Microsoft ได้ปล่อยแพตช์รักษาความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ของ Defender ที่รู้จักกันในชื่อ "RoguePlanet" ซึ่งถูกเปิดเผยออกมาหลังจาก Patch Tuesday ประจำเดือนมิถุนายน 2026 ที่ผ่านมา (more…)
Microsoft ออกแพตช์แก้ไขช่องโหว่ Zero-day บน Defender ที่ชื่อว่า RoguePlanet
Nissan เปิดเผยเหตุการณ์ข้อมูลพนักงานรั่วไหล ซึ่งเชื่อมโยงกับการโจมตีผ่านช่องโหว่ Zero-day ของ Oracle
Nissan ออกประกาศแจ้งเตือนว่าบริษัทประสบเหตุการณ์ข้อมูลรั่วไหล ซึ่งส่งผลกระทบต่อพนักงานปัจจุบัน และอดีตพนักงาน หลังจากผู้ไม่หวังดีทางไซเบอร์ได้ใช้ประโยชน์จากช่องโหว่ของ Oracle PeopleSoft ในการโจมตีเพื่อขโมยข้อมูล ซึ่งก่อนหน้านี้พบว่ามีความเชื่อมโยงกับกลุ่มแฮ็กเกอร์ ShinyHunters
ในเอกสารแจ้งเหตุการณ์ข้อมูลรั่วไหลที่ Nissan ยื่นต่อสำนักงานอัยการรัฐแคลิฟอร์เนีย มีการระบุ (โดยอ้างอิงข้อมูลจาก Oracle) ว่า การโจมตีเพื่อขโมยข้อมูลเหล่านี้ส่งผลกระทบต่อบริษัทหลายร้อยแห่ง และ Nissan ตกเป็นเป้าหมายในแคมเปญการโจมตีครั้งนี้
"Nissan Americas ใช้ซอฟต์แวร์ Oracle PeopleSoft ในการจัดการข้อมูลพนักงาน ซึ่งรวมถึงบัญชีเงินเดือน, การจัดการด้านภาษี และบันทึกข้อมูลบุคลากรอื่น ๆ"
"Oracle ได้แจ้งให้เราทราบว่ามีเหตุการณ์ทางไซเบอร์เกิดขึ้น และบันทึกข้อมูลบุคลากรของบริษัทหลายร้อยแห่งอาจถูกดึงไปโดยกลุ่มผู้ไม่หวังดีทางไซเบอร์ ซึ่งต่อมาเราได้ทราบว่า Nissan ตกเป็นเป้าหมายในการโจมตีครั้งนี้ด้วย"
Nissan ระบุว่า ขณะนี้การสืบสวนยังคงอยู่ในช่วงเริ่มต้น และยังไม่สามารถระบุผลกระทบทั้งหมดจากเหตุการณ์ข้อมูลรั่วไหลได้ แต่เชื่อว่าผู้โจมตีได้เข้าถึงข้อมูลส่วนบุคคล ซึ่งอาจรวมถึง ข้อมูลการติดต่อของพนักงาน, ข้อมูลทางธนาคาร, หมายเลขประกันสังคม, หมายเลขประกันภัยสังคม, หมายเลขประจำตัวประชาชน, ข้อมูลทางการเงินและภาษี ตลอดจนข้อมูลของผู้ที่อยู่ในความอุปการะ และผู้รับผลประโยชน์
เชื่อว่าเหตุการณ์นี้ส่งผลกระทบต่อพนักงานปัจจุบัน และอดีตพนักงานของ Nissan ในสหรัฐอเมริกา, แคนาดา, เม็กซิโก และบราซิล
Nissan ระบุว่า บริษัทได้เริ่มใช้มาตรการตอบสนองต่อเหตุการณ์ทันทีหลังจากทราบว่าประสบเหตุการณ์ข้อมูลรั่วไหล โดยได้ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอก รักษาความปลอดภัยให้กับระบบที่ได้รับผลกระทบ และกำลังทำงานร่วมกับ Oracle เพื่อแก้ไขปัญหาดังกล่าว
บริษัทยังระบุด้วยว่าได้ดำเนินการเพื่อยุติการเข้าถึงที่ไม่ได้รับอนุญาต และป้องกันไม่ให้ข้อมูลของพนักงานถูกเปิดเผยไปมากกว่านี้ อีกทั้งจะเสนอบริการตรวจสอบเครดิต และตรวจสอบ Dark web ให้กับบุคคลที่ได้รับผลกระทบโดยไม่เสียค่าใช้จ่าย
เพื่อเป็นมาตรการป้องกันเพิ่มเติม Nissan ระบุว่า บริษัทกำลังจำกัดการเข้าถึงสลิปเงินเดือนของพนักงาน และการเปลี่ยนแปลงการโอนเงินเข้าบัญชีโดยตรง ให้สามารถทำได้เฉพาะบนคอมพิวเตอร์ในเครือข่ายของบริษัท หรือผ่านการเชื่อมต่อ VPN ที่ปลอดภัยเท่านั้น ในระหว่างที่กำลังดำเนินการเพิ่มมาตรการการยืนยันตัวตนก่อนที่จะประมวลผลคำขอต่าง ๆ ที่เกี่ยวข้องกับบัญชีเงินเดือน
ทางผู้ผลิตรถยนต์ระบุว่า พนักงานที่ได้รับการยืนยันในท้ายที่สุดว่าข้อมูลถูกเปิดเผย จะได้รับการแจ้งเตือนเพิ่มเติมซึ่งระบุรายละเอียดว่ามีข้อมูลใดบ้างที่ได้รับผลกระทบ
ความเชื่อมโยงกับการโจมตีผ่านช่องโหว่ Zero-day บน PeopleSoft โดยกลุ่ม ShinyHunters
เชื่อว่าการเปิดเผยข้อมูลเหตุการณ์นี้เป็นผลมาจากการลักลอบโจมตีเซิร์ฟเวอร์ Oracle PeopleSoft เป็นวงกว้าง ซึ่งรายงานเป็นครั้งแรกโดย BleepingComputer เมื่อต้นเดือนที่ผ่านมา
ตามที่มีการรายงานในครั้งแรก ผู้ไม่หวังดีทางไซเบอร์ได้ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Oracle PeopleSoft เพื่อเจาะเข้าระบบ และขโมยข้อมูล
กลุ่ม ShinyHunters ได้ออกมาอ้างความรับผิดชอบต่อการโจมตีดังกล่าว โดยให้ข้อมูลกับ BleepingComputer ว่า มี Instances ของระบบ PeopleSoft มากกว่า 300 รายการใน 100 องค์กรที่ถูกเจาะระบบ
หลังจากนั้นไม่นาน Oracle ได้เปิดเผยถึงช่องโหว่ระดับ Critical ใน Oracle PeopleSoft PeopleTools หมายเลข CVE-2026-35273 และได้ปล่อยมาตรการลดผลกระทบฉบับฉุกเฉินออกมาแล้ว
แม้ว่า Oracle จะยังไม่ได้ออกมายืนยันต่อสาธารณะว่ามีการโจมตีโดยใช้ช่องโหว่ดังกล่าว แต่ในเวลาต่อมา Mandiant ได้ยืนยันว่า ผู้ไม่หวังดีได้ใช้ช่องโหว่ CVE-2026-35273 ของ Oracle PeopleSoft ในฐานะช่องโหว่ Zero-day เพื่อทำการโจมตี และขโมยข้อมูลระหว่างวันที่ 27 พฤษภาคม ถึง 9 มิถุนายน ที่ผ่านมา
การโจมตีเหล่านี้ส่งผลกระทบต่อองค์กรในภาคการศึกษาเป็นหลัก โดย Mandiant ระบุว่า ได้ทำการแจ้งเตือนองค์กรต่าง ๆ ไปแล้วกว่า 100 แห่ง ซึ่งเป็นการยืนยันข้อมูลที่ ShinyHunters เคยเปิดเผยออกมาก่อนหน้านี้
ตั้งแต่นั้นเป็นต้นมา ShinyHunters ก็ได้เริ่มนำข้อมูลที่ขโมยมาจากการโจมตีเหล่านี้ไปเผยแพร่บนเว็บไซต์ Data leak ของตน ซึ่งรวมถึงข้อมูลของ Nottingham University และ National Association of Insurance Commissioners (NAIC) ของสหรัฐฯ
ผู้ไม่หวังดีกลุ่มนี้เป็นกลุ่มแฮ็กเกอร์ที่เป็นที่รู้จักกันดี ซึ่งมักจะมุ่งเป้าการโจมตีไปที่ Salesforce, Snowflake, Third-party ที่ให้บริการเชื่อมต่อระบบภายนอก และ Cloud SaaS environments อื่น ๆ เพื่อทำการขโมยข้อมูล
เมื่อเร็ว ๆ นี้ ShinyHunters เพิ่งมุ่งเป้าการโจมตีไปที่ภาคการศึกษาในการโจมตีทางไซเบอร์ที่แยกต่างหากอีกเหตุการณ์หนึ่งซึ่งเกิดขึ้นกับ Instructure Canvas โดยได้ขโมยข้อมูลจำนวนกว่า 280 ล้านรายการของนักเรียน, ครู และบุคลากร ซึ่งในเวลาต่อมา Instructure ต้องยอมจ่ายค่าไถ่เพื่อป้องกันไม่ให้ข้อมูลดังกล่าวถูกนำไปเปิดเผย
ที่มา : bleepingcomputer.
Microsoft ออกแพตช์แก้ช่องโหว่ Zero-day บน Exchange Server หลังพบแฮ็กเกอร์นำมาใช้ในการโจมตีจริง
Microsoft ได้ออกแพตช์แก้ไขช่องโหว่บน Exchange Server ที่กำลังถูกกลุ่มแฮ็กเกอร์นำไปใช้โจมตีจริงอยู่ในเวลานี้ โดยช่องโหว่นี้ทำให้แฮ็กเกอร์สามารถรันโค้ด JavaScript ผ่านการโจมตีประเภท Cross-Site Scripting (XSS) ซึ่งมุ่งเป้าไปที่ผู้ใช้งาน Outlook Web Access (more…)
ช่องโหว่ Zero-day ‘RoguePlanet’ ของ Microsoft Defender ทำให้ได้สิทธิ์ระดับ SYSTEM บนระบบ
นักวิจัยด้านความปลอดภัยได้ปล่อยโค้ด exploit สำหรับช่องโหว่ zero-day ตัวใหม่บน Microsoft Defender ในชื่อ "RoguePlanet" เพียงไม่กี่ชั่วโมงหลังจาก Microsoft เพิ่งออกอัปเดต Patch Tuesday ในเดือนมิถุนายน 2026
นักวิจัยที่ใช้นามแฝงว่า Nightmare Eclipse ระบุว่า ช่องโหว่ใหม่นี้ส่งผลกระทบต่ออุปกรณ์ Windows 10 และ Windows 11 ที่อัปเดตแพตช์ล่าสุดแล้ว โดยช่วยให้ผู้โจมตีสามารถเปิด command prompt ที่มีสิทธิ์ระดับ SYSTEM ผ่านช่องโหว่ประเภท race condition บน Microsoft Defender ได้
นักวิจัยได้แชร์โค้ด POC เมื่อบ่ายวันอังคารที่ผ่านมาใน self-hosted Git repository หลังจากระบุว่าคลังเก็บซอร์สโค้ด (Repository) บน GitHub และ GitLab ที่เคยโฮสต์ของพวกเขาได้ถูก Microsoft ลบออกไปก่อนหน้านี้
Nightmare Eclipse เขียนไว้ใน repository ว่า "การโจมตีนี้เป็นแบบ race condition ดังนั้นผลลัพธ์จึงมีทั้งสำเร็จ และล้มเหลว แต่สามารถทำให้ประสบความสำเร็จได้ถึง 100% บนคอมพิวเตอร์บางเครื่อง ในขณะที่บางเครื่องก็รันได้ค่อนข้างลำบาก"
มีรายงานว่าช่องโหว่นี้ได้รับการทดสอบกับ Windows 11 เวอร์ชัน Official และ Canary รวมถึงระบบ Windows 10 ที่ติดตั้ง security updates รอบเดือนมิถุนายน 2026 แล้ว
เมื่อการโจมตีสำเร็จ command prompt จะถูกเปิดขึ้นมาพร้อมสิทธิ์ระดับ SYSTEM
บริษัท ThreatLocker เปิดเผยกับ BleepingComputer ว่า พวกเขาสามารถทดสอบ และทำซ้ำ exploit นี้ได้สำเร็จ และยืนยันว่าโค้ดโจมตีนี้ทำงานได้จริงบนระบบ Windows 11 ที่อัปเดตแพตช์ KB5094126 เรียบร้อยแล้ว พร้อมทั้งแชร์วิดีโอสาธิตการทำงาน
Danny Jenkins CEO ของ ThreatLocker ให้ข้อมูลกับ BleepingComputer ว่า "การวิเคราะห์เบื้องต้นของเรายืนยันว่า การโจมตี RoguePlanet นั้นใช้งานได้จริง และทำงานตามที่อธิบายไว้ องค์กรที่ใช้ระบบ application allowlisting สามารถป้องกันไม่ให้โค้ดโจมตีนี้ทำงานได้ ซึ่งถือเป็นเลเยอร์การป้องกันที่มีประสิทธิภาพต่อการโจมตีนี้"
ข้อมูลจาก Nightmare Eclipse ระบุว่า เดิมที RoguePlanet ถูกพัฒนาขึ้นมาในฐานะช่องโหว่ประเภท RCE ที่ใช้ประโยชน์จากการที่ Microsoft Defender จัดการกับไฟล์ที่โฮสต์อยู่บน remote SMB shares
นักวิจัยอธิบายในบล็อกโพสต์ว่า "ในการพัฒนาช่วงแรก ได้รับการยืนยันแล้วว่าช่องโหว่นี้คือ RCE มันต้องการให้ผู้โจมตีล่อให้เหยื่อเปิดไฟล์ .vhd ใน remote SMB server ซึ่งหากโจมตีสำเร็จจะส่งผลให้ Defender เขียนทับไฟล์ของตัวเอง และผลลัพธ์สุดท้ายก็คือ RCE อย่างชัดเจน"
นักวิจัยระบุว่า อีกสถานการณ์หนึ่งของการโจมตีอาจนำไปสู่ RCE ได้ง่าย ๆ เพียงแค่ล่อให้เหยื่อเปิด SMB share หากมีการเปิดใช้งานการตั้งค่า symlink evaluation ไว้
อย่างไรก็ตาม นักวิจัยอ้างว่า Microsoft ได้แอบทำการเสริมความแข็งแกร่งให้กับ Defender ในช่วงกลางเดือนพฤษภาคม โดยการแพตช์ API "mpengine!SysIO*" ซึ่งบล็อกการโจมตีแบบ junction attacks ไว้
นักวิจัยระบุว่า "การเขียนโค้ด RoguePlanet ใหม่เพื่อให้ใช้งานได้อีกครั้งนั้นต้องใช้ความพยายามอย่างมาก และไม่สามารถทำสถานการณ์การโจมตีรูปแบบอื่นให้เสร็จสมบูรณ์ได้ ในตอนนี้จึงยังไม่ชัดเจนว่า RoguePlanet จะถูกจำกัดอยู่แค่ LPE (Local Privilege Escalation) หรือจะมีวิธีบางอย่างในการเปลี่ยนมันให้เป็น RCE"
การปล่อยโค้ดโจมตีครั้งนี้เป็นส่วนหนึ่งของข้อพิพาทที่กำลังดำเนินอยู่ระหว่าง Nightmare Eclipse และ Microsoft เกี่ยวกับแนวทางการเปิดเผยช่องโหว่ และโครงการ bug bounty ของบริษัท
ในช่วงหลายเดือนที่ผ่านมา นักวิจัยรายนี้ได้เปิดเผยช่องโหว่ zero-days ของ Windows ออกสู่สาธารณะหลายตัว ซึ่งรวมถึงช่องโหว่ BlueHammer, RedSun, GreenPlasma และ YellowKey โดย zero-days บางตัวมีเป้าหมายที่ Microsoft Defender ในขณะที่ตัวอื่น ๆ มุ่งเป้าไปที่ BitLocker และส่วนประกอบของ Windows
Microsoft ได้แก้ไขช่องโหว่ GreenPlasma และ YellowKey ในวันนี้ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนมิถุนายน 2026
ก่อนหน้านี้ Microsoft เคยตอบโต้การเปิดเผยข้อมูลดังกล่าวด้วยการแจ้งเตือนว่าจะร่วมมือกับหน่วยงานบังคับใช้กฎหมายเมื่อมีผู้ทำ "กิจกรรมที่เป็นอันตรายซึ่งก่อให้เกิดความเสียหายจริงต่อลูกค้า" ซึ่งทำให้หลายคนในชุมชน Cyber Security มองว่า Microsoft กำลังข่มขู่นักวิจัย
Nightmare Eclipse อ้างว่า Microsoft มุ่งเป้า และลบ repository ก่อนหน้านี้ที่โฮสต์บน GitHub และ GitLab ซ้ำ ๆ ส่งผลให้ต้องสร้างแพลตฟอร์มโค้ดที่โฮสต์เองขึ้นมาที่ projectnightcrawler[.]dev
อัปเดต 10-06-2026 :
หลังจากเผยแพร่เรื่องนี้ Microsoft แจ้งกับ BleepingComputer ว่า พวกเขาทราบถึงช่องโหว่ที่ถูกรายงาน และกำลังตรวจสอบอยู่ โดยโฆษกของไมโครซอฟต์ให้ข้อมูลกับ BleepingComputer ว่า “Microsoft รับทราบถึงช่องโหว่ที่ถูกรายงาน และกำลังตรวจสอบความถูกต้อง และความเป็นไปได้ที่จะเกิดผลกระทบจากข้อกล่าวอ้างเหล่านี้อย่างจริงจัง บริษัทมุ่งมั่นที่จะตรวจสอบปัญหาด้านความปลอดภัย และอัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบเพื่อปกป้องลูกค้าโดยเร็วที่สุด” “ที่สำคัญ เราสนับสนุนการเปิดเผยช่องโหว่แบบประสานงาน ซึ่งเป็นมาตรฐานอุตสาหกรรมที่ปกป้องลูกค้า และสนับสนุนชุมชนนักวิจัยโดยการรับรองว่าผลการค้นพบของพวกเขาได้รับการตรวจสอบ และแก้ไขอย่างละเอียดก่อนที่จะถูกเผยแพร่ออกสู่สาธารณะ”
ที่มา : bleepingcomputer.
Check Point เปิดเผยช่องโหว่ Zero-day ใน VPN ที่มีความเกี่ยวข้องกับกลุ่ม Qilin Ransomware
บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล Check Point ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อการใช้งาน Remote Access VPN และ cc ซึ่งกำลังถูกนำไปใช้ในการโจมตีแบบ Zero-day
ช่องโหว่นี้มีหมายเลข CVE-2026-50751 ทำให้ผู้โจมตีจากภายนอกที่ไม่ได้รับอนุญาตสามารถ bypass authentication สำหรับการเข้าถึงผ่าน Mobile Access, SSL VPNs, Remote Access VPNs หรือไฟร์วอลล์ที่ตกเป็นเป้าหมาย และสร้างการเชื่อมต่อ VPN ได้
ทางบริษัทระบุว่า ช่องโหว่นี้ส่งผลกระทบเฉพาะการใช้งานที่กำหนดค่าให้ใช้โปรโตคอลสำหรับการแลกเปลี่ยนคีย์ IKEv1 ที่เลิกใช้แล้ว กับ security gateways ที่ยอมรับ Remote Access clients แบบเดิม และไม่ต้องการ certificate ที่ตรวจสอบ machine ที่มีการเชื่อมต่อ
การโจมตีเริ่มขึ้นในวันที่ 7 พฤษภาคม และทวีความรุนแรงขึ้นอย่างรวดเร็วในช่วงต้นเดือนมิถุนายน และส่งผลกระทบต่อองค์กรเพียงไม่กี่สิบแห่งทั่วโลก โดยอย่างน้อยหนึ่งเหตุการณ์มีความเชื่อมโยงกับการปฏิบัติการของกลุ่ม Qilin Ransomware
บริษัทระบุว่า "นักวิจัยของ Check Point ได้ตรวจพบการโจมตีช่องโหว่ CVE-2026-50751 ซึ่งเป็นช่องโหว่ authentication bypass ระดับ Critical ที่ส่งผลกระทบต่อการใช้งาน Check Point Remote Access VPN และ Mobile Access ที่กำหนดค่าให้ใช้โปรโตคอลการแลกเปลี่ยนคีย์ IKEv1 ที่ล้าสมัย"
"จนถึงปัจจุบัน พบการโจมตีอยู่เพียงไม่กี่สิบองค์กรเป้าหมายทั่วโลก หนึ่งในนั้นเกี่ยวข้องกับกิจกรรมหลังการเจาะระบบที่ได้รับการยืนยันแล้วว่า เชื่อมโยงกับกลุ่มพันธมิตรของ Qilin Ransomware ลูกค้าที่ใช้โปรโตคอลการแลกเปลี่ยนคีย์ IKEv1 ควรติดตั้งการอัปเดตความปลอดภัยทันที"
Check Point ยังได้แชร์มาตรการลดผลกระทบสำหรับลูกค้าที่ไม่สามารถแก้ไขระบบที่มีช่องโหว่ได้ทันที โดยแนะนำให้ยกเลิกการรองรับซอฟต์แวร์ฝั่งไคลเอนต์รุ่นเก่า กำหนดคุณสมบัติสำหรับการตรวจสอบสิทธิ์ (Global Properties) ในการ VPN เป็น IKEv2 เท่านั้น บังคับตั้งค่าการตรวจสอบสิทธิ์ด้วย Machine Certificate รวมถึงเปิดใช้งาน IPS และดาวน์โหลด Signatures มาใช้งาน
ขณะตรวจสอบช่องโหว่ CVE-2026-50751 นั้นทาง Check Point ได้พบช่องโหว่ที่สองที่มีหมายเลข CVE-2026-50752 ที่ส่งผลกระทบต่อ certificate validation ในการแลกเปลี่ยนคีย์ IKEv1 ที่ล้าสมัย ซึ่งสามารถใช้ประโยชน์ในการโจมตีแบบ man-in-the-middle บน VPN site-to-site ได้
แม้ว่า Check Point ยังไม่พบหลักฐานการโจมตีจากช่องโหว่ CVE-2026-50752 แต่ทางบริษัทได้แนะนำให้ลูกค้าดำเนินการอัปเดตระบบเพื่อลดความเสี่ยงที่อาจเกิดขึ้น
สำหรับกลุ่ม Qilin Ransomware ถูกพบครั้งแรกเมื่อเดือนสิงหาคม 2022 ในรูปแบบ Ransomware-as-a-Service หรือ RaaS ภายใต้ชื่อ "Agenda" และนับตั้งแต่นั้นมา กลุ่มนี้ได้อ้างว่าเป็นผู้อยู่เบื้องหลังในการโจมตีเหยื่อ บนเว็บไซต์ที่เผยแพร่ข้อมูลรั่วไหลไปแล้วกว่า 400 ราย
รายชื่อของเหยื่อของกลุ่มดังกล่าวนี้ ยังรวมถึงองค์กรระดับโลกที่มีชื่อเสียง เช่น Yangfeng บริษัทด้านยานยนต์, Nissan, Asahi บริษัทเบียร์ของญี่ปุ่น, Lee Enterprises บริษัทด้านธุรกิจสิ่งพิมพ์, Synnovis ผู้ให้บริการด้านพยาธิวิทยา และ Court Services Victoria หน่วยงานบริการศาลของประเทศออสเตรเลีย
ที่มา: bleepingcomputer.
Google ออกแพตช์แก้ไขช่องโหว่ Zero-day ใหม่บน Chrome ที่กำลังถูกนำไปใช้ในการโจมตีจริง
Google ได้ออกแพตช์อัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day บน Chrome อีกหนึ่งรายการ ที่พบว่ากำลังถูกนำไปใช้ในการโจมตีจริง ซึ่งถือเป็นช่องโหว่ Zero-day รายการที่ 5 ที่ได้รับการแก้ไขตั้งแต่ช่วงต้นปีที่ผ่านมา (more…)
Microsoft ออกแพตช์อัปเดตประจำเดือนมิถุนายน 2026 แก้ไขช่องโหว่ Zero-day 3 รายการ และช่องโหว่อื่น ๆ อีก 200 รายการ
Patch Tuesday ประจำเดือนมิถุนายน 2026 ของ Microsoft มีการอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ต่าง ๆ จำนวน 200 รายการ และช่องโหว่ Zero-day ที่ถูกเปิดเผยออกสู่สาธารณะอีก 3 รายการ (more…)
Cisco แจ้งเตือนช่องโหว่ Zero-day ในระบบ SD-WAN ที่กำลังถูกนำไปใช้ในการโจมตี
เมื่อวันพฤหัสบดีที่ผ่านมา Cisco ได้ออกแจ้งเตือนเกี่ยวกับช่องโหว่ Zero-day ระดับความรุนแรงสูงที่ยังไม่ได้รับการแก้ไขใน Cisco Catalyst SD-WAN Manager (CVE-2026-20245) ซึ่งกำลังถูกใช้ในการโจมตีเพื่อยกระดับสิทธิ์เป็นระดับ Root (Root Privilege) ได้
(more…)
Acer เร่งแก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูงสุดในเราเตอร์ Wave 7
Acer ยืนยันการพบช่องโหว่ Zero-Day ระดับ Critical 2 รายการในเราเตอร์ Mesh รุ่น Wave 7 พร้อมระบุว่ากำลังเร่งดำเนินการออกมาตรการแก้ไข
ตามประกาศด้านความปลอดภัยที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมา ช่องโหว่ทั้งสองรายการดังกล่าว ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัย Gergo Pap โดยส่งผลกระทบต่อเราเตอร์ Wave 7 ที่ใช้เฟิร์มแวร์เวอร์ชัน T7c_GBL_1.01.000055 หรือเก่ากว่า
ช่องโหว่ Zero-Day รายการแรก เป็นช่องโหว่ Broken Access Control และมีหมายเลข CVE-2026-49200 โดยอาจทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถเข้าถึงข้อมูล Credentials ที่ถูกจัดเก็บไว้ในรูปแบบ Plaintext ภายในไฟล์ Log Archives ได้จากระยะไกล
Acer อธิบายว่า “ไฟล์ acer_cgi.
พบการโจมตีผ่านช่องโหว่ Zero-Day บน Android เพื่อเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์
มีการตรวจพบการโจมตีโดยใช้ประโยชน์จากช่องโหว่ Zero-Day ระดับ Critical บน Android ในการโจมตีแบบระบุเป้าหมาย ซึ่งช่วยให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ที่ได้รับผลกระทบได้อย่างเกือบสมบูรณ์ โดยที่ผู้ใช้ไม่ต้องมีการโต้ตอบใด ๆ กับระบบเลย (Zero-Click)
ช่องโหว่ดังกล่าว ซึ่งมีหมายเลข CVE-2025-48595 ได้รับการเน้นย้ำในรายงานความปลอดภัย Android ประจำเดือนมิถุนายน 2026 โดยทาง Google ได้ยืนยันว่าเริ่มพบการนำช่องโหว่นี้ไปใช้โจมตีจริงในวงจำกัดแล้ว ซึ่งช่องโหว่นี้อยู่ใน Component ของ Android Framework และจัดเป็นช่องโหว่การยกระดับสิทธิ์ (EoP) ที่มีระดับความรุนแรงสูง
ภายใต้เงื่อนไขบางประการ ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้จากระยะไกล เพื่อยกระดับสิทธิ์ของตนเอง โดยไม่จำเป็นต้องใช้สิทธิ์ในการรันโค้ดเพิ่มเติมแต่อย่างใด ซึ่งช่วยเพิ่มระดับความเสี่ยงอย่างมาก เนื่องจากหากทำการโจมตีสำเร็จ ผู้โจมตีสามารถ bypass ระบบป้องกันที่เป็นแกนหลักความปลอดภัย และเข้าถึงทรัพยากรที่สำคัญของระบบได้
นักวิจัยด้านความปลอดภัยระบุว่า ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ที่ใช้ระบบปฏิบัติการ Android เวอร์ชัน 14, 15, 16 และ 16 QPR2 แม้ว่าจะถูกจัดอยู่ในกลุ่มที่มีความรุนแรงระดับสูง แต่คุณลักษณะในการโจมตีของช่องโหว่นี้ โดยเฉพาะการที่ผู้ใช้ไม่ต้องมีการโต้ตอบใด ๆ กับระบบเลย ทำให้ช่องโหว่นี้มีความอันตรายเป็นพิเศษในการโจมตีแบบระบุเป้าหมาย
พฤติกรรมการโจมตีในสถานการณ์จริง
ในสถานการณ์การโจมตีจริง ช่องโหว่ดังกล่าว มักจะถูกนำมาเชื่อมโยงกับช่องโหว่อื่น ๆ เพื่อให้สามารถยึดครอง และควบคุมอุปกรณ์ได้อย่างสมบูรณ์ ซึ่งรวมถึงการลักลอบขโมยข้อมูล การสอดแนม และการแฝงตัวเพื่อเข้าถึงระบบอย่างถาวร
Google ระบุว่า ปัญหาร้ายแรงที่สุดในรายงานความปลอดภัยฉบับนี้อาจนำไปสู่การยกระดับสิทธิ์จากระยะไกล โดยที่ผู้ใช้ไม่ต้องมีส่วนร่วมใด ๆ เลย พร้อมทั้งเน้นย้ำถึงผลกระทบที่อาจเกิดขึ้นหากมาตรการลดผลกระทบในระดับแพลตฟอร์มถูกละเลย
ระบบป้องกันและคำแนะนำในการรับมือ
แม้ว่า Android จะมีการวางระบบป้องกันไว้หลายชั้น ซึ่งรวมถึงการจำกัดการเข้าถึงข้อมูล การควบคุมสิทธิ์ และการป้องกันขณะทำงาน แต่ผู้โจมตีที่มีความเชี่ยวชาญระดับสูงก็ยังสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้ภายใต้เงื่อนไขเฉพาะ โดยเฉพาะอย่างยิ่งบนอุปกรณ์ที่ยังไม่ได้รับการอัปเดตแพตช์ หรือเป็นเวอร์ชันเก่า
ทางบริษัทยืนยันว่า ได้แจ้งเตือนเกี่ยวกับช่องโหว่ดังกล่าวให้แก่พันธมิตรของ Android ทราบล่วงหน้าอย่างน้อยหนึ่งเดือนก่อนที่จะมีการเปิดเผยข้อมูลสู่สาธารณะ เพื่อให้ผู้ผลิตอุปกรณ์มีเวลาในการเตรียมตัว และเผยแพร่แพตช์อัปเดต
การอัปเดตความปลอดภัยที่รวมอยู่ในแพตช์ 2026-06-05 สามารถแก้ไขช่องโหว่ CVE-2025-48595 และช่องโหว่ที่เกี่ยวข้องทั้งหมดแล้ว โดยคาดว่าจะมีการปล่อยแพตช์ซอร์สโค้ดไปยัง Android Open Source Project (AOSP) repository ไม่นานหลังจากรายงานความปลอดภัยนี้ถูกเผยแพร่
Google Play Protect ยังคงมีบทบาทสำคัญในการช่วยลดความเสี่ยงจากความพยายามโจมตี โดยฟีเจอร์นี้จะถูกเปิดใช้งานไว้เป็นค่าเริ่มต้นบนอุปกรณ์ที่รองรับบริการ Google Mobile Services (GMS) ซึ่งจะคอยสแกนแอปพลิเคชันอย่างต่อเนื่อง และแจ้งเตือนผู้ใช้หากพบแอปพลิเคชันที่อาจเป็นอันตราย
อย่างไรก็ตาม ผู้ใช้งานที่ทำการ Sideload App หรือติดตั้งแอปพลิเคชันจากแหล่งภายนอกที่ไม่ใช่ช่องทางหลัก ยังคงมีความเสี่ยงสูงกว่า เนื่องจากช่องทางเหล่านี้มักถูกผู้โจมตีใช้เป็นเครื่องมือในการส่งต่อโค้ดโจมตี
ทีมรักษาความปลอดภัยของ Android ได้เรียกร้องให้ผู้ใช้ และองค์กรต่าง ๆ ดำเนินการอัปเดตอุปกรณ์ของตนให้เป็นเวอร์ชันแพตช์ความปลอดภัยล่าสุดโดยทันที
การอัปเดตแพตช์ที่ล่าช้า ยังคงเป็นหนึ่งในปัจจัยหลักที่ทำให้ผู้โจมตีสามารถนำช่องโหว่ที่รับรู้กันทั่วไป มาพัฒนาเป็นเครื่องมือโจมตี ซึ่งกรณีการโจมตีแบบ Zero-Day นี้ ยังช่วยเน้นย้ำถึงแนวโน้มในภาพรวมของภัยคุกคามบนมือถือ โดยผู้โจมตีมักมุ่งเป้าไปที่ Component หลักของระบบปฏิบัติการมากขึ้น เพื่อสร้างผลกระทบให้รุนแรงที่สุด
ดังนั้น ในขณะที่เทคนิคการโจมตีมีการพัฒนาอยู่ตลอดเวลา การอัปเดตแพตช์อย่างทันท่วงที และการวางระบบป้องกันความปลอดภัยหลายชั้น ยังคงเป็นสิ่งจำเป็นอย่างยิ่งในการลดความเสี่ยงจากการถูกโจมตี และป้องกันไม่ให้อุปกรณ์ถูกควบคุม หรือยึดระบบได้สำเร็จ
ที่มา : cybersecuritynews.
