ฟเวอร์ของ Amazon Web Services

"TP-Link Systems Inc.

ASUS ได้ปล่อย firmware ใหม่เพื่อแก้ไขช่องโหว่ authentication bypass ระดับ critical ที่ส่งผลกระทบต่อเราเตอร์รุ่น DSL หลายรุ่น

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-59367 ที่อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ผ่านการยืนยันตัวตน สามารถล็อกอินเข้าสู่อุปกรณ์ที่ยังไม่ได้รับการแพตช์แก้ไข และเชื่อมต่อกับอินเทอร์เน็ต โดยเป็นการโจมตีที่มีความซับซ้อนต่ำ และไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ (more…)

Zyxel ออกประกาศด้านความปลอดภัยเกี่ยวกับช่องโหว่ที่ถูกโจมตีในอุปกรณ์ CPE Series โดยแจ้งเตือนว่าไม่มีแผนที่จะออกแพตช์แก้ไข และแนะนำให้ผู้ใช้ย้ายไปใช้อุปกรณ์ที่ยังได้รับการสนับสนุน

VulnCheck ค้นพบช่องโหว่ทั้งสองรายการในเดือนกรกฎาคม 2024 แต่เมื่อสัปดาห์ที่ผ่านมา GreyNoise รายงานว่าได้เริ่มพบการพยายามในการโจมตีจริงแล้ว

ตามข้อมูลจากเครื่องมือสแกนเครือข่าย FOFA และ Censys พบว่าอุปกรณ์ Zyxel CPE Series กว่า 1,500 เครื่องที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้อุปกรณ์ที่อาจถูกโจมตีมีจำนวนมากขึ้น

ในโพสต์ใหม่วันนี้ VulnCheck ได้นำเสนอรายละเอียดทั้งหมดของช่องโหว่ทั้งสองรายการที่พบในการโจมตีที่มุ่งเป้าไปที่การเข้าถึงเครือข่ายในเบื้องต้น

CVE-2024-40891 เป็นช่องโหว่ที่สามารถทำให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนแทรกคำสั่ง Telnet ได้ เนื่องจากการตรวจสอบคำสั่งที่ไม่เหมาะสมใน libcms_cli.

Zyxel ออกแพตซ์อัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ส่งผลกระทบต่อ Access point (AP) และเราเตอร์บางรุ่น โดยช่องโหว่นี้อาจนำไปสู่การเรียกใช้คำสั่งที่ไม่ได้รับอนุญาตได้

ช่องโหว่นี้มีหมายเลข CVE-2024-7261 (คะแนน CVSS: 9.8) โดยเป็นช่องโหว่ OS command injection

(more…)

D-Link EXO AX4800 (DIR-X4860) เร้าเตอร์ (Router) มีช่องโหว่ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งจะนำไปสู่การเข้ายึดเครื่องโดยผู้โจมตีได้ผ่าน HNAP พอร์ท (HNAP)

(more…)

FBI ขัดขวางการโจมตีของ Chinese Botnet ด้วยการจัดการ Router ที่ติด malware

FBI ได้ขัดขวางการโจมตีของ KV Botnet ที่ถูกใช้โดย Volt Typhoon ซึ่งเป็นกลุ่มที่ได้รับการสนันสนุนจากรัฐบาลจีน เพื่อหลบเลี่ยงการตรวจจับระหว่างการโจมตี โดยมีเป้าหมายการโจมตีไปยังโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ

(more…)

CERT Coordination Center (CERT/CC) ศูนย์ประสานงานด้านความปลอดภัยไซเบอร์ ได้เผยแพร่ช่องโหว่หมายเลข CVE-2022-4873, CVE-2022-4874 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ Netcomm และ CVE-2022-4498, CVE-2022-4499 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ TP-Link ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

CVE-2022-4873 และ CVE-2022-4874 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ Netcomm รุ่น NF20MESH, NF20 และ NL1902 ที่ใช้เฟิร์มแวร์เวอร์ชันก่อนหน้า R6B035

CVE-2022-4498 และ CVE-2022-4499 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ TP-Link รุ่น WR710N-V1-151022 และ Archer-C5-V2-160201

โดย CERT/CC กล่าวว่าช่องโหว่ที่ส่งผลกระทบต่อ เราเตอร์ Netcomm and TP-Link ส่งผลกระทบโดยตรงต่อค่า response time ของกระบวนการทำงาน และข้อมูล username/password บนเราเตอร์ ทำให้มีความเสี่ยงที่จะถูกโจมตีจากช่องโหว่ดังกล่าวได้

ที่มา : thehackernews

 

กลุ่มแฮกเกอร์ไม่ทราบชื่อกำลังใช้ประโยชน์จากช่องโหว่ร้ายแรงในการข้ามขั้นตอนการพิสูจน์ตัวตน ทำให้สามารถเข้าควบคุม Router และแพร่มัลแวร์ Mirai botnet เพื่อใช้ในการโจมตี DDoS

CVE-2021-20090 (CVSS score: 9.9) เป็นช่องโหว่ Path Traversal บนเว็บอินเตอร์เฟสของ Router ซึ่งทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตนเพื่อเข้าควบคุม Router ได้ ซึ่งช่องโหว่นี้เกิดขึ้นกับเฟิร์มแวร์ของ Arcadyan โดยผู้เชี่ยวชาญจาก Tenable ได้เปิดเผยเมื่อวันที่ 3 สิงหาคม ว่าช่องโหว่นี้น่าจะมีมานานกว่า 10 ปีแล้ว  ซึ่งส่งผลกระทบกับ Router อย่างน้อย 20 รุ่นจากผู้ผลิต 17 ราย

 

การใช้ประโยชน์จากช่องโหว่นี้จะทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตน และเข้าถึงข้อมูลสำคัญต่างๆ ได้ เช่น Request tokens ซึ่งสามารถใช้เพื่อส่ง Request ไปแก้ไขการตั้งค่าของ Router ได้

ต่อมาไม่นาน Juniper Threat Labs ก็ค้นพบการโจมตีซึ่งพยายามจะใช้ประโยชน์จากช่องโหว่นี้มาจาก IP address ซึ่งระบุว่าอยู่ในประเทศจีน โดยเริ่มตั้งแต่วันที่ 5 สิงหาคม ที่แฮกเกอร์พยายามจะปล่อย Mirai botnet ไปยัง Router ต่างๆ ซึ่งผู้เชี่ยวชาญให้ความเห็นว่าพฤติกรรมการโจมตีที่พบนี้แสดงให้เห็นว่าเป็นการโจมตีจากแฮกเกอร์กลุ่มเดียวกันกับรายงานเหตุการณ์การโจมตีของผู้เชี่ยวชาญจาก Palo Alto Network ซึ่งได้พบเห็นการโจมตีในรูปแบบเดียวกันนี้ตั้งแต่ในช่วงเดือนมีนาคม

นอกจากช่องโหว่ CVE-2021-20090 แล้ว แฮกเกอร์ยังพยายามใช้ช่องโหว่อื่นๆ ในการโจมตี Router อีก เช่น

CVE-2020-29557 (Pre-authentication remote code execution in D-Link DIR-825 R1 devices)
CVE-2021-1497 และ CVE-2021-1498 (Command injection vulnerabilities in Cisco HyperFlex HX)
CVE-2021-31755 (Stack buffer overflow vulnerability in Tenda AC11 leading to arbitrary code execution)
CVE-2021-22502 (Remote code execution flaw in Micro Focus Operation Bridge Reporter)
CVE-2021-22506 (Information Leakage vulnerability in Micro Focus Access Manager)

เพื่อหลีกเลี่ยงการถูกโจมตี ผู้เชี่ยวชาญได้แนะนำให้ผู้ใช้งานพยายามอัพเดตเฟิร์มแวร์ของ Router ให้เป็นเวอร์ชันปัจจุบันอยู่เสมอ

ที่มา: thehackernews

ช่องโหว่ร้ายแรงจาก Netgear ส่งผลต่อ Router รุ่นดัง Nighthawk
Netgear กำลังคำเตือนผู้ใช้เกี่ยวกับข้อผิดพลาด remote code execution ที่สำคัญ ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตทำการควบคุมฮาร์ดแวร์ Wireless AC Router Nighthawk (R7800) ที่รันเฟิร์มแวร์เวอร์ชั่นก่อนหน้า 1.0.2.68 ได้ คำเตือนยังรวมถึงช่องโหว่อื่นๆ ได้แก่ช่องโหว่ความรุนแรงระดับสูงอีกสองตัว 21 ข้อบกพร่องที่มีระดับความรุนเเรงปานกลาง เเละอีกหนึ่งข้อบกพร่องระดับความรุนเเรงต่ำ
ช่องโหว่ remote code execution ที่สำคัญนี้ ถูกติดตามโดย Netgear ในรหัส PSV-2019-0076 ส่งผลกระทบต่อผู้ใช้ Nighthawk X4S Smart Wi-Fi Router (R7800) ที่เปิดตัวครั้งแรกในปี 2016 และยังคงมีอยู่ในปัจจุบัน Netgear ให้รายละเอียดสั้น ๆ เกี่ยวกับความเสี่ยงนี้ เพียงเเค่กระตุ้นให้ลูกค้าเยี่ยมชมหน้า online support เพื่อดาวน์โหลดตัวแก้ไข Bug เท่านั้น

ที่มา : threatpost

ในเดือนเมษายน Akamai รายงานว่า มีการโจมตีอุปกรณ์เราเตอร์ที่ใช้ภายในบ้านกว่า 65,000 ตัว โดยใช้ประโยชน์จากช่องโหว่ใน Universal Plug'N'Play (UPnP) ล่าสุดบริษัทได้ทำการปรับปรุงและอัพเดทเพื่อแก้ไขปัญหาดังกล่าว

จากรายงานระบุว่าผู้โจมตีสามารถใช้การส่ง UDP เพียงแค่แพ็กเกจเดียวก็สามารถทำการโจมตีด้วย remote code execution ได้สำเร็จ การโจมตีผ่านโปรโตคอล UPnP นี้ยังส่งผลให้ผู้โจมตีสามารถควบคุมการรับส่งข้อมูลทั้งในและนอกเครือข่ายได้โดยอาศัยการทำ NAT ทำให้เราเตอร์ที่ถูกโจมตีสำเร็จนั้นกลายเป็น Proxy ผู้เชี่ยวชาญจึงได้ตั้งชื่อการโจมตีนี้้ว่า "UPnProxy"

ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ทำการอัพเดทหรือทำการแพทช์เฟิร์มแวร์ของเราเตอร์เพื่อลดความเสี่ยง เนื่องจากมีช่องโหว่ของ UPnP อีกจำนวนมากที่ยังไม่ได้รับการแก้ไข ผู้เชี่ยวชาญยังพบว่ามีเราเตอร์ที่มีความเสี่ยงมากกว่า 3.5 ล้านตัว โดย 277,000 สามารถถูกโจมตีด้วย UPnProxy และอีก 45,000 ตัวถูกโจมตีสำเร็จเรียบร้อยแล้ว

ล่าสุด Akamai ได้มีรายงานที่น่าสนใจออกมา โดยได้ระบุว่าผู้ที่อยู่เบื้องหลังการโจมตี UPnProxy ได้อาศัยช่องโหว่ของ EternalBlue (CVE-2017-0144) และ EternalRed (CVE-2017-7494) เพื่อทำการโจมตีเครื่องที่มีการใช้งาน Windows SMB และ Linux Samba ซึ่งอยู่ด้านหลังเราเตอร์ที่มีช่องโหว่ของ UPnProxy โดยได้ตั้งชื่อการโจมตีนี้ว่า "EternalSilence" และคาดว่าอาจจะมีการอาศัยเครื่องมืออื่นๆ ของ NSA เพิ่มเติมอีก จากรายงานยังระบุอีกว่า ผู้โจมตีจะทำการสแกนหาการใช้งาน SSDP โปรโตคอล และใช้ช่องทางดังกล่าวในการโจมตีผ่าน UPnProxy ต่อไป หรือทำการสแกนหาอุปกรณ์ที่มีการตั้งค่าให้เปิดใช้งานพอร์ต TCP/2048 ไว้ เมื่อพบจะพยายามเข้าไปยังพาธ /etc/linuxigd/gatedesc.