ช่องโหว่ใหม่ที่ถูกตั้งชื่อว่า Pack2TheRoot สามารถถูกใช้โจมตีผ่าน PackageKit daemon เพื่อทำให้ผู้ใช้ Linux ภายในเครื่องสามารถติดตั้ง หรือถอนแพ็กเกจของระบบ และยกระดับสิทธิ์เป็น root ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-41651 และได้รับคะแนนความรุนแรงระดับสูงที่ 8.8 จาก 10 คะแนน โดยช่องโหว่ดังกล่าวแฝงตัวมานานเกือบ 12 ปีใน PackageKit daemon ซึ่งเป็น Background service ที่ทำหน้าที่จัดการการติดตั้ง, อัปเดต และถอนการติดตั้งซอฟต์แวร์บนระบบ Linux

เมื่อช่วงต้นสัปดาห์ที่ผ่านมา มีการเผยแพร่ข้อมูลบางส่วนเกี่ยวกับช่องโหว่ดังกล่าว พร้อมกับการปล่อย PackageKit เวอร์ชัน 1.3.5 ที่ออกมาแก้ไขปัญหาดังกล่าว อย่างไรก็ตาม รายละเอียดทางเทคนิค และ Demo exploit ยังไม่ถูกเปิดเผย เพื่อเปิดโอกาสให้มีการกระจายอัปเดตแพตช์แก้ไขไปอย่างทั่วถึงเสียก่อน

การตรวจสอบจากทีม Red Team ของ Deutsche Telekom ค้นพบว่า สาเหตุของ Bug นี้มาจากกลไกที่ PackageKit ใช้ในการรับมือกับ Requests ที่เกี่ยวข้องกับการจัดการแพ็กเกจ

โดยเฉพาะอย่างยิ่ง นักวิจัยพบว่าคำสั่งอย่าง ‘pkcon install’ สามารถทำงานได้โดยไม่ต้องผ่านการยืนยันตัวตนภายใต้เงื่อนไขบางประการบนระบบ Fedora ซึ่งอาจทำให้พวกเขาสามารถติดตั้งแพ็กเกจของระบบได้

พวกเขาได้ใช้เครื่องมือ AI อย่าง Claude Opus ในการสำรวจเพิ่มเติมถึงความเป็นไปได้ที่จะโจมตีระบบโดยอาศัยพฤติกรรมดังกล่าว และได้นำไปสู่การค้นพบช่องโหว่ CVE-2026-41651 ในที่สุด

ผลกระทบและการแก้ไข

Red Team ของ Deutsche Telekom ได้รายงานสิ่งที่พวกเขาค้นพบให้กับ Red Hat และผู้ดูแลของโปรเจกต์ PackageKit เมื่อวันที่ 8 เมษายนที่ผ่านมา พวกเขาระบุว่า สามารถประเมินได้เลยว่า Linux distributions ทุกตัวที่มีการติดตั้ง PackageKit มาล่วงหน้า และถูกเปิดใช้งานมาตั้งแต่ต้นล้วนมีช่องโหว่ CVE-2026-41651 ทั้งหมด

อ้างอิงจากประกาศแจ้งเตือนด้านความปลอดภัยของโปรเจกต์ระบุว่า ช่องโหว่ดังกล่าวอยู่มาตั้งแต่ PackageKit เวอร์ชัน 1.0.2 ที่ปล่อยออกมาในเดือนพฤศจิกายนปี 2014 และส่งผลกระทบต่อทุกเวอร์ชันต่อเนื่องมาจนถึงเวอร์ชัน 1.3.4

การทดสอบของนักวิจัยได้ยืนยันแล้วว่า ผู้โจมตีสามารถใช้ช่องโหว่ CVE-2026-41651 โจมตีได้ใน Linux distributions ดังต่อไปนี้

Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta)
Ubuntu Server 22.04 – 24.04 (LTS)
Debian Desktop Trixie 13.4
RockyLinux Desktop 10.1
Fedora 43 Desktop
Fedora 43 Server

อย่างไรก็ตาม รายชื่อนี้ยังไม่ได้ครอบคลุมทั้งหมด และ Linux distribution ใด ๆ ที่ใช้งาน PackageKit ควรถูกพิจารณาว่ามีความเสี่ยงที่อาจถูกโจมตีได้

ผู้ใช้ควรอัปเกรดเป็น PackageKit เวอร์ชัน 1.3.5 โดยเร็วที่สุด และตรวจสอบให้แน่ใจว่าซอฟต์แวร์อื่น ๆ ที่มีการใช้งานแพ็กเกจนี้เป็นส่วนประกอบได้ถูกอัปเดตไปเป็นเวอร์ชันที่ปลอดภัยแล้วเช่นกัน

ผู้ใช้สามารถใช้คำสั่งด้านล่างนี้เพื่อตรวจสอบว่าเครื่องของตนมีการติดตั้ง PackageKit เวอร์ชันที่มีช่องโหว่ไว้หรือไม่ และตรวจสอบว่า Daemon ดังกล่าวกำลังทำงานอยู่หรือไม่

ผู้ใช้สามารถรันคำสั่ง systemctl status packagekit หรือ pkmon เพื่อตรวจสอบว่า PackageKit daemon พร้อมใช้งาน และกำลังทำงานอยู่หรือไม่ ซึ่งจะเป็นการบ่งบอกว่าระบบอาจตกอยู่ในความเสี่ยงหากยังไม่ได้รับการอัปเดตแพตช์แก้ไข

ถึงแม้จะยังไม่มีการเปิดเผยรายละเอียดเกี่ยวกับการนำช่องโหว่ไปใช้โจมตีจริง แต่ทีมนักวิจัยตั้งข้อสังเกตว่ามีสัญญาณแสดงให้เห็นชัดเจนเมื่อระบบถูกโจมตี เนื่องจากการโจมตีระบบจะส่งผลให้ PackageKit daemon เกิดข้อผิดพลาดแบบ Assertion failure และ Crashing ได้

แม้ว่า Systemd จะสามารถกู้คืน Daemon กลับมาทำงานได้ แต่ร่องรอยการ Crash ดังกล่าวก็สามารถสังเกตเห็นได้ใน System logs

 

ที่มา : bleepingcomputer.

อุปกรณ์ด้านความปลอดภัยเครือข่าย WatchGuard Firebox ประมาณ 76,000 เครื่องที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต มีช่องโหว่ระดับ Critical (CVE-2025-9242) ที่อาจทำให้ผู้โจมตีจากภายนอกสามารถเรียกใช้โค้ดที่เป็นอันตรายได้โดยไม่ต้องผ่านการยืนยันตัวตน

อุปกรณ์ Firebox ทำหน้าที่เป็นศูนย์กลางการป้องกันที่ควบคุม traffic ระหว่างเครือข่ายภายใน และภายนอก โดยให้การป้องกันผ่าน policy management, บริการด้านความปลอดภัย, VPN และการดูข้อมูลแบบ real-time ผ่าน WatchGuard Cloud

การสแกนจาก The Shadowserver Foundation ในปัจจุบัน แสดงให้เห็นว่ามีอุปกรณ์ Firebox ที่มีช่องโหว่กว่า 75,835 เครื่องทั่วโลก ซึ่งส่วนใหญ่อยู่ในยุโรป และอเมริกาเหนือ

โดยเฉพาะสหรัฐอเมริกาอยู่อันดับสูงสุดด้วยจำนวน 24,500 รายการ ตามมาด้วยเยอรมนี (7,300), อิตาลี (6,800), สหราชอาณาจักร (5,400), แคนาดา (4,100) และฝรั่งเศส (2,000)

WatchGuard ได้เปิดเผยช่องโหว่ CVE-2025-9242 ในแถลงการณ์ด้านความปลอดภัยเมื่อวันที่ 17 กันยายนที่ผ่านมา และจัดอันดับช่องโหว่ดังกล่าวให้มีคะแนนความรุนแรงระดับ Critical ที่ 9.3 โดยช่องโหว่ด้านความปลอดภัยดังกล่าวเป็นช่องโหว่ 'out-of-bounds write' ใน process ‘iked’ ของระบบปฏิบัติการ Fireware OS ซึ่งทำหน้าที่จัดการ IKEv2 VPN negotiations

ช่องโหว่ดังกล่าวสามารถถูกโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน ด้วยการส่งแพ็กเก็ต IKEv2 ที่สร้างขึ้นมาเป็นพิเศษไปยัง Firebox endpoints ที่มีช่องโหว่ เพื่อบังคับให้เขียนข้อมูลไปยังพื้นที่หน่วยความจำ unintended

โดยจะส่งผลกระทบเฉพาะอุปกรณ์ Firebox ที่ใช้ IKEv2 VPNs กับ dynamic gateway peers ในเวอร์ชัน 11.10.2 ถึง 11.12.4_Update1, 12.0 ถึง 12.11.3 และ 2025.1

ผู้ผลิตแนะนำให้อัปเกรดเป็นหนึ่งในเวอร์ชันใดก็ได้ ดังต่อไปนี้ :

2025.1.1
12.11.4
12.5.13
12.3.1_Update3 (B722811)

โดยปัจจุบันเวอร์ชัน 11.x ได้สิ้นสุดการ support ไปแล้ว และจะไม่ได้รับการอัปเดตด้านความปลอดภัยอีกต่อไป โดยบริษัทแนะนำให้ย้ายไปใช้เวอร์ชันที่ยังคงมีการ support อยู่

สำหรับอุปกรณ์ที่ตั้งค่าไว้เฉพาะ Branch Office VPNs ที่เชื่อมต่อกับ static gateway peers เท่านั้น บริษัทแนะนำให้ตรวจสอบเอกสารประกอบสำหรับการรักษาความปลอดภัยการเชื่อมต่อโดยใช้โปรโตคอล IPSec และ IKEv2 เพื่อเป็นวิธีแก้ไขปัญหาชั่วคราว

เมื่อวันที่ 19 ตุลาคม The Shadowserver Foundation ตรวจพบ Firebox firewalls ที่มีช่องโหว่ 75,955 เครื่อง ซึ่งทาง WatchGuard ได้แจ้งกับ BleepingComputer ว่า การสแกนในปัจจุบันถือว่าเชื่อถือได้ และตัวเลขนี้สะท้อนถึงการใช้งานจริง และไม่ใช่ honeypots

แม้ว่าในปัจจุบันจะยังไม่มีรายงานการโจมตีจริงที่เกิดขึ้นกับช่องโหว่ CVE-2025-9242 แต่แนะนำให้ผู้ดูแลระบบที่ยังไม่ได้ติดตั้งการอัปเดตความปลอดภัยให้รีบดำเนินการติดตั้งแพตช์อัปเดตโดยเร็วที่สุด

 

ที่มา : bleepingcomputer.