สำนักงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้สั่งให้หน่วยงานของรัฐบาลกลางแก้ไขช่องโหว่ด้านความปลอดภัยของ iOS จำนวน 3 รายการ ซึ่งตกเป็นเป้าหมายในการโจมตีเพื่อขโมยข้อมูลคริปโตเคอร์เรนซี โดยมีการใช้เครื่องมือโจมตี Coruna
จากข้อมูลของนักวิจัยจาก Google Threat Intelligence Group (GTIG) ได้เปิดเผยเมื่อต้นสัปดาห์ที่ผ่านมา เครื่องมือ Coruna ใช้ exploit ที่มีความซับซ้อนหลายขั้นตอนมุ่งเป้าไปที่ช่องโหว่ของ iOS ถึง 23 รายการ ซึ่งหลายรายการถูกนำมาใช้ในการโจมตีแบบ Zero-day (more…)
มีรายงานว่าผู้ไม่หวังดีกำลังประกาศขายช่องโหว่ Zero-day Exploit สำหรับการยกระดับสิทธิ์บน Windows Remote Desktop Services หมายเลข CVE-2026-21533 ในราคาที่สูงถึง 220,000 ดอลลาร์สหรัฐบน Dark web โดยช่องโหว่นี้มุ่งเป้าไปที่การจัดการสิทธิ์ที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถควบคุมระบบในระดับผู้ดูแลระบบได้
ในคอมมูนิตี้ Underground Cybersecurity พบรายการประกาศขายที่มีความเสี่ยงสูงบน Dark web โดยผู้ใช้งานชื่อว่า Kamirmassabi ซึ่งเพิ่งลงทะเบียนบัญชีเมื่อวันที่ 3 มีนาคม 2026 ได้ทำการโพสต์ประมูล Exploit สำหรับช่องโหว่ CVE-2026-21533 ในหมวดหมู่ [Virology] – malware, exploits, bundles, AZ, crypt (more…)
Cisco ได้ระบุว่า ช่องโหว่ด้านความปลอดภัย 2 รายการใน Catalyst SD-WAN Manager กำลังถูกผู้ไม่หวังดีใช้โจมตีอยู่ในขณะนี้ และขอให้ผู้ดูแลระบบรีบทำการอัปเกรดอุปกรณ์ที่มีความเสี่ยงต่อช่องโหว่นี้
Catalyst SD-WAN Manager เป็นซอฟแวร์บริหารจัดการเครือข่ายที่ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบ และจัดการอุปกรณ์ Catalyst SD-WAN ได้มากถึง 6,000 เครื่อง ผ่านหน้า Dashboard กลางเพียงแห่งเดียว (more…)
Google Threat Intelligence Group (GTIG) ได้ติดตามช่องโหว่ zero-day จำนวน 90 รายการ ที่ถูกนำมาใช้ในการโจมตีจริงตลอดปี 2025 โดยเกือบครึ่งหนึ่งของช่องโหว่เหล่านี้พบในซอฟต์แวร์ และอุปกรณ์สำหรับองค์กร
ตัวเลขดังกล่าวเพิ่มขึ้น 15% เมื่อเทียบกับปี 2024 ซึ่งมีการใช้ช่องโหว่ zero-day ในการโจมตี 78 รายการ แต่ยังคงต่ำกว่าสถิติสูงสุด 100 รายการที่บันทึกไว้ในปี 2023 (more…)
CISA เปิดเผยรายละเอียดใหม่เกี่ยวกับมัลแวร์ RESURGE ซึ่งเป็นโปรแกรมอันตรายที่แฝงตัวเข้ามา และกำลังอาจถูกใช้ในการโจมตีแบบ Zero-day โดยอาศัยช่องโหว่ CVE-2025-0282 เพื่อโจมตีระบบบนอุปกรณ์ Ivanti Connect Secure
ข้อมูลที่อัปเดตนี้เน้นไปที่ความสามารถของมัลแวร์ในการแฝงตัวอยู่บนอุปกรณ์โดยไม่ถูกตรวจพบ รวมถึงเทคนิคการหลบหลีก และการยืนยันตัวตนในระดับเครือข่ายที่มีความซับซ้อน ซึ่งจะช่วยให้มันสามารถสื่อสารกับผู้โจมตีได้อย่างลับ ๆ
ก่อนหน้านี้ CISA ได้รายงานข้อมูลของมัลแวร์ตัวนี้ไว้เมื่อวันที่ 28 มีนาคมปีที่แล้ว โดยระบุว่ามันสามารถแฝงตัวอยู่ได้แม้จะมีการรีบูตเครื่อง, สามารถสร้าง webshells เพื่อขโมยข้อมูล Credentials, สร้างบัญชีผู้ใช้ใหม่, รีเซ็ตรหัสผ่าน และยกระดับสิทธิ์การเข้าถึงระบบได้
ตามรายงานของนักวิจัยจากบริษัท Mandiant ระบุว่า ช่องโหว่ร้ายแรงระดับ Critical ดังกล่าวถูกติดตามด้วยหมายเลข CVE-2025-0282 และกำลังถูกนำมาใช้ในการโจมตีแบบ Zero-day ตั้งแต่ช่วงกลางเดือนธันวาคม 2024 โดยกลุ่มผู้ไม่หวังดีที่มีความเชื่อมโยงกับจีน ซึ่งทางบริษัทติดตามพฤติกรรมเป็นการภายในภายใต้ชื่อรหัส UNC5221
การซ่อนตัวในระดับเครือข่าย
ประกาศที่อัปเดตของ CISA ให้ข้อมูลทางเทคนิคเพิ่มเติมเกี่ยวกับ RESURGE ซึ่งเป็นไฟล์ Linux Shared Object แบบ 32 bit ที่เป็นอันตรายชื่อว่า libdsupgrade.
เมื่อวันที่ 26 มกราคม 2026 Microsoft ได้เปิดเผยการค้นพบช่องโหว่ Zero-day ที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์ Office โดยมีหมายเลข CVE-2026-21509 ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution) และนำไปสู่การเข้าควบคุมระบบทั้งหมดได้อย่างสมบูรณ์ (more…)
Fortinet ออกมายืนยันการค้นพบช่องโหว่ระดับ critical ตัวใหม่ในระบบ FortiCloud Single Sign-On (SSO) ซึ่งกำลังถูกนำไปใช้ในการโจมตีจริง โดยช่องโหว่นี้มีหมายเลข CVE-2026-24858 โดยเป็นช่องโหว่ authentication bypass และบริษัทระบุว่า ได้ลดผลกระทบจากการโจมตีแบบ zero-day ดังกล่าวแล้ว ด้วยการบล็อกการเชื่อมต่อ FortiCloud SSO จากอุปกรณ์ที่ใช้เฟิร์มแวร์เวอร์ชันที่มีช่องโหว่ (more…)
Microsoft ได้ออกอัปเดตแพตช์ความปลอดภัยฉุกเฉินนอกรอบ เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงใน Microsoft Office ที่กำลังถูกนำไปใช้ในการโจมตี (more…)
กลุ่มผู้โจมตีรายหนึ่ง ซึ่งคาดว่ามีความเชื่อมโยงกับประเทศจีน ถูกพบว่าดำเนินการโจมตีที่มุ่งเป้าไปยังระบบโครงสร้างพื้นฐานที่สำคัญในอเมริกาเหนือมาอย่างต่อเนื่อง อย่างน้อยตั้งแต่ปีที่ผ่านมา (more…)
Palo Alto Networks ออกแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง ที่อาจทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถหยุดการทำงานของ firewall ผ่านการโจมตีแบบ Denial-of-Service (DoS) ได้
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-0227 โดยส่งผลกระทบต่อ Next-Generation Firewall (ที่ทำงานบนระบบปฏิบัติการ PAN-OS เวอร์ชัน 10.1 หรือใหม่กว่า) และมีการกำหนดค่า Prisma Access ของ Palo Alto Networks เมื่อมีการเปิดใช้งาน gateway หรือ portal ของ GlobalProtect
ทางบริษัทระบุว่า Prisma Access instances บนคลาวด์ส่วนใหญ่ได้รับการแพตช์แก้ไขแล้ว ส่วนระบบที่เหลือมีกำหนดการที่จะได้รับการอัปเกรดเพื่อความปลอดภัยแล้วเช่นกัน
Palo Alto Networks อธิบายว่า "ช่องโหว่ในซอฟต์แวร์ PAN-OS ของ Palo Alto Networks เอื้อประโยชน์ให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถทำให้ firewall เกิดสภาวะ denial of service (DoS) ได้ ซึ่งหากมีความพยายามโจมตีช่องโหว่นี้ซ้ำ ๆ จะส่งผลให้ firewall เข้าสู่ Maintenance mode ทันที"
"บริษัทได้ดำเนินการอัปเกรด Prisma Access ให้กับลูกค้าส่วนใหญ่เสร็จสิ้นแล้ว ยกเว้นเพียงส่วนน้อยที่ยังอยู่ระหว่างดำเนินการเนื่องจากติดปัญหาเรื่องตารางเวลาการอัปเกรดที่ไม่ตรงกัน สำหรับลูกค้าที่เหลือจะได้รับการจัดตารางเวลาเพื่ออัปเกรดโดยเร็วที่สุด ผ่านกระบวนการมาตรฐานของบริษัท"
Shadowserver ซึ่งเป็นหน่วยงานเฝ้าระวังความปลอดภัยทางอินเทอร์เน็ตตรวจพบว่า ขณะนี้มี firewall ของ Palo Alto Networks เกือบ 6,000 ตัวที่เปิดให้เข้าถึงได้ผ่านทางออนไลน์ อย่างไรก็ตาม ยังไม่มีข้อมูลแน่ชัดว่ามีจำนวนเท่าใดที่มีการตั้งค่าที่เสี่ยงต่อช่องโหว่ หรือได้รับการแพตช์แก้ไขแล้ว
ในขณะที่มีการเผยแพร่คำแนะนำด้านความปลอดภัยเมื่อวันที่ 14 มกราคม 2026 ที่ผ่านมา Palo Alto ระบุว่า ทางบริษัทยังไม่พบหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแต่อย่างใด
Palo Alto Networks ได้ปล่อยอัปเดตความปลอดภัยสำหรับทุกเวอร์ชันที่ได้รับผลกระทบแล้ว และขอแนะนำให้ผู้ดูแลระบบรีบทำการอัปเกรดเป็นเวอร์ชันล่าสุดเพื่อปกป้องระบบจากการโจมตีที่อาจเกิดขึ้นได้
Firewall ของ Palo Alto Networks มักตกเป็นเป้าหมายในการโจมตี โดยบ่อยครั้งผู้โจมตีจะใช้ช่องโหว่ Zero-day ที่ยังไม่ได้รับการเปิดเผย หรือยังไม่มีแพตช์แก้ไข
ย้อนกลับไปในเดือน พฤศจิกายน 2024 Palo Alto Networks ได้ออกแพตช์แก้ไขช่องโหว่ Zero-day ของ PAN-OS firewall จำนวน 2 รายการที่ถูกนำไปใช้ในการโจมตีจริง ที่อาจทำให้ผู้โจมตีได้รับสิทธิ์ระดับ Root ได้ โดยไม่กี่วันต่อมา Shadowserver ได้เปิดเผยว่ามี firewall หลายพันตัวถูกเจาะระบบในการโจมตีระลอกนั้น (ถึงแม้ทางบริษัทจะระบุว่า การโจมตีส่งผลกระทบต่ออุปกรณ์เพียง "จำนวนน้อยมาก" ก็ตาม) ในขณะที่ CISA ได้ออกคำสั่งให้หน่วยงานรัฐบาลกลางดำเนินการรักษาความปลอดภัยอุปกรณ์ของตนภายใน 3 สัปดาห์
หนึ่งเดือนถัดมา ในเดือนธันวาคม 2024 บริษัทด้านความปลอดภัยทางไซเบอร์รายนี้ได้แจ้งเตือนลูกค้าว่า แฮ็กเกอร์กำลังใช้ช่องโหว่ DoS ใน PAN-OS อีกรายการ (CVE-2024-3393) เพื่อโจมตี firewall ตระกูล PA-Series, VM-Series และ CN-Series ที่มีการเปิดใช้งาน DNS Security logging ส่งผลให้ระบบต้อง reboot ตัวเอง และปิดการทำงานของระบบป้องกัน firewall
ไม่นานหลังจากนั้น ในเดือนกุมภาพันธ์ บริษัทระบุว่าพบช่องโหว่อีก 3 รายการ (CVE-2025-0111, CVE-2025-0108 และ CVE-2024-9474) ถูกนำมาใช้ร่วมกันในการโจมตีเพื่อเจาะระบบ PAN-OS firewall
ล่าสุด GreyNoise ซึ่งเป็นบริษัทด้าน Threat Intelligence ได้แจ้งเตือนถึงแคมเปญการโจมตีอัตโนมัติที่มุ่งเป้าไปยัง Portal ของ Palo Alto GlobalProtect ด้วยวิธีการ Brute-force และพยายามล็อกอินจาก IP Address มากกว่า 7,000 รายการ โดย GlobalProtect คือส่วนประกอบสำหรับ VPN และการเข้าถึงจากระยะไกลบน PAN-OS firewall ซึ่งเป็นที่นิยมใช้งานในหน่วยงานภาครัฐ, ผู้ให้บริการ และองค์กรขนาดใหญ่จำนวนมาก
ปัจจุบัน ผลิตภัณฑ์ และบริการของ Palo Alto Networks มีลูกค้าใช้งานกว่า 70,000 รายทั่วโลก รวมถึงธนาคารรายใหญ่ที่สุดของสหรัฐฯ ส่วนใหญ่ และ 90% ของบริษัทชั้นนำในกลุ่ม Fortune 10
ที่มา : bleepingcomputer.