พบผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ zero-day ในการติดตั้ง Sitecore รุ่นเก่าเพื่อติดตั้งมัลแวร์ WeepSteel reconnaissance (more…)

TP-Link ได้ยืนยันการค้นพบช่องโหว่ Zero-Day ที่ยังไม่ได้รับการแก้ไข ซึ่งส่งผลกระทบต่อเราเตอร์หลายรุ่น ในขณะเดียวกัน CISA ยังได้ออกคำเตือนเกี่ยวกับการโจมตีโดยใช้ช่องโหว่อื่น ๆ (more…)

Google ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนกันยายน 2025 สำหรับอุปกรณ์ Android เพื่อแก้ไขช่องโหว่ทั้งหมด 84 รายการ ซึ่งรวมถึงช่องโหว่ 2 รายการที่กำลังถูกนำไปใช้ในการโจมตีจริง

ช่องโหว่ 2 รายการที่ถูกตรวจพบว่ากำลังถูกนำไปใช้ในการโจมตีจริงแบบ Zero-day ได้แก่ :

CVE-2025-38352 - ช่องโหว่ Elevation of Privilege ในส่วนของ Android kernel
CVE-2025-48543 - ช่องโหว่ Elevation of Privilege Problem ในส่วนของ Android Runtime

(more…)

WhatsApp ได้ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยในแอปพลิเคชันส่งข้อความสำหรับ iOS และ macOS หลังจากพบว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแบบ Zero-Day ที่มีการกำหนดเป้าหมายโดยเฉพาะ

ทาง WhatsApp ระบุว่า ช่องโหว่แบบ Zero-click นี้ มีหมายเลข CVE-2025-55177 ซึ่งส่งผลกระทบต่อ WhatsApp ในเวอร์ชันดังต่อไปนี้ :

WhatsApp สำหรับ iOS เวอร์ชันก่อน 2.25.21.73
WhatsApp Business สำหรับ iOS เวอร์ชันก่อน 2.25.21.78
WhatsApp สำหรับ Mac เวอร์ชันก่อน 2.25.21.78

WhatsApp ระบุในประกาศด้านความปลอดภัยเมื่อวันศุกร์ที่ผ่านมาว่า "การยืนยันตัวตนที่ไม่สมบูรณ์ของข้อความที่ใช้ synchronization ข้อมูลระหว่างอุปกรณ์ที่เชื่อมต่อกัน อาจทำให้ผู้ใช้งานที่ไม่เกี่ยวข้องสามารถสั่งให้อุปกรณ์ของเป้าหมายประมวลผลเนื้อหาจาก URL ใด ๆ ก็ได้"

"เราประเมินว่าช่องโหว่ดังกล่าว เมื่อทำงานร่วมกับช่องโหว่แบบ OS-level บนแพลตฟอร์มของ Apple (CVE-2025-43300) อาจถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนสูงเพื่อโจมตีผู้ใช้งานที่เป็นเป้าหมายโดยเฉพาะ"

เมื่อช่วงต้นเดือนที่ผ่านมา ทาง Apple ก็ได้ออกแพตช์อัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่แบบ Zero-day (CVE-2025-43300) พร้อมทั้งระบุด้วยว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนขั้นสูงเป็นพิเศษ

แม้ว่าทั้งสองบริษัทยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี แต่ Donncha Ó Cearbhaill (หัวหน้าห้องแล็บด้านความปลอดภัยของ Amnesty International) เปิดเผยว่า WhatsApp เพิ่งได้แจ้งเตือนผู้ใช้บางรายว่าพวกเขาตกเป็นเป้าหมายของแคมเปญ spyware ขั้นสูงในช่วง 90 วันที่ผ่านมา

ข้อความในคำเตือนระบุว่า “เราได้ทำการปรับปรุงแก้ไขเพื่อป้องกันไม่ให้การโจมตีลักษณะนี้เกิดขึ้นผ่านทาง WhatsApp ได้อีก อย่างไรก็ตาม ระบบปฏิบัติการของอุปกรณ์ของคุณอาจยังคงถูกโจมตีจากมัลแวร์ หรืออาจตกเป็นเป้าหมายการโจมตีในรูปแบบอื่นได้"

ในการแจ้งเตือนภัยคุกคามที่ส่งไปยังผู้ที่อาจได้รับผลกระทบ ทาง WhatsApp ได้แนะนำให้พวกเขาทำการรีเซ็ตอุปกรณ์กลับไปเป็นค่าเริ่มต้นจากโรงงาน (factory reset) และให้อัปเดตระบบปฏิบัติการ และซอฟต์แวร์ของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ

เมื่อเดือนมีนาคมที่ผ่านมา WhatsApp ได้ออกแพตช์แก้ไขช่องโหว่แบบ Zero-day อีกรายการหนึ่ง ที่ถูกใช้เพื่อติดตั้ง Graphite spyware ของบริษัท Paragon โดยการแก้ไขดังกล่าวเกิดขึ้นหลังจากที่ได้รับรายงานจากนักวิจัยด้านความปลอดภัยของ Citizen Lab มหาวิทยาลัย Toronto's

ในเวลานั้น โฆษกของ WhatsApp ได้แจ้งกับ BleepingComputer โดยระบุว่า "WhatsApp ได้ขัดขวางแคมเปญ Spyware ของ Paragon ที่มุ่งเป้าโจมตีผู้ใช้จำนวนหนึ่ง ซึ่งรวมถึงนักข่าว และสมาชิกภาคประชาสังคม โดยได้ติดต่อโดยตรงไปยังผู้ที่เชื่อว่าได้รับผลกระทบแล้ว"

 

ที่มา : bleepingcomputer.

มีการค้นพบช่องโหว่แบบ Zero-Day ในโซลูชัน Elastic EDR ซึ่งทำให้ผู้โจมตีสามารถหลบเลี่ยงมาตรการรักษาความปลอดภัย, เรียกใช้โค้ดที่เป็นอันตราย และทำให้ระบบเกิด Blue Screen of Death ได้ ตามรายงานการวิจัยของ Ashes Cybersecurity

(more…)

เมื่อช่วงต้นเดือนที่ผ่านมา พบการโจมตีแบบ Brute-force ที่เพิ่มสูงขึ้นอย่างมากมุ่งเป้าไปที่ SSL VPN ของ Fortinet ตามมาด้วยการเปลี่ยนเป้าหมายไปยัง FortiManager ซึ่งแสดงถึงการเปลี่ยนเป้าหมายอย่างจงใจที่มักเกิดขึ้นก่อนการเปิดเผยช่องโหว่ใหม่ ๆ ในอดีต

แคมเปญการโจมตีครั้งนี้ถูกตรวจพบโดยแพลตฟอร์มเฝ้าระวังภัยคุกคาม GreyNoise โดยเหตุการณ์เกิดขึ้นเป็นสองระลอกในวันที่ 3 และ 5 สิงหาคมที่ผ่านมา ในระลอกที่สองได้มีการเปลี่ยนเป้าหมายการโจมตีไปที่ FortiManager โดยใช้ TCP signature ที่แตกต่างออกไป

ตามที่ GreyNoise เคยรายงานไว้ก่อนหน้านี้ว่า การเพิ่มขึ้นของการสแกนระบบ และการโจมตีแบบ Brute-force ที่มีเป้าหมายในลักษณะนี้ มักเป็นสัญญาณที่เกิดขึ้นก่อนการเปิดเผยช่องโหว่ความปลอดภัยใหม่ ๆ ถึง 80% ของกรณีทั้งหมด

โดยทั่วไป การสแกนลักษณะนี้มีเป้าหมายเพื่อระบุจำนวน และตำแหน่งของระบบที่เข้าถึงได้จากภายนอก, ประเมินความสำคัญของเป้าหมายเหล่านั้น และคาดการณ์ศักยภาพในการโจมตี ซึ่งหลังจากนั้นไม่นานมักจะตามมาด้วยการโจมตีจริงในเวลาต่อมา

GreyNoise แจ้งเตือนว่า “งานวิจัยล่าสุดแสดงให้เห็นว่า การเพิ่มขึ้นของการโจมตีลักษณะนี้มักเป็นสัญญาณเตือนก่อนจะมีการเปิดเผยช่องโหว่ใหม่ที่กระทบกับผู้จำหน่ายรายเดียวกัน โดยส่วนใหญ่จะเกิดขึ้นภายใน 6 สัปดาห์"

“ในความเป็นจริง GreyNoise พบว่าการเพิ่มขึ้นของกิจกรรมที่ทำให้ tag นี้ มีความเชื่อมโยงอย่างมีนัยสำคัญกับช่องโหว่ที่จะถูกเปิดเผยในอนาคตของผลิตภัณฑ์ Fortinet”

ด้วยเหตุนี้ ผู้ดูแลระบบจึงไม่ควรมองข้ามการโจมตีที่เพิ่มขึ้นเหล่านี้ว่าเป็นเพียงความพยายามที่ล้มเหลวในการโจมตีโดยใช้ประโยชน์จากช่องโหว่เก่าที่ได้รับการแก้ไขแล้ว แต่ควรพิจารณาว่าอาจเป็นสัญญาณเตือนล่วงหน้าของการเปิดเผยช่องโหว่แบบ Zero-day และควรยกระดับมาตรการรักษาความปลอดภัยให้แข็งแกร่งเพิ่มขึ้นเพื่อรับมือกับภัยคุกคาม

การโจมตีแบบ Brute-force ต่อ Fortinet

เมื่อวันที่ 3 สิงหาคม 2025 ทาง GreyNoise ได้ตรวจพบความพยายามในการโจมตีแบบ Brute-force ที่มุ่งเป้าไปยัง Fortinet SSL VPN เพิ่มสูงขึ้นอย่างรวดเร็ว โดยการโจมตีนี้เป็นส่วนหนึ่งของกิจกรรมที่เกิดขึ้นอย่างต่อเนื่องซึ่งทางบริษัทได้เฝ้าระวังมาตั้งแต่ก่อนหน้านี้แล้ว

การวิเคราะห์ fingerprint แบบ JA4+ เป็นวิธีการตรวจจับ network fingerprinting เพื่อระบุ และจำแนกประเภท traffic ที่เข้ารหัส พบว่าการโจมตีที่เพิ่มสูงขึ้นนี้มีความเชื่อมโยงกับกิจกรรมในเดือนมิถุนายน โดยมีต้นทางมาจากอุปกรณ์ FortiGate ที่ใช้ IP address สำหรับที่พักอาศัยซึ่งเกี่ยวข้องกับบริษัท Pilot Fiber Inc.

ช่องโหว่ WinRAR (CVE-2025-8088) ที่เพิ่งถูกแก้ไข ถูกใช้ในปฏิบัติการฟิชชิงแบบ Zero-Day เพื่อติดตั้งมัลแวร์ RomCom

ช่องโหว่ Directory Traversal นี้ ได้รับการแก้ไขไปแล้วใน WinRAR เวอร์ชัน 7.13 ซึ่งก่อนหน้านี้สามารถทำให้ให้ไฟล์ archive ที่ถูกสร้างขึ้นเป็นพิเศษ สามารถแตกไฟล์ไปยังตำแหน่งที่ผู้โจมตีกำหนดได้

จากประวัติการเปลี่ยนแปลงของ WinRAR 7.13 ระบุว่า WinRAR, RAR และ UnRAR เวอร์ชันก่อนหน้า รวมถึงซอร์สโค้ดของ Portable UnRAR และ UnRAR.dll บน Windows อาจถูกหลอกให้ใช้ Path ที่กำหนดไว้ในไฟล์ archive แทนที่จะเป็น Path ที่ผู้ใช้ระบุเองขณะทำการแตกไฟล์

อย่างไรก็ตาม เวอร์ชันของ RAR และ UnRAR บน Unix รวมถึงซอร์สโค้ดของ Portable UnRAR, ไลบรารี UnRAR และ RAR บนระบบปฏิบัติการ Android ไม่ได้รับผลกระทบจากช่องโหว่นี้

โดยอาศัยช่องโหว่นี้ ผู้โจมตีสามารถสร้างไฟล์ archive ที่เมื่อแตกไฟล์แล้ว จะวางไฟล์ executables ลงใน Path ที่ระบบจะรันโดยอัตโนมัติ เช่น โฟลเดอร์ Startup ของ Windows ได้แก่ :

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

เมื่อผู้ใช้ล็อกอินเข้าสู่ระบบในครั้งถัดไป ไฟล์ปฏิบัติการดังกล่าวจะถูกรันโดยอัตโนมัติ ซึ่งจะเปิดโอกาสให้ผู้โจมตีรันโค้ดจากระยะไกลได้

เนื่องจาก WinRAR ไม่มีฟีเจอร์อัปเดตอัตโนมัติ จึงขอแนะนำให้ผู้ใช้ทุกคนดาวน์โหลด และติดตั้งเวอร์ชันล่าสุดด้วยตนเองจากเว็บไซต์ win-rar.

SonicWall ได้แจ้งเตือนให้ผู้ดูแลระบบทำการปิดใช้งาน SSLVPN หลังจากพบกลุ่ม Ransomware มุ่งเป้าโจมตีช่องโหว่ Zero-Day ในไฟร์วอลล์ SonicWall Gen 7 เพื่อเข้าถึงระบบในช่วงที่ผ่านมา (more…)

ปัจจุบันมีเซิร์ฟเวอร์ CrushFTP กว่า 1,000 เครื่องที่เข้าถึงได้บนอินเทอร์เน็ติ ซึ่งมีช่องโหว่ระดับ critical ที่สามารถถูกโจมตีเพื่อเข้าควบคุมการใช้งานผ่านอินเทอร์เฟซเว็บในฐานะแอดมินได้ (more…)

VMware ได้แก้ไขช่องโหว่ Zero-Day 4 รายการใน VMware ESXi, Workstation, Fusion และ Tools ที่ถูกใช้โจมตีระหว่างการแข่งขัน Pwn2Own Berlin 2025 hacking contest ในเดือนพฤษภาคม 2025

(more…)