Zyxel ผู้ให้บริการอุปกรณ์เครือข่ายจากไต้หวัน ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อ Router มากกว่า 12 รุ่น ซึ่งช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถ Remote Command Execution บนอุปกรณ์ที่ยังไม่ได้อัปเดตแพตช์ได้

ช่องโหว่ด้านความปลอดภัยประเภท Command Injection นี้มีหมายเลข CVE-2025-13942 โดยพบในฟังก์ชัน UPnP ของอุปกรณ์ Zyxel 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONTs และอุปกรณ์ Wireless extenders

Zyxel ระบุว่า ผู้โจมตีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเรียกใช้ OS command ของอุปกรณ์ที่ได้รับผลกระทบ โดยใช้ UPnP SOAP requests ที่ถูกสร้างขึ้นมาเพื่อโจมตีโดยเฉพาะ

อย่างไรก็ตาม การโจมตีผ่านช่องโหว่ CVE-2025-13942 น่าจะอยู่ในวงจำกัดกว่าที่ระดับความรุนแรงได้ระบุไว้ เนื่องจากการจะโจมตีระบบให้สำเร็จได้นั้นจำเป็นต้องมีการเปิดใช้งาน UPnP และการเข้าถึงผ่าน WAN ซึ่งการเข้าถึงผ่าน WAN นั้นถูก Disable ไว้เป็นค่า Default อยู่แล้ว

Zyxel ระบุว่า "การเข้าถึงผ่าน WAN บนอุปกรณ์เหล่านี้จะถูก Disable ไว้เป็นค่า Default และการโจมตีจากระยะไกลจะเกิดขึ้นได้ก็ต่อเมื่อมีการเปิดใช้งานทั้งการเข้าถึงผ่าน WAN และฟังก์ชัน UPnP ที่มีช่องโหว่เท่านั้น แต่บริษัทขอแนะนำให้ผู้ใช้ทำการติดตั้งแพตช์เพื่อรักษาระดับการป้องกันให้มีประสิทธิภาพสูงสุด"

นอกจากนี้ เมื่อวันอังคารที่ผ่านมา Zyxel ยังได้ออกแพตช์แก้ไขช่องโหว่ประเภท Command Injection ระดับความรุนแรงสูงอีก 2 รายการ (CVE-2025-13943 และ CVE-2026-1459) ซึ่งเป็นช่องโหว่ที่เกิดขึ้นหลังจากการยืนยันตัวตน โดยอาจทำให้ผู้ไม่หวังดีสามารถเรียกใช้ OS command ได้ หากได้ข้อมูล Credential ที่ถูกขโมยมา

Shadowserver ซึ่งเป็นองค์กรเฝ้าระวังด้านความปลอดภัยบนอินเทอร์เน็ต ปัจจุบันกำลังติดตามอุปกรณ์ Zyxel ที่เชื่อมต่ออยู่บนอินเทอร์เน็ตเกือบ 120,000 เครื่อง ซึ่งในจำนวนนี้เป็น Router มากกว่า 76,000 เครื่อง

อุปกรณ์ของ Zyxel มักตกเป็นเป้าหมายในการโจมตีอยู่บ่อยครั้ง เนื่องจากผู้ให้บริการอินเทอร์เน็ต (ISP) หลายแห่งทั่วโลกมักนำไปใช้เป็นอุปกรณ์มาตรฐานแก่ลูกค้า เมื่อมีการเปิดใช้งานสัญญาบริการอินเทอร์เน็ตใหม่

CISA กำลังติดตามช่องโหว่ของ Zyxel จำนวน 12 รายการ ที่ส่งผลกระทบต่ออุปกรณ์ Router, Firewall และ NAS ของบริษัท ซึ่งเป็นช่องโหว่ที่เคยถูกนำไปใช้ หรือกำลังถูกนำไปใช้ในการโจมตีจริงในปัจจุบัน

เมื่อต้นเดือนที่ผ่านมา Zyxel ได้ออกมาแจ้งเตือนว่า บริษัทไม่มีแผนที่จะออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยแบบ Zero-day จำนวน 2 รายการ (CVE-2024-40891 และ CVE-2024-40891) ที่กำลังถูกนำไปใช้ในการโจมตีจริง และส่งผลกระทบต่อ Router รุ่นที่หมดระยะเวลาการ Support (EOL) ไปแล้ว แต่ยังคงมีวางจำหน่ายอยู่ในช่องทางออนไลน์ โดยบริษัทแนะนำให้ลูกค้าเปลี่ยนไปใช้อุปกรณ์ Router รุ่นใหม่ที่ Firmware ได้รับการอัปเดตแก้ไขช่องโหว่แล้วแทน

Zyxel ระบุว่า "อุปกรณ์รุ่น VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 และ SBG3500 ถือเป็นผลิตภัณฑ์รุ่นเก่าที่หมดระยะเวลาการ Support (EOL) ไปแล้วมานานหลายปีแล้ว ดังนั้น จึงขอแนะนำให้ผู้ใช้งานเปลี่ยนไปใช้ผลิตภัณฑ์รุ่นใหม่กว่า เพื่อการป้องกันที่มีประสิทธิภาพสูงสุด"

Zyxel อ้างว่าปัจจุบันมีองค์กรธุรกิจมากกว่า 1 ล้านแห่งใน 150 ตลาดทั่วโลก ที่กำลังใช้งานผลิตภัณฑ์เครือข่ายของบริษัท

 

ที่มา : bleepingcomputer.

Palo Alto Networks ออกแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง ที่อาจทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถหยุดการทำงานของ firewall ผ่านการโจมตีแบบ Denial-of-Service (DoS) ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-0227 โดยส่งผลกระทบต่อ Next-Generation Firewall (ที่ทำงานบนระบบปฏิบัติการ PAN-OS เวอร์ชัน 10.1 หรือใหม่กว่า) และมีการกำหนดค่า Prisma Access ของ Palo Alto Networks เมื่อมีการเปิดใช้งาน gateway หรือ portal ของ GlobalProtect

ทางบริษัทระบุว่า Prisma Access instances บนคลาวด์ส่วนใหญ่ได้รับการแพตช์แก้ไขแล้ว ส่วนระบบที่เหลือมีกำหนดการที่จะได้รับการอัปเกรดเพื่อความปลอดภัยแล้วเช่นกัน

Palo Alto Networks อธิบายว่า "ช่องโหว่ในซอฟต์แวร์ PAN-OS ของ Palo Alto Networks เอื้อประโยชน์ให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถทำให้ firewall เกิดสภาวะ denial of service (DoS) ได้ ซึ่งหากมีความพยายามโจมตีช่องโหว่นี้ซ้ำ ๆ จะส่งผลให้ firewall เข้าสู่ Maintenance mode ทันที"

"บริษัทได้ดำเนินการอัปเกรด Prisma Access ให้กับลูกค้าส่วนใหญ่เสร็จสิ้นแล้ว ยกเว้นเพียงส่วนน้อยที่ยังอยู่ระหว่างดำเนินการเนื่องจากติดปัญหาเรื่องตารางเวลาการอัปเกรดที่ไม่ตรงกัน สำหรับลูกค้าที่เหลือจะได้รับการจัดตารางเวลาเพื่ออัปเกรดโดยเร็วที่สุด ผ่านกระบวนการมาตรฐานของบริษัท"

Shadowserver ซึ่งเป็นหน่วยงานเฝ้าระวังความปลอดภัยทางอินเทอร์เน็ตตรวจพบว่า ขณะนี้มี firewall ของ Palo Alto Networks เกือบ 6,000 ตัวที่เปิดให้เข้าถึงได้ผ่านทางออนไลน์ อย่างไรก็ตาม ยังไม่มีข้อมูลแน่ชัดว่ามีจำนวนเท่าใดที่มีการตั้งค่าที่เสี่ยงต่อช่องโหว่ หรือได้รับการแพตช์แก้ไขแล้ว

ในขณะที่มีการเผยแพร่คำแนะนำด้านความปลอดภัยเมื่อวันที่ 14 มกราคม 2026 ที่ผ่านมา Palo Alto ระบุว่า ทางบริษัทยังไม่พบหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแต่อย่างใด

Palo Alto Networks ได้ปล่อยอัปเดตความปลอดภัยสำหรับทุกเวอร์ชันที่ได้รับผลกระทบแล้ว และขอแนะนำให้ผู้ดูแลระบบรีบทำการอัปเกรดเป็นเวอร์ชันล่าสุดเพื่อปกป้องระบบจากการโจมตีที่อาจเกิดขึ้นได้

Firewall ของ Palo Alto Networks มักตกเป็นเป้าหมายในการโจมตี โดยบ่อยครั้งผู้โจมตีจะใช้ช่องโหว่ Zero-day ที่ยังไม่ได้รับการเปิดเผย หรือยังไม่มีแพตช์แก้ไข

ย้อนกลับไปในเดือน พฤศจิกายน 2024 Palo Alto Networks ได้ออกแพตช์แก้ไขช่องโหว่ Zero-day ของ PAN-OS firewall จำนวน 2 รายการที่ถูกนำไปใช้ในการโจมตีจริง ที่อาจทำให้ผู้โจมตีได้รับสิทธิ์ระดับ Root ได้ โดยไม่กี่วันต่อมา Shadowserver ได้เปิดเผยว่ามี firewall หลายพันตัวถูกเจาะระบบในการโจมตีระลอกนั้น (ถึงแม้ทางบริษัทจะระบุว่า การโจมตีส่งผลกระทบต่ออุปกรณ์เพียง "จำนวนน้อยมาก" ก็ตาม) ในขณะที่ CISA ได้ออกคำสั่งให้หน่วยงานรัฐบาลกลางดำเนินการรักษาความปลอดภัยอุปกรณ์ของตนภายใน 3 สัปดาห์

หนึ่งเดือนถัดมา ในเดือนธันวาคม 2024 บริษัทด้านความปลอดภัยทางไซเบอร์รายนี้ได้แจ้งเตือนลูกค้าว่า แฮ็กเกอร์กำลังใช้ช่องโหว่ DoS ใน PAN-OS อีกรายการ (CVE-2024-3393) เพื่อโจมตี firewall ตระกูล PA-Series, VM-Series และ CN-Series ที่มีการเปิดใช้งาน DNS Security logging ส่งผลให้ระบบต้อง reboot ตัวเอง และปิดการทำงานของระบบป้องกัน firewall

ไม่นานหลังจากนั้น ในเดือนกุมภาพันธ์ บริษัทระบุว่าพบช่องโหว่อีก 3 รายการ (CVE-2025-0111, CVE-2025-0108 และ CVE-2024-9474) ถูกนำมาใช้ร่วมกันในการโจมตีเพื่อเจาะระบบ PAN-OS firewall

ล่าสุด GreyNoise ซึ่งเป็นบริษัทด้าน Threat Intelligence ได้แจ้งเตือนถึงแคมเปญการโจมตีอัตโนมัติที่มุ่งเป้าไปยัง Portal ของ Palo Alto GlobalProtect ด้วยวิธีการ Brute-force และพยายามล็อกอินจาก IP Address มากกว่า 7,000 รายการ โดย GlobalProtect คือส่วนประกอบสำหรับ VPN และการเข้าถึงจากระยะไกลบน PAN-OS firewall ซึ่งเป็นที่นิยมใช้งานในหน่วยงานภาครัฐ, ผู้ให้บริการ และองค์กรขนาดใหญ่จำนวนมาก

ปัจจุบัน ผลิตภัณฑ์ และบริการของ Palo Alto Networks มีลูกค้าใช้งานกว่า 70,000 รายทั่วโลก รวมถึงธนาคารรายใหญ่ที่สุดของสหรัฐฯ ส่วนใหญ่ และ 90% ของบริษัทชั้นนำในกลุ่ม Fortune 10

 

ที่มา : bleepingcomputer.

สรุปโดยย่อ

CVE-2025-55182 (React) และ CVE-2025-66478 (Next.js) เป็นช่องโหว่ RCE ระดับ Critical ซึ่งผู้โจมตีไม่จำเป็นต้องผ่านการยืนยันตัวตนในโปรโตคอล "Flight" ของ React Server Components (RSC)
ช่องโหว่อยู่ใน Default configurations – Next.

TP-Link ได้ยืนยันการค้นพบช่องโหว่ Zero-Day ที่ยังไม่ได้รับการแก้ไข ซึ่งส่งผลกระทบต่อเราเตอร์หลายรุ่น ในขณะเดียวกัน CISA ยังได้ออกคำเตือนเกี่ยวกับการโจมตีโดยใช้ช่องโหว่อื่น ๆ (more…)

WhatsApp ได้ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยในแอปพลิเคชันส่งข้อความสำหรับ iOS และ macOS หลังจากพบว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแบบ Zero-Day ที่มีการกำหนดเป้าหมายโดยเฉพาะ

ทาง WhatsApp ระบุว่า ช่องโหว่แบบ Zero-click นี้ มีหมายเลข CVE-2025-55177 ซึ่งส่งผลกระทบต่อ WhatsApp ในเวอร์ชันดังต่อไปนี้ :

WhatsApp สำหรับ iOS เวอร์ชันก่อน 2.25.21.73
WhatsApp Business สำหรับ iOS เวอร์ชันก่อน 2.25.21.78
WhatsApp สำหรับ Mac เวอร์ชันก่อน 2.25.21.78

WhatsApp ระบุในประกาศด้านความปลอดภัยเมื่อวันศุกร์ที่ผ่านมาว่า "การยืนยันตัวตนที่ไม่สมบูรณ์ของข้อความที่ใช้ synchronization ข้อมูลระหว่างอุปกรณ์ที่เชื่อมต่อกัน อาจทำให้ผู้ใช้งานที่ไม่เกี่ยวข้องสามารถสั่งให้อุปกรณ์ของเป้าหมายประมวลผลเนื้อหาจาก URL ใด ๆ ก็ได้"

"เราประเมินว่าช่องโหว่ดังกล่าว เมื่อทำงานร่วมกับช่องโหว่แบบ OS-level บนแพลตฟอร์มของ Apple (CVE-2025-43300) อาจถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนสูงเพื่อโจมตีผู้ใช้งานที่เป็นเป้าหมายโดยเฉพาะ"

เมื่อช่วงต้นเดือนที่ผ่านมา ทาง Apple ก็ได้ออกแพตช์อัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่แบบ Zero-day (CVE-2025-43300) พร้อมทั้งระบุด้วยว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนขั้นสูงเป็นพิเศษ

แม้ว่าทั้งสองบริษัทยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี แต่ Donncha Ó Cearbhaill (หัวหน้าห้องแล็บด้านความปลอดภัยของ Amnesty International) เปิดเผยว่า WhatsApp เพิ่งได้แจ้งเตือนผู้ใช้บางรายว่าพวกเขาตกเป็นเป้าหมายของแคมเปญ spyware ขั้นสูงในช่วง 90 วันที่ผ่านมา

ข้อความในคำเตือนระบุว่า “เราได้ทำการปรับปรุงแก้ไขเพื่อป้องกันไม่ให้การโจมตีลักษณะนี้เกิดขึ้นผ่านทาง WhatsApp ได้อีก อย่างไรก็ตาม ระบบปฏิบัติการของอุปกรณ์ของคุณอาจยังคงถูกโจมตีจากมัลแวร์ หรืออาจตกเป็นเป้าหมายการโจมตีในรูปแบบอื่นได้"

ในการแจ้งเตือนภัยคุกคามที่ส่งไปยังผู้ที่อาจได้รับผลกระทบ ทาง WhatsApp ได้แนะนำให้พวกเขาทำการรีเซ็ตอุปกรณ์กลับไปเป็นค่าเริ่มต้นจากโรงงาน (factory reset) และให้อัปเดตระบบปฏิบัติการ และซอฟต์แวร์ของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ

เมื่อเดือนมีนาคมที่ผ่านมา WhatsApp ได้ออกแพตช์แก้ไขช่องโหว่แบบ Zero-day อีกรายการหนึ่ง ที่ถูกใช้เพื่อติดตั้ง Graphite spyware ของบริษัท Paragon โดยการแก้ไขดังกล่าวเกิดขึ้นหลังจากที่ได้รับรายงานจากนักวิจัยด้านความปลอดภัยของ Citizen Lab มหาวิทยาลัย Toronto's

ในเวลานั้น โฆษกของ WhatsApp ได้แจ้งกับ BleepingComputer โดยระบุว่า "WhatsApp ได้ขัดขวางแคมเปญ Spyware ของ Paragon ที่มุ่งเป้าโจมตีผู้ใช้จำนวนหนึ่ง ซึ่งรวมถึงนักข่าว และสมาชิกภาคประชาสังคม โดยได้ติดต่อโดยตรงไปยังผู้ที่เชื่อว่าได้รับผลกระทบแล้ว"

 

ที่มา : bleepingcomputer.

Paul หรือในชื่อ “MrBruh” นักวิจัยด้านความปลอดภัยทางไซเบอร์อิสระจากนิวซีแลนด์ ได้ออกมาเผยแพร่ช่องโหว่บน ASUS DriverHub driver management utility ที่มีความเสี่ยงต่อการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ซึ่งทำให้เว็บไซต์อันตรายสามารถเรียกใช้คำสั่งบนอุปกรณ์ที่มีซอฟต์แวร์ติดตั้งอยู่ได้ (more…)

Microsoft ออก Patch Tuesday ประจำเดือนมีนาคม 2025 โดยแก้ไขช่องโหว่ 57 รายการ ซึ่งรวมถึงช่องโหว่ Zero-days 7 รายการ โดยมีช่องโหว่ Zero-days 6 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน (more…)

ประชากรเกือบ 27 ล้านคนในสหรัฐอเมริกากำลังใช้น้ำจากระบบน้ำดื่มที่มีช่องโหว่ด้านความปลอดภัยทางไซเบอร์ในระดับ High หรือ Critical ตามรายงานฉบับใหม่จาก U.S. Environmental Protection Agency’s Office of the Inspector General (OIG) (more…)

The U.S. Cybersecurity & Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่สามรายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) รวมถึงช่องโหว่ OS command injection ระดับ Critical ซึ่งส่งผลกระทบกับ Progress Kemp LoadMaster (more…)

Broadcom ออกมาแจ้งเตือนว่าพบ Hacker ได้ใช้ช่องโหว่ VMware vCenter Server 2 รายการ ในการโจมตีเป้าหมายอย่างต่อเนื่อง โดยหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical (more…)