Apple แก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตีที่มีความซับซ้อนสูง

Apple ออกแพตซ์อัปเดตด้านความปลอดภัยเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-day ซึ่งบริษัทระบุว่ากำลังถูกใช้ในการโจมตีแบบกำหนดเป้าหมาย และมีความซับซ้อนสูง (more…)

กลุ่มผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ Zero-day ใน VeraCore มานานหลายปี

"XE Group ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ที่ทำงานมานานเกินสิบปี ใช้ช่องโหว่ Zero-Day (CVE-2025-25181, CVE-2024-57968) อย่างลับ ๆ ใน VeraCore ซอฟต์แวร์ยอดนิยมสำหรับการจัดการคลังสินค้า และการจัดส่งคำสั่งซื้อ" (more…)

ช่องโหว่ Bypass MotW ใน 7-Zip ถูกใช้ในการโจมตีแบบ zero-day โดยมีเป้าหมายไปยังประเทศยูเครน

พบช่องโหว่ใน 7-Zip ที่สามารถทำให้ผู้ไม่หวังดี bypass การป้องกันแบบ Mark of the Web (MotW) ของ Windows โดยผู้ไม่หวังดีจากรัสเซียใช้ในการโจมตีแบบ zero-day มาตั้งแต่เดือนกันยายน 2024

นักวิจัยจาก Trend Micro ระบุว่า ช่องโหว่นี้ถูกใช้ในแคมเปญมัลแวร์ SmokeLoader ที่มุ่งเป้าไปยังหน่วยงานของรัฐบาลยูเครน และองค์กรเอกชนในประเทศ

Mark of the Web เป็นฟีเจอร์ความปลอดภัยของ Windows ที่ออกแบบมาเพื่อแจ้งเตือนผู้ใช้งานว่าไฟล์ที่กำลังเรียกใช้งานมาจากแหล่งที่ไม่น่าเชื่อถือ โดยจะแสดงกล่องข้อความให้ยืนยันเพิ่มเติม การ Bypass การป้องกัน MoTW ทำให้ไฟล์อันตรายสามารถทำงานบนเครื่องของเหยื่อได้โดยไม่มีการแจ้งเตือน

เมื่อดาวน์โหลดเอกสาร หรือไฟล์ executables จากเว็บ หรือได้รับเป็นไฟล์แนบทางอีเมล Windows จะเพิ่ม 'Zone.

Google แก้ไขช่องโหว่ Zero-day ใน Kernel ของ Android ที่กำลังถูกใช้ในการโจมตี

การอัปเดตความปลอดภัยของ Android ประจำเดือนกุมภาพันธ์ 2025 ได้แก้ไขช่องโหว่ 48 รายการ รวมถึงช่องโหว่ Zero-day ใน Kernel ที่กำลังถูกใช้ในการโจมตี

(more…)

Apple แก้ไขช่องโหว่ Zero-Day ที่กำลังถูกใช้ในการโจมตีเป็นครั้งแรกของปีนี้

Apple ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-Day รายการแรกของปี 2025 ซึ่งถูกระบุว่ากำลังถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกำหนดเป้าหมายไปที่ผู้ใช้ iPhone (more…)

Tesla Gear ถูกแฮ็กหลายครั้งในงาน Pwn2Own

นักวิจัยในงาน Pwn2Own Automotive ปีนี้ สามารถแฮ็กเครื่องชาร์จรถยนต์ไฟฟ้า (EV) รุ่น Wall Connector ของ Tesla ได้สำเร็จ (more…)

ช่องโหว่ Zero-Day ระดับ Critical ส่งผลกระทบต่อปลั๊กอินระดับพรีเมียมของ WordPress

RealHome theme และปลั๊กอิน Easy Real Estate สำหรับ WordPress มีช่องโหว่ระดับ Critical สองรายการที่สามารถทำให้ผู้ใช้งานที่ไม่ได้ผ่านการยืนยันตัวตนสามารถเข้าถึงสิทธิ์ผู้ดูแลระบบได้

แม้ว่าช่องโหว่ทั้งสองรายการนี้จะถูกค้นพบในเดือนกันยายน 2024 โดย Patchstack และมีความพยายามหลายครั้งในการติดต่อผู้พัฒนา (InspiryThemes) แต่นักวิจัยระบุว่ายังไม่ได้รับการตอบกลับใด ๆ จากผู้พัฒนา

นอกจากนี้ Patchstack ยังระบุว่า ผู้พัฒนาได้ปล่อยเวอร์ชันใหม่มาแล้วสามครั้งตั้งแต่เดือนกันยายน แต่ไม่มีการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical เหล่านี้ ดังนั้นช่องโหว่ดังกล่าวจึงยังคงไม่ได้รับการแก้ไข และสามารถถูกโจมตีได้ต่อไป

RealHome theme และปลั๊กอิน Easy Real Estate ถูกออกแบบมาสำหรับเว็บไซต์อสังหาริมทรัพย์ โดยข้อมูลจาก Envanto Market ระบุว่า RealHome theme ถูกใช้งานในเว็บไซต์กว่า 32,600 แห่ง

ช่องโหว่แรก ซึ่งส่งผลกระทบต่อ RealHome theme เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ที่มีหมายเลข CVE-2024-32444 (คะแนน CVSS: 9.8)

Theme ดังกล่าวอนุญาตให้ผู้ใช้งานสามารถลงทะเบียนบัญชีใหม่ได้ผ่านฟังก์ชัน inspiry_ajax_register แต่ไม่ได้ตรวจสอบการ authorization อย่างถูกต้อง หรือไม่มีการตรวจสอบเลย

หากเปิดใช้งานการลงทะเบียนบนเว็บไซต์ ผู้โจมตีสามารถระบุ role ของตนเองให้เป็น "ผู้ดูแลระบบ" ได้ โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังฟังก์ชันการลงทะเบียน ซึ่งเป็นการ bypass การตรวจสอบความปลอดภัยโดยพื้นฐาน

เมื่อผู้โจมตีลงทะเบียนเป็นผู้ดูแลระบบได้สำเร็จ พวกเขาจะสามารถควบคุมเว็บไซต์ WordPress ได้อย่างสมบูรณ์ ซึ่งรวมถึงการแก้ไขเนื้อหา, การฝังสคริปต์ และการเข้าถึงข้อมูลผู้ใช้งาน หรือข้อมูลสำคัญอื่น ๆ

ส่วนช่องโหว่ที่ส่งผลกระทบต่อปลั๊กอิน Easy Real Estate เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านฟีเจอร์ Social Login ซึ่งมีหมายเลข CVE-2024-32555 (คะแนน CVSS: 9.8)

ช่องโหว่นี้เกิดจากฟีเจอร์ Social Login ที่อนุญาตให้ผู้ใช้งานเข้าสู่ระบบด้วยที่อยู่อีเมลของตน โดยไม่มีการตรวจสอบว่าอีเมลนั้นเป็นของผู้ที่ส่ง request จริงหรือไม่

ผลลัพธ์คือ หากผู้โจมตีทราบที่อยู่อีเมลของผู้ดูแลระบบ พวกเขาสามารถเข้าสู่ระบบได้โดยไม่จำเป็นต้องใช้รหัสผ่าน ผลกระทบจากการโจมตีนี้คล้ายคลึงกับช่องโหว่ CVE-2024-32444

ข้อแนะนำในการลดความเสี่ยง

เนื่องจากทาง InspiryThemes ยังไม่ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้งาน Theme หรือปลั๊กอินดังกล่าวควรปิดการใช้งานทันที

การปิดการลงทะเบียนผู้ใช้งานบนเว็บไซต์ที่ได้รับผลกระทบจะช่วยป้องกันการสร้างบัญชีโดยไม่ได้รับอนุญาต ซึ่งจะลดโอกาสที่ช่องโหว่จะถูกใช้งาน

เนื่องจากปัญหาช่องโหว่ในปลั๊กอิน และ Theme ทั้งสองรายการนี้ได้รับการเปิดเผยออกสู่สาธารณะแล้ว ผู้ไม่หวังดีอาจเริ่มสำรวจความเป็นไปได้ และสแกนหาเว็บไซต์ที่มีช่องโหว่ ดังนั้นการตอบสนองอย่างรวดเร็วเพื่อป้องกันภัยคุกคามจึงมีความสำคัญอย่างยิ่ง

 

ที่มา : bleepingcomputer.

Microsoft ออกแพตซ์อัปเดตประจำเดือนมกราคม 2025 แก้ไขช่องโหว่ 159 รายการ โดยเป็นช่องโหว่ Zero-days 8 รายการ

Microsoft ออก Patch Tuesday ประจำเดือนมกราคม 2025 โดยแก้ไขช่องโหว่ 159 รายการ และช่องโหว่ zero-days 8 รายการ โดยมีช่องโหว่ zero-days 3 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตี (more…)

Fortinet แจ้งเตือนการโจมตีช่องโหว่ Zero-Day ที่สามารถ Bypass การ Authentication เพื่อเข้าควบคุม Firewall

Fortinet แจ้งเตือนการพบกลุ่ม Hacker กำลังมุ่งเป้าโจมตีช่องโหว่ Zero-Day ใหม่ใน FortiOS และ FortiProxy เพื่อเข้าควบคุม FortiGate Firewall และเข้าถึงระบบเครือข่ายขององค์กร

CVE-2024-55591 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ authentication bypass ที่ส่งผลกระทบต่อ FortiOS 7.0.0 ถึง 7.0.16, FortiProxy 7.0.0 ถึง 7.0.19 และ FortiProxy 7.2.0 ถึง 7.2.12 ซึ่งหากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีได้รับสิทธิ์ super-admin โดยการส่ง requests ที่เป็นอันตรายไปยังโมดูล Node.

Microsoft ออกแพตซ์อัปเดตประจำเดือนธันวาคม 2024 แก้ช่องโหว่ 71 รายการ และช่องโหว่ zero-day 1 รายการ

Microsoft ออก Patch Tuesday ประจำเดือนธันวาคม 2024 โดยแก้ไขช่องโหว่ 71 รายการ รวมถึงช่องโหว่ zero-days 1 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย

Patch Tuesday ประจำเดือนพฤศจิกายน 2024 ได้แก้ไขช่องโหว่ระดับ Critical จำนวน 16 รายการ ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution)

ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 27 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 30 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 7 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 5 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 1 รายการ
ทั้งนี้ไม่ได้รวมช่องโหว่ของ Edge จำนวน 2 รายการที่ได้รับการแก้ไขไปก่อนหน้านี้เมื่อวันที่ 5 และ 6 ธันวาคม 2024

ช่องโหว่ Zero-Days ที่ได้รับการเปิดเผยออกสู่สาธารณะ

Patch Tuesday ประจำเดือนธันวาคม 2024 ได้แก้ไขช่องโหว่ zero-days โดยเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตี และได้รับการเปิดเผยออกสู่สาธารณะแล้ว 1 รายการ แต่ยังไม่ได้รับการแก้ไข

ช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 1 รายการใน Patch Tuesday ประจำเดือนธันวาคม 2024 :

CVE-2024-49138 - Windows Common Log File System Driver Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง ซึ่งทำให้ Hacker สามารถได้รับสิทธิ์ SYSTEM บน Windows ได้ โดยช่องโหว่ดังกล่าวถูกค้นพบโดย Advanced Research Team ของ CrowdStrike

ทั้งนี้ยังไม่มีการเปิดเผยข้อมูลว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีได้อย่างไร

การอัปเดตด้านความปลอดภัยจากบริษัทอื่น ๆ

นอกจาก Microsoft ได้ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนธันวาคม 2024 แล้ว ยังมีบริษัทอื่น ๆ ที่ออกแพตซ์อัปเดตด้านความปลอดภัยเช่นกัน ได้แก่ :

Adobe ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ต่าง ๆ มากมาย รวมถึง Photoshop, Commerce, Illustrator, InDesign, After Effects, Bridge และอื่น ๆ อีกมากมาย
CISA ออกคำแนะนำเกี่ยวกับช่องโหว่ของระบบควบคุมอุตสาหกรรมใน MOBATIME, Schneider Electric, National Instruments, Horner Automation, Rockwell Automation และ Ruijie
Cleo security file transfer ได้รับผลกระทบจากการโจมตีจากช่องโหว่ zero-day เพื่อขโมยข้อมูล
Cisco ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึง Cisco NX-OS และ Cisco ASA
พบช่องโหว่ zero-day บน router ของ IO-Data กำลังถูกใช้ในการโจมตีเพื่อเข้าควบคุมอุปกรณ์
0patch เปิดตัวแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ zero-day ของ Windows ที่ทำให้ Hacker สามารถขโมยข้อมูล NTLM credentials ได้
OpenWrt ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ Sysupgrade ที่ทำให้ผู้ Hacker สามารถเผยแพร่ firmware images ที่เป็นอันตรายได้
SAP ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการซึ่งเป็นส่วนหนึ่งของ Patch Day เดือนธันวาคม 2024
Veeam ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ RCE ที่สำคัญใน Service Provider Console
ที่มา : bleepingcomputer