เมื่อวันพฤหัสบดีที่ผ่านมา Cisco ได้ออกแจ้งเตือนเกี่ยวกับช่องโหว่ Zero-day ระดับความรุนแรงสูงที่ยังไม่ได้รับการแก้ไขใน Cisco Catalyst SD-WAN Manager (CVE-2026-20245) ซึ่งกำลังถูกใช้ในการโจมตีเพื่อยกระดับสิทธิ์เป็นระดับ Root (Root Privilege) ได้
(more…)
Acer ยืนยันการพบช่องโหว่ Zero-Day ระดับ Critical 2 รายการในเราเตอร์ Mesh รุ่น Wave 7 พร้อมระบุว่ากำลังเร่งดำเนินการออกมาตรการแก้ไข
ตามประกาศด้านความปลอดภัยที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมา ช่องโหว่ทั้งสองรายการดังกล่าว ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัย Gergo Pap โดยส่งผลกระทบต่อเราเตอร์ Wave 7 ที่ใช้เฟิร์มแวร์เวอร์ชัน T7c_GBL_1.01.000055 หรือเก่ากว่า
ช่องโหว่ Zero-Day รายการแรก เป็นช่องโหว่ Broken Access Control และมีหมายเลข CVE-2026-49200 โดยอาจทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถเข้าถึงข้อมูล Credentials ที่ถูกจัดเก็บไว้ในรูปแบบ Plaintext ภายในไฟล์ Log Archives ได้จากระยะไกล
Acer อธิบายว่า “ไฟล์ acer_cgi.
มีการตรวจพบการโจมตีโดยใช้ประโยชน์จากช่องโหว่ Zero-Day ระดับ Critical บน Android ในการโจมตีแบบระบุเป้าหมาย ซึ่งช่วยให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ที่ได้รับผลกระทบได้อย่างเกือบสมบูรณ์ โดยที่ผู้ใช้ไม่ต้องมีการโต้ตอบใด ๆ กับระบบเลย (Zero-Click)
ช่องโหว่ดังกล่าว ซึ่งมีหมายเลข CVE-2025-48595 ได้รับการเน้นย้ำในรายงานความปลอดภัย Android ประจำเดือนมิถุนายน 2026 โดยทาง Google ได้ยืนยันว่าเริ่มพบการนำช่องโหว่นี้ไปใช้โจมตีจริงในวงจำกัดแล้ว ซึ่งช่องโหว่นี้อยู่ใน Component ของ Android Framework และจัดเป็นช่องโหว่การยกระดับสิทธิ์ (EoP) ที่มีระดับความรุนแรงสูง
ภายใต้เงื่อนไขบางประการ ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้จากระยะไกล เพื่อยกระดับสิทธิ์ของตนเอง โดยไม่จำเป็นต้องใช้สิทธิ์ในการรันโค้ดเพิ่มเติมแต่อย่างใด ซึ่งช่วยเพิ่มระดับความเสี่ยงอย่างมาก เนื่องจากหากทำการโจมตีสำเร็จ ผู้โจมตีสามารถ bypass ระบบป้องกันที่เป็นแกนหลักความปลอดภัย และเข้าถึงทรัพยากรที่สำคัญของระบบได้
นักวิจัยด้านความปลอดภัยระบุว่า ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ที่ใช้ระบบปฏิบัติการ Android เวอร์ชัน 14, 15, 16 และ 16 QPR2 แม้ว่าจะถูกจัดอยู่ในกลุ่มที่มีความรุนแรงระดับสูง แต่คุณลักษณะในการโจมตีของช่องโหว่นี้ โดยเฉพาะการที่ผู้ใช้ไม่ต้องมีการโต้ตอบใด ๆ กับระบบเลย ทำให้ช่องโหว่นี้มีความอันตรายเป็นพิเศษในการโจมตีแบบระบุเป้าหมาย
พฤติกรรมการโจมตีในสถานการณ์จริง
ในสถานการณ์การโจมตีจริง ช่องโหว่ดังกล่าว มักจะถูกนำมาเชื่อมโยงกับช่องโหว่อื่น ๆ เพื่อให้สามารถยึดครอง และควบคุมอุปกรณ์ได้อย่างสมบูรณ์ ซึ่งรวมถึงการลักลอบขโมยข้อมูล การสอดแนม และการแฝงตัวเพื่อเข้าถึงระบบอย่างถาวร
Google ระบุว่า ปัญหาร้ายแรงที่สุดในรายงานความปลอดภัยฉบับนี้อาจนำไปสู่การยกระดับสิทธิ์จากระยะไกล โดยที่ผู้ใช้ไม่ต้องมีส่วนร่วมใด ๆ เลย พร้อมทั้งเน้นย้ำถึงผลกระทบที่อาจเกิดขึ้นหากมาตรการลดผลกระทบในระดับแพลตฟอร์มถูกละเลย
ระบบป้องกันและคำแนะนำในการรับมือ
แม้ว่า Android จะมีการวางระบบป้องกันไว้หลายชั้น ซึ่งรวมถึงการจำกัดการเข้าถึงข้อมูล การควบคุมสิทธิ์ และการป้องกันขณะทำงาน แต่ผู้โจมตีที่มีความเชี่ยวชาญระดับสูงก็ยังสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้ภายใต้เงื่อนไขเฉพาะ โดยเฉพาะอย่างยิ่งบนอุปกรณ์ที่ยังไม่ได้รับการอัปเดตแพตช์ หรือเป็นเวอร์ชันเก่า
ทางบริษัทยืนยันว่า ได้แจ้งเตือนเกี่ยวกับช่องโหว่ดังกล่าวให้แก่พันธมิตรของ Android ทราบล่วงหน้าอย่างน้อยหนึ่งเดือนก่อนที่จะมีการเปิดเผยข้อมูลสู่สาธารณะ เพื่อให้ผู้ผลิตอุปกรณ์มีเวลาในการเตรียมตัว และเผยแพร่แพตช์อัปเดต
การอัปเดตความปลอดภัยที่รวมอยู่ในแพตช์ 2026-06-05 สามารถแก้ไขช่องโหว่ CVE-2025-48595 และช่องโหว่ที่เกี่ยวข้องทั้งหมดแล้ว โดยคาดว่าจะมีการปล่อยแพตช์ซอร์สโค้ดไปยัง Android Open Source Project (AOSP) repository ไม่นานหลังจากรายงานความปลอดภัยนี้ถูกเผยแพร่
Google Play Protect ยังคงมีบทบาทสำคัญในการช่วยลดความเสี่ยงจากความพยายามโจมตี โดยฟีเจอร์นี้จะถูกเปิดใช้งานไว้เป็นค่าเริ่มต้นบนอุปกรณ์ที่รองรับบริการ Google Mobile Services (GMS) ซึ่งจะคอยสแกนแอปพลิเคชันอย่างต่อเนื่อง และแจ้งเตือนผู้ใช้หากพบแอปพลิเคชันที่อาจเป็นอันตราย
อย่างไรก็ตาม ผู้ใช้งานที่ทำการ Sideload App หรือติดตั้งแอปพลิเคชันจากแหล่งภายนอกที่ไม่ใช่ช่องทางหลัก ยังคงมีความเสี่ยงสูงกว่า เนื่องจากช่องทางเหล่านี้มักถูกผู้โจมตีใช้เป็นเครื่องมือในการส่งต่อโค้ดโจมตี
ทีมรักษาความปลอดภัยของ Android ได้เรียกร้องให้ผู้ใช้ และองค์กรต่าง ๆ ดำเนินการอัปเดตอุปกรณ์ของตนให้เป็นเวอร์ชันแพตช์ความปลอดภัยล่าสุดโดยทันที
การอัปเดตแพตช์ที่ล่าช้า ยังคงเป็นหนึ่งในปัจจัยหลักที่ทำให้ผู้โจมตีสามารถนำช่องโหว่ที่รับรู้กันทั่วไป มาพัฒนาเป็นเครื่องมือโจมตี ซึ่งกรณีการโจมตีแบบ Zero-Day นี้ ยังช่วยเน้นย้ำถึงแนวโน้มในภาพรวมของภัยคุกคามบนมือถือ โดยผู้โจมตีมักมุ่งเป้าไปที่ Component หลักของระบบปฏิบัติการมากขึ้น เพื่อสร้างผลกระทบให้รุนแรงที่สุด
ดังนั้น ในขณะที่เทคนิคการโจมตีมีการพัฒนาอยู่ตลอดเวลา การอัปเดตแพตช์อย่างทันท่วงที และการวางระบบป้องกันความปลอดภัยหลายชั้น ยังคงเป็นสิ่งจำเป็นอย่างยิ่งในการลดความเสี่ยงจากการถูกโจมตี และป้องกันไม่ให้อุปกรณ์ถูกควบคุม หรือยึดระบบได้สำเร็จ
ที่มา : cybersecuritynews.
จากรายงานผลการตรวจสอบ และรับมือเหตุการณ์ของ Mandiant พบว่า มีการใช้ช่องโหว่ Zero-Day ที่เพิ่งเปิดเผยใหม่ในระบบ Learning Management System (LMS) ของ KnowledgeDeliver ไปใช้ในการโจมตีจริงเพื่อติดตั้ง Web shell แบบ In-Memory ที่ชื่อว่า BLUEBEAM
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-5426 ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน (Remote Code Execution) และส่งผลกระทบต่อระบบที่มีการตั้งค่า ASP.NET ตามค่า Default ก่อนวันที่ 24 กุมภาพันธ์ 2026
KnowledgeDeliver ซึ่งพัฒนาโดยบริษัท Digital Knowledge ในประเทศญี่ปุ่น เป็นระบบที่ถูกใช้งานกันอย่างแพร่หลายทั้งในระดับองค์กร และสถาบันการศึกษา การสืบสวนของ Mandiant ต่อเหตุการณ์การโจมตีในช่วงปลายปี 2025 เผยให้เห็นว่าสาเหตุของการถูกโจมตีนั้นมาจากแนวทางปฏิบัติด้านการเข้ารหัสที่ไม่ปลอดภัย โดยเฉพาะการนำ Machine Key ของ ASP.NET ที่เหมือนกันมาใช้ซ้ำในระบบของลูกค้าหลายราย
Keys เหล่านี้มีหน้าที่ในการรักษาความปลอดภัยของข้อมูล ViewState ซึ่งเป็นกลไกที่ใช้สำหรับรักษาสถานะของหน้าเว็บเพจในระหว่างที่มีการส่ง Request ในแอปพลิเคชัน ASP.NET
ช่องโหว่ Zero-Day ของ KnowledgeDeliver LMS ถูกนำไปใช้ในการโจมตี
เนื่องจากค่า machineKey ถูกฝังไว้แบบ Hardcoded และถูกใช้งานร่วมกัน ผู้โจมตีที่ได้ Keys เหล่านี้จากเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่ง จึงสามารถสร้าง Payload ที่เป็นอันตรายของ ViewState และนำไปใช้ซ้ำเพื่อโจมตีเซิร์ฟเวอร์อื่น ๆ ที่ใช้งาน Keys เดียวกันได้
ด้วยการสร้าง Payload แบบ Serialized และส่งผ่านพารามิเตอร์ __VIEWSTATE ใน HTTP Request ผู้โจมตีสามารถบังคับให้เซิร์ฟเวอร์ทำการ Deserialize โดยใช้ข้อมูลที่ไม่น่าเชื่อถือ ซึ่งส่งผลให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ได้สำเร็จ
รูปแบบการโจมตีแบบ Attack chain นี้ คล้ายคลึงอย่างมากกับการโจมตีแบบ ViewState Deserialization ที่เคยมีรายงานก่อนหน้านี้บนแพลตฟอร์มอย่าง Sitecore รวมถึงแคมเปญการโจมตีก่อนหน้าที่ Microsoft เคยเน้นย้ำซึ่งเกี่ยวข้องกับการรั่วไหลของ Machine Key
หลังจากที่โจมตีเข้าสู่ระบบในเบื้องต้นได้สำเร็จ ผู้โจมตีได้ทำการฝัง BLUEBEAM ซึ่งเป็น Web shell ที่ทำงานบน .NET (หรือที่รู้จักกันในชื่อ Godzilla) แตกต่างจาก Web shell แบบเดิมที่ต้องอาศัยไฟล์ที่จัดเก็บไว้ใน Disk เพราะ BLUEBEAM จะทำงานในหน่วยความจำทั้งหมดภายใต้โปรเซส IIS worker (w3wp.
Trend Micro บริษัทซอฟต์แวร์ด้านความปลอดภัยทางไซเบอร์ของญี่ปุ่น ออกมาแจ้งเตือนช่องโหว่ Zero-day ใน Apex One ที่กำลังถูกนำมาใช้ในการโจมตีบน Windows
Apex One คือ enterprise-grade endpoint security platform ของ Trend Micro ที่สามารถป้องกันภัยคุกคามด้านความปลอดภัยทางไซเบอร์หลากหลายรูปแบบ รวมถึง malware, ransomware, fileless attacks และการโจมตีแบบ web-based (more…)
มีการเปิดเผยช่องโหว่ Zero-day Remote Code Execution รายการใหม่ ที่ถูกตั้งชื่อว่า nginx-poolslip โดยพบในซอฟต์แวร์เว็บเซิร์ฟเวอร์ที่ถูกใช้งานอย่างแพร่หลายอย่าง NGINX เวอร์ชัน 1.31.0 ซึ่งเป็น Stable release ล่าสุด
(more…)
Microsoft ได้เผยแพร่วิธีลดผลกระทบสำหรับ YellowKey ซึ่งเป็นช่องโหว่ Zero-Day ของ Windows BitLocker ที่เพิ่งถูกเปิดเผยเมื่อไม่นานมานี้ โดยช่องโหว่ดังกล่าวทำให้ผู้ไม่หวังดีสามารถเข้าถึงไดรฟ์ที่ถูก protected ไว้ได้ (more…)
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่โค้ดตัวอย่างการโจมตี (PoC) ของช่องโหว่ Zero-Day ใน Windows ที่เรียกว่า "MiniPlasma" ซึ่งทำให้ Hacker สามารถเข้าถึงสิทธิ์ระดับ SYSTEM บนระบบ Windows ที่อัปเดตแพตซ์แล้วได้ (more…)
ช่องโหว่ Zero-day ระดับความรุนแรงสูงสุดใน Cisco Catalyst SD-WAN Controller กำลังถูกนำไปใช้โจมตีจริงในปัจจุบัน ซึ่งอาจทำให้ผู้โจมตีจากภายนอก ที่ไม่ต้องผ่านการยืนยันตัวตน สามารถ Bypass การ Authentication ได้ และสามารถเข้ายึดสิทธิ์การควบคุมระดับผู้ดูแลระบบ (Admin) ใน Network Infrastructure ขององค์กรได้ (more…)
นักวิจัยจาก Google Threat Intelligence Group (GTIG) เปิดเผยรายงานสำคัญระบุว่า มีการตรวจพบการใช้ zero-day exploit ที่มุ่งเป้าไปที่เครื่องมือการดูแลเว็บแบบโอเพ่นซอร์สยอดนิยม โดยวิเคราะห์ว่าโค้ดที่ใช้โจมตีนั้น น่าจะถูกสร้างขึ้นโดย AI (more…)