WhatsApp ได้ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยในแอปพลิเคชันส่งข้อความสำหรับ iOS และ macOS หลังจากพบว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแบบ Zero-Day ที่มีการกำหนดเป้าหมายโดยเฉพาะ

ทาง WhatsApp ระบุว่า ช่องโหว่แบบ Zero-click นี้ มีหมายเลข CVE-2025-55177 ซึ่งส่งผลกระทบต่อ WhatsApp ในเวอร์ชันดังต่อไปนี้ :

WhatsApp สำหรับ iOS เวอร์ชันก่อน 2.25.21.73
WhatsApp Business สำหรับ iOS เวอร์ชันก่อน 2.25.21.78
WhatsApp สำหรับ Mac เวอร์ชันก่อน 2.25.21.78

WhatsApp ระบุในประกาศด้านความปลอดภัยเมื่อวันศุกร์ที่ผ่านมาว่า "การยืนยันตัวตนที่ไม่สมบูรณ์ของข้อความที่ใช้ synchronization ข้อมูลระหว่างอุปกรณ์ที่เชื่อมต่อกัน อาจทำให้ผู้ใช้งานที่ไม่เกี่ยวข้องสามารถสั่งให้อุปกรณ์ของเป้าหมายประมวลผลเนื้อหาจาก URL ใด ๆ ก็ได้"

"เราประเมินว่าช่องโหว่ดังกล่าว เมื่อทำงานร่วมกับช่องโหว่แบบ OS-level บนแพลตฟอร์มของ Apple (CVE-2025-43300) อาจถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนสูงเพื่อโจมตีผู้ใช้งานที่เป็นเป้าหมายโดยเฉพาะ"

เมื่อช่วงต้นเดือนที่ผ่านมา ทาง Apple ก็ได้ออกแพตช์อัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่แบบ Zero-day (CVE-2025-43300) พร้อมทั้งระบุด้วยว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนขั้นสูงเป็นพิเศษ

แม้ว่าทั้งสองบริษัทยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี แต่ Donncha Ó Cearbhaill (หัวหน้าห้องแล็บด้านความปลอดภัยของ Amnesty International) เปิดเผยว่า WhatsApp เพิ่งได้แจ้งเตือนผู้ใช้บางรายว่าพวกเขาตกเป็นเป้าหมายของแคมเปญ spyware ขั้นสูงในช่วง 90 วันที่ผ่านมา

ข้อความในคำเตือนระบุว่า “เราได้ทำการปรับปรุงแก้ไขเพื่อป้องกันไม่ให้การโจมตีลักษณะนี้เกิดขึ้นผ่านทาง WhatsApp ได้อีก อย่างไรก็ตาม ระบบปฏิบัติการของอุปกรณ์ของคุณอาจยังคงถูกโจมตีจากมัลแวร์ หรืออาจตกเป็นเป้าหมายการโจมตีในรูปแบบอื่นได้"

ในการแจ้งเตือนภัยคุกคามที่ส่งไปยังผู้ที่อาจได้รับผลกระทบ ทาง WhatsApp ได้แนะนำให้พวกเขาทำการรีเซ็ตอุปกรณ์กลับไปเป็นค่าเริ่มต้นจากโรงงาน (factory reset) และให้อัปเดตระบบปฏิบัติการ และซอฟต์แวร์ของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ

เมื่อเดือนมีนาคมที่ผ่านมา WhatsApp ได้ออกแพตช์แก้ไขช่องโหว่แบบ Zero-day อีกรายการหนึ่ง ที่ถูกใช้เพื่อติดตั้ง Graphite spyware ของบริษัท Paragon โดยการแก้ไขดังกล่าวเกิดขึ้นหลังจากที่ได้รับรายงานจากนักวิจัยด้านความปลอดภัยของ Citizen Lab มหาวิทยาลัย Toronto's

ในเวลานั้น โฆษกของ WhatsApp ได้แจ้งกับ BleepingComputer โดยระบุว่า "WhatsApp ได้ขัดขวางแคมเปญ Spyware ของ Paragon ที่มุ่งเป้าโจมตีผู้ใช้จำนวนหนึ่ง ซึ่งรวมถึงนักข่าว และสมาชิกภาคประชาสังคม โดยได้ติดต่อโดยตรงไปยังผู้ที่เชื่อว่าได้รับผลกระทบแล้ว"

 

ที่มา : bleepingcomputer.

มีการค้นพบช่องโหว่แบบ Zero-Day ในโซลูชัน Elastic EDR ซึ่งทำให้ผู้โจมตีสามารถหลบเลี่ยงมาตรการรักษาความปลอดภัย, เรียกใช้โค้ดที่เป็นอันตราย และทำให้ระบบเกิด Blue Screen of Death ได้ ตามรายงานการวิจัยของ Ashes Cybersecurity

(more…)

เมื่อช่วงต้นเดือนที่ผ่านมา พบการโจมตีแบบ Brute-force ที่เพิ่มสูงขึ้นอย่างมากมุ่งเป้าไปที่ SSL VPN ของ Fortinet ตามมาด้วยการเปลี่ยนเป้าหมายไปยัง FortiManager ซึ่งแสดงถึงการเปลี่ยนเป้าหมายอย่างจงใจที่มักเกิดขึ้นก่อนการเปิดเผยช่องโหว่ใหม่ ๆ ในอดีต

แคมเปญการโจมตีครั้งนี้ถูกตรวจพบโดยแพลตฟอร์มเฝ้าระวังภัยคุกคาม GreyNoise โดยเหตุการณ์เกิดขึ้นเป็นสองระลอกในวันที่ 3 และ 5 สิงหาคมที่ผ่านมา ในระลอกที่สองได้มีการเปลี่ยนเป้าหมายการโจมตีไปที่ FortiManager โดยใช้ TCP signature ที่แตกต่างออกไป

ตามที่ GreyNoise เคยรายงานไว้ก่อนหน้านี้ว่า การเพิ่มขึ้นของการสแกนระบบ และการโจมตีแบบ Brute-force ที่มีเป้าหมายในลักษณะนี้ มักเป็นสัญญาณที่เกิดขึ้นก่อนการเปิดเผยช่องโหว่ความปลอดภัยใหม่ ๆ ถึง 80% ของกรณีทั้งหมด

โดยทั่วไป การสแกนลักษณะนี้มีเป้าหมายเพื่อระบุจำนวน และตำแหน่งของระบบที่เข้าถึงได้จากภายนอก, ประเมินความสำคัญของเป้าหมายเหล่านั้น และคาดการณ์ศักยภาพในการโจมตี ซึ่งหลังจากนั้นไม่นานมักจะตามมาด้วยการโจมตีจริงในเวลาต่อมา

GreyNoise แจ้งเตือนว่า “งานวิจัยล่าสุดแสดงให้เห็นว่า การเพิ่มขึ้นของการโจมตีลักษณะนี้มักเป็นสัญญาณเตือนก่อนจะมีการเปิดเผยช่องโหว่ใหม่ที่กระทบกับผู้จำหน่ายรายเดียวกัน โดยส่วนใหญ่จะเกิดขึ้นภายใน 6 สัปดาห์"

“ในความเป็นจริง GreyNoise พบว่าการเพิ่มขึ้นของกิจกรรมที่ทำให้ tag นี้ มีความเชื่อมโยงอย่างมีนัยสำคัญกับช่องโหว่ที่จะถูกเปิดเผยในอนาคตของผลิตภัณฑ์ Fortinet”

ด้วยเหตุนี้ ผู้ดูแลระบบจึงไม่ควรมองข้ามการโจมตีที่เพิ่มขึ้นเหล่านี้ว่าเป็นเพียงความพยายามที่ล้มเหลวในการโจมตีโดยใช้ประโยชน์จากช่องโหว่เก่าที่ได้รับการแก้ไขแล้ว แต่ควรพิจารณาว่าอาจเป็นสัญญาณเตือนล่วงหน้าของการเปิดเผยช่องโหว่แบบ Zero-day และควรยกระดับมาตรการรักษาความปลอดภัยให้แข็งแกร่งเพิ่มขึ้นเพื่อรับมือกับภัยคุกคาม

การโจมตีแบบ Brute-force ต่อ Fortinet

เมื่อวันที่ 3 สิงหาคม 2025 ทาง GreyNoise ได้ตรวจพบความพยายามในการโจมตีแบบ Brute-force ที่มุ่งเป้าไปยัง Fortinet SSL VPN เพิ่มสูงขึ้นอย่างรวดเร็ว โดยการโจมตีนี้เป็นส่วนหนึ่งของกิจกรรมที่เกิดขึ้นอย่างต่อเนื่องซึ่งทางบริษัทได้เฝ้าระวังมาตั้งแต่ก่อนหน้านี้แล้ว

การวิเคราะห์ fingerprint แบบ JA4+ เป็นวิธีการตรวจจับ network fingerprinting เพื่อระบุ และจำแนกประเภท traffic ที่เข้ารหัส พบว่าการโจมตีที่เพิ่มสูงขึ้นนี้มีความเชื่อมโยงกับกิจกรรมในเดือนมิถุนายน โดยมีต้นทางมาจากอุปกรณ์ FortiGate ที่ใช้ IP address สำหรับที่พักอาศัยซึ่งเกี่ยวข้องกับบริษัท Pilot Fiber Inc.

ช่องโหว่ WinRAR (CVE-2025-8088) ที่เพิ่งถูกแก้ไข ถูกใช้ในปฏิบัติการฟิชชิงแบบ Zero-Day เพื่อติดตั้งมัลแวร์ RomCom

ช่องโหว่ Directory Traversal นี้ ได้รับการแก้ไขไปแล้วใน WinRAR เวอร์ชัน 7.13 ซึ่งก่อนหน้านี้สามารถทำให้ให้ไฟล์ archive ที่ถูกสร้างขึ้นเป็นพิเศษ สามารถแตกไฟล์ไปยังตำแหน่งที่ผู้โจมตีกำหนดได้

จากประวัติการเปลี่ยนแปลงของ WinRAR 7.13 ระบุว่า WinRAR, RAR และ UnRAR เวอร์ชันก่อนหน้า รวมถึงซอร์สโค้ดของ Portable UnRAR และ UnRAR.dll บน Windows อาจถูกหลอกให้ใช้ Path ที่กำหนดไว้ในไฟล์ archive แทนที่จะเป็น Path ที่ผู้ใช้ระบุเองขณะทำการแตกไฟล์

อย่างไรก็ตาม เวอร์ชันของ RAR และ UnRAR บน Unix รวมถึงซอร์สโค้ดของ Portable UnRAR, ไลบรารี UnRAR และ RAR บนระบบปฏิบัติการ Android ไม่ได้รับผลกระทบจากช่องโหว่นี้

โดยอาศัยช่องโหว่นี้ ผู้โจมตีสามารถสร้างไฟล์ archive ที่เมื่อแตกไฟล์แล้ว จะวางไฟล์ executables ลงใน Path ที่ระบบจะรันโดยอัตโนมัติ เช่น โฟลเดอร์ Startup ของ Windows ได้แก่ :

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

เมื่อผู้ใช้ล็อกอินเข้าสู่ระบบในครั้งถัดไป ไฟล์ปฏิบัติการดังกล่าวจะถูกรันโดยอัตโนมัติ ซึ่งจะเปิดโอกาสให้ผู้โจมตีรันโค้ดจากระยะไกลได้

เนื่องจาก WinRAR ไม่มีฟีเจอร์อัปเดตอัตโนมัติ จึงขอแนะนำให้ผู้ใช้ทุกคนดาวน์โหลด และติดตั้งเวอร์ชันล่าสุดด้วยตนเองจากเว็บไซต์ win-rar.

SonicWall ได้แจ้งเตือนให้ผู้ดูแลระบบทำการปิดใช้งาน SSLVPN หลังจากพบกลุ่ม Ransomware มุ่งเป้าโจมตีช่องโหว่ Zero-Day ในไฟร์วอลล์ SonicWall Gen 7 เพื่อเข้าถึงระบบในช่วงที่ผ่านมา (more…)

ปัจจุบันมีเซิร์ฟเวอร์ CrushFTP กว่า 1,000 เครื่องที่เข้าถึงได้บนอินเทอร์เน็ติ ซึ่งมีช่องโหว่ระดับ critical ที่สามารถถูกโจมตีเพื่อเข้าควบคุมการใช้งานผ่านอินเทอร์เฟซเว็บในฐานะแอดมินได้ (more…)

VMware ได้แก้ไขช่องโหว่ Zero-Day 4 รายการใน VMware ESXi, Workstation, Fusion และ Tools ที่ถูกใช้โจมตีระหว่างการแข่งขัน Pwn2Own Berlin 2025 hacking contest ในเดือนพฤษภาคม 2025

(more…)

Google ได้ออกอัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome เพื่อแก้ไขช่องโหว่ระดับ Critical แบบ Zero-day ที่พบว่าผู้โจมตีกำลังใช้ในการโจมตีจริงอย่างต่อเนื่อง

โดย Google ยืนยันว่าช่องโหว่ CVE-2025-6558 กำลังถูกผู้โจมตีนำไปใช้ในการโจมตีจริง โดยได้ดำเนินการปล่อยแพตช์อัปเดตทันทีสำหรับทุกแพลตฟอร์มที่รองรับ

Google Chrome ได้รับการอัปเดตเป็นเวอร์ชัน 138.0.7204.157/.158 สำหรับระบบปฏิบัติการ Windows และ Mac และเวอร์ชัน 138.0.7204.157 สำหรับระบบปฏิบัติการ Linux

การอัปเดตนี้แก้ไขช่องโหว่ด้านความปลอดภัย 6 รายการ โดยช่องโหว่ที่ร้ายแรงที่สุดคือช่องโหว่แบบ zero-day ซึ่งกำลังถูกใช้ในการโจมตีอยู่ในขณะนี้ กระบวนการอัปเดตจะทยอยปล่อยให้ผู้ใช้ในช่วงหลายวัน หรือหลายสัปดาห์ข้างหน้า ตามกระบวนการปรับใช้มาตรฐานของ Google

ช่องโหว่ Zero-day บน Google Chrome

ช่องโหว่ CVE-2025-6558 เกิดจาก incorrect validation of untrusted input ใน ANGLE และ GPU components ถูกพบ และรายงานโดย Clément Lecigne และ Vlad Stolyarov จากทีม Google’s Threat Analysis เมื่อวันที่ 23 มิถุนายน 2025

ความร่วมมือระหว่างนักวิจัยกับทีมรักษาความปลอดภัยภายในของ Google แสดงให้เห็นว่าช่องโหว่นี้อาจถูกพบจากการตรวจสอบภัยคุกคามขั้นสูง หรือจากการตอบสนองต่อเหตุการณ์การโจมตี

นอกจากช่องโหว่ Zero-Day แล้ว Google ได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงอีก 2 รายการในการอัปเดตรอบนี้คือ CVE-2025-7656 โดยเป็นช่องโหว่ Integer Overflow ใน V8 ซึ่งเป็น JavaScript Engine ของ Chrome ถูกพบโดย Shaheen Fazim นักวิจัยด้านความปลอดภัย ช่องโหว่นี้ได้รับรางวัลตอบแทน 7,000 เหรียญสหรัฐ ซึ่งแสดงให้เห็นถึงผลกระทบอย่างมีนัยสำคัญต่อความปลอดภัยของผู้ใช้

ช่องโหว่ระดับความรุนแรงสูงอีกรายการคือ CVE-2025-7657 โดยเป็นช่องโหว่ Use-After-Free ในฟังก์ชัน WebRTC ซึ่งรายงานโดยนักวิจัย jakebiles โดยช่องโหว่ประเภทนี้ อาจเปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตราย หรือทำให้ระบบขัดข้องได้

Google เน้นย้ำว่า การเข้าถึงข้อมูลรายละเอียดของช่องโหว่จะยังคงถูกจำกัดไว้ จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตความปลอดภัย วิธีการนี้มีเป้าหมายเพื่อป้องกันไม่ให้ผู้โจมตีทำการ reverse-engineering แพตซ์ เพื่อพัฒนาเครื่องมือสำหรับการโจมตีช่องโหว่

บริษัทใช้แนวทางเดียวกันนี้กับช่องโหว่ที่ส่งผลกระทบต่อไลบรารีของ third-party ซึ่งถูกใช้งานในโครงการอื่น ๆ ด้วย

การอัปเดตนี้ยังรวมถึงการแก้ไขจากโครงการความปลอดภัยภายในของ Google ที่ดำเนินอยู่ต่อเนื่อง ซึ่งรวมถึงผลลัพธ์จาก AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer และ การทดสอบ AFL Framework เครื่องมือรักษาความปลอดภัยอัตโนมัติเหล่านี้จะสแกน codebase ของ Chrome อย่างต่อเนื่องเพื่อค้นหาช่องโหว่ที่อาจเกิดขึ้น

ผู้ใช้ควรอัปเดตเบราว์เซอร์ Chrome เป็นเวอร์ชันล่าสุดทันที ซึ่งโดยปกติ Chrome จะอัปเดตอัตโนมัติ แต่ผู้ใช้สามารถตรวจสอบได้ด้วยตนเองโดยไปที่เมนูการตั้งค่าของ Chrome และเลือก "About Google Chrome" เนื่องจากช่องโหว่ CVE-2025-6558 กำลังถูกใช้ในการโจมตีอยู่ในขณะนี้ การชะลอการอัปเดตอาจทำให้ผู้ใช้ตกอยู่ในความเสี่ยงด้านความปลอดภัยอย่างร้ายแรง

การค้นพบช่องโหว่ zero-day นี้ แสดงให้เห็นถึงการต่อสู้ระหว่างนักวิจัยด้านความปลอดภัย และผู้โจมตีที่ยังคงดำเนินไปอย่างต่อเนื่องในระบบของเบราว์เซอร์

ที่มา : cybersecuritynews

 

พบช่องโหว่ Zero-Day ระดับ Critical ซึ่งถูกพบใน default controller ของ Salesforce อาจทำให้มีการเปิดเผยข้อมูลผู้ใช้หลายล้านรายคน จากการใช้งานหลายพันครั้งทั่วโลก (more…)

ชุดโปรแกรมสำหรับทดสอบการโจมตี (Proof-of-Concept: PoC) สำหรับช่องโหว่ Zero-Day ระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ของ Fortinet หลายรายการ ทำให้เกิดข้อกังวลเร่งด่วนเกี่ยวกับความปลอดภัยของโครงสร้างพื้นฐานเครือข่ายขององค์กร

ช่องโหว่นี้มีหมายเลข CVE-2025-32756 มีคะแนน CVSS ที่ 9.8 โดยทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านช่องโหว่แบบ stack-based buffer overflow

ช่องโหว่นี้อยู่ในกระบวนการประมวลผลพารามิเตอร์คุกกี้ AuthHash ภายใน endpoint /remote/hostcheck_validate ซึ่งพบในผลิตภัณฑ์ของ Fortinet หลายรายการ

(more…)