เรื่องเล่าจากโลกไซเบอร์: ช่องโหว่ที่ซ่อนอยู่ใน ping และ ActiveMQ
เมื่อไม่นานมานี้ มีการเปิดเผยช่องโหว่ร้ายแรงสองตัวที่ทำให้ผู้ดูแลระบบ Linux ต้องรีบหันมามองระบบของตัวเองใหม่อีกครั้ง หนึ่งคือ CVE-2025-48964 ที่ซ่อนอยู่ใน ping utility ของ iputils และอีกหนึ่งคือ CVE-2023-46604 ใน Apache ActiveMQ ที่ถูกใช้เป็นช่องทางในการปล่อยมัลแวร์ชื่อ DripDropper
เริ่มจาก ping utility ที่เราคุ้นเคยกันดี มันคือเครื่องมือพื้นฐานในการตรวจสอบการเชื่อมต่อเครือข่าย แต่ใน adaptive ping mode กลับมีช่องโหว่ที่เปิดโอกาสให้ผู้ไม่หวังดีส่งแพ็กเก็ต ICMP ที่มี timestamp เป็นศูนย์ ซึ่งจะทำให้เกิดการคำนวณค่าที่ผิดพลาดและนำไปสู่การล่มของแอปพลิเคชัน หรือการเก็บข้อมูลเครือข่ายที่ผิดเพี้ยน
ในอีกด้านหนึ่ง Apache ActiveMQ ซึ่งเป็น message broker ที่นิยมใช้ในระบบ enterprise ก็ถูกโจมตีด้วยช่องโหว่ CVE-2023-46604 ที่เปิดให้รันคำสั่งจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน แฮกเกอร์ใช้ช่องโหว่นี้ติดตั้งมัลแวร์ DripDropper ที่ไม่เพียงแค่แอบซ่อนตัวเอง แต่ยัง “อุดช่องโหว่” ที่มันใช้เจาะเข้ามา เพื่อกันไม่ให้ใครอื่นตามเข้ามาอีก เป็นการปิดประตูหลังบ้านหลังจากแอบเข้ามาแล้ว
DripDropper ยังใช้ Dropbox เป็นช่องทางสื่อสารกับผู้โจมตี ทำให้การตรวจจับยากขึ้น เพราะมันแฝงตัวอยู่ในทราฟฟิกที่ดูเหมือนปกติ และยังมีการปรับแต่ง SSH config เพื่อเปิด root login และสร้าง cron jobs เพื่อให้มัลแวร์ทำงานต่อเนื่องแม้ระบบจะรีบูต
ช่องโหว่ CVE-2025-48964 ใน iputils
เกิดจาก adaptive ping mode ที่ไม่จัดการ timestamp เป็นศูนย์อย่างเหมาะสม
ส่งผลให้เกิด integer overflow ระหว่างการคำนวณสถิติ
ส่งผลให้ ping ล่มหรือเก็บข้อมูลเครือข่ายผิดพลาด
กระทบต่อระบบที่ใช้ iputils ก่อนเวอร์ชัน 20250602
ช่องโหว่ CVE-2023-46604 ใน Apache ActiveMQ
เป็นช่องโหว่ remote code execution ที่มี CVSS 10.0
เปิดให้รันคำสั่ง shell โดยไม่ต้องยืนยันตัวตน
ถูกใช้ในการติดตั้งมัลแวร์ DripDropper
ActiveMQ ที่ได้รับผลกระทบคือเวอร์ชันก่อน 5.15.16, 5.16.7, 5.17.6 และ 5.18.3
พฤติกรรมของมัลแวร์ DripDropper
เป็นไฟล์ PyInstaller แบบ ELF ที่ต้องใช้รหัสผ่านในการรัน
สื่อสารกับบัญชี Dropbox ของผู้โจมตีผ่าน bearer token
สร้างไฟล์มัลแวร์สองตัวที่ทำงานผ่าน cron jobs และปรับแต่ง SSH
ใช้เทคนิค “patch หลังเจาะ” เพื่อปิดช่องโหว่ที่ใช้เจาะเข้ามา
ความเสี่ยงจาก adaptive ping mode
อาจทำให้ระบบตรวจสอบเครือข่ายล้มเหลวในช่วงที่ถูกโจมตี
ส่งผลให้การวิเคราะห์เครือข่ายผิดพลาดและไม่สามารถตรวจจับการบุกรุกได้
ความซับซ้อนของการโจมตี ActiveMQ
ผู้โจมตีใช้เทคนิค patch ช่องโหว่หลังเจาะเพื่อหลบการตรวจจับ
ทำให้ผู้ดูแลระบบเข้าใจผิดว่าระบบปลอดภัยแล้ว
การใช้ Dropbox เป็น C2 channel ทำให้การตรวจจับยากขึ้น
ความเสี่ยงจาก SSH และ cron jobs ที่ถูกปรับแต่ง
เปิด root login โดยไม่ได้รับอนุญาต
สร้างช่องทางให้มัลแวร์ทำงานต่อเนื่องแม้มีการรีบูตหรืออัปเดต
https://linuxconfig.org/critical-cve-2025-48964-vulnerability-in-iputils-a-major-concern-for-linux-administrators
เมื่อไม่นานมานี้ มีการเปิดเผยช่องโหว่ร้ายแรงสองตัวที่ทำให้ผู้ดูแลระบบ Linux ต้องรีบหันมามองระบบของตัวเองใหม่อีกครั้ง หนึ่งคือ CVE-2025-48964 ที่ซ่อนอยู่ใน ping utility ของ iputils และอีกหนึ่งคือ CVE-2023-46604 ใน Apache ActiveMQ ที่ถูกใช้เป็นช่องทางในการปล่อยมัลแวร์ชื่อ DripDropper
เริ่มจาก ping utility ที่เราคุ้นเคยกันดี มันคือเครื่องมือพื้นฐานในการตรวจสอบการเชื่อมต่อเครือข่าย แต่ใน adaptive ping mode กลับมีช่องโหว่ที่เปิดโอกาสให้ผู้ไม่หวังดีส่งแพ็กเก็ต ICMP ที่มี timestamp เป็นศูนย์ ซึ่งจะทำให้เกิดการคำนวณค่าที่ผิดพลาดและนำไปสู่การล่มของแอปพลิเคชัน หรือการเก็บข้อมูลเครือข่ายที่ผิดเพี้ยน
ในอีกด้านหนึ่ง Apache ActiveMQ ซึ่งเป็น message broker ที่นิยมใช้ในระบบ enterprise ก็ถูกโจมตีด้วยช่องโหว่ CVE-2023-46604 ที่เปิดให้รันคำสั่งจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน แฮกเกอร์ใช้ช่องโหว่นี้ติดตั้งมัลแวร์ DripDropper ที่ไม่เพียงแค่แอบซ่อนตัวเอง แต่ยัง “อุดช่องโหว่” ที่มันใช้เจาะเข้ามา เพื่อกันไม่ให้ใครอื่นตามเข้ามาอีก เป็นการปิดประตูหลังบ้านหลังจากแอบเข้ามาแล้ว
DripDropper ยังใช้ Dropbox เป็นช่องทางสื่อสารกับผู้โจมตี ทำให้การตรวจจับยากขึ้น เพราะมันแฝงตัวอยู่ในทราฟฟิกที่ดูเหมือนปกติ และยังมีการปรับแต่ง SSH config เพื่อเปิด root login และสร้าง cron jobs เพื่อให้มัลแวร์ทำงานต่อเนื่องแม้ระบบจะรีบูต
ช่องโหว่ CVE-2025-48964 ใน iputils
เกิดจาก adaptive ping mode ที่ไม่จัดการ timestamp เป็นศูนย์อย่างเหมาะสม
ส่งผลให้เกิด integer overflow ระหว่างการคำนวณสถิติ
ส่งผลให้ ping ล่มหรือเก็บข้อมูลเครือข่ายผิดพลาด
กระทบต่อระบบที่ใช้ iputils ก่อนเวอร์ชัน 20250602
ช่องโหว่ CVE-2023-46604 ใน Apache ActiveMQ
เป็นช่องโหว่ remote code execution ที่มี CVSS 10.0
เปิดให้รันคำสั่ง shell โดยไม่ต้องยืนยันตัวตน
ถูกใช้ในการติดตั้งมัลแวร์ DripDropper
ActiveMQ ที่ได้รับผลกระทบคือเวอร์ชันก่อน 5.15.16, 5.16.7, 5.17.6 และ 5.18.3
พฤติกรรมของมัลแวร์ DripDropper
เป็นไฟล์ PyInstaller แบบ ELF ที่ต้องใช้รหัสผ่านในการรัน
สื่อสารกับบัญชี Dropbox ของผู้โจมตีผ่าน bearer token
สร้างไฟล์มัลแวร์สองตัวที่ทำงานผ่าน cron jobs และปรับแต่ง SSH
ใช้เทคนิค “patch หลังเจาะ” เพื่อปิดช่องโหว่ที่ใช้เจาะเข้ามา
ความเสี่ยงจาก adaptive ping mode
อาจทำให้ระบบตรวจสอบเครือข่ายล้มเหลวในช่วงที่ถูกโจมตี
ส่งผลให้การวิเคราะห์เครือข่ายผิดพลาดและไม่สามารถตรวจจับการบุกรุกได้
ความซับซ้อนของการโจมตี ActiveMQ
ผู้โจมตีใช้เทคนิค patch ช่องโหว่หลังเจาะเพื่อหลบการตรวจจับ
ทำให้ผู้ดูแลระบบเข้าใจผิดว่าระบบปลอดภัยแล้ว
การใช้ Dropbox เป็น C2 channel ทำให้การตรวจจับยากขึ้น
ความเสี่ยงจาก SSH และ cron jobs ที่ถูกปรับแต่ง
เปิด root login โดยไม่ได้รับอนุญาต
สร้างช่องทางให้มัลแวร์ทำงานต่อเนื่องแม้มีการรีบูตหรืออัปเดต
https://linuxconfig.org/critical-cve-2025-48964-vulnerability-in-iputils-a-major-concern-for-linux-administrators
🎙️ เรื่องเล่าจากโลกไซเบอร์: ช่องโหว่ที่ซ่อนอยู่ใน ping และ ActiveMQ
เมื่อไม่นานมานี้ มีการเปิดเผยช่องโหว่ร้ายแรงสองตัวที่ทำให้ผู้ดูแลระบบ Linux ต้องรีบหันมามองระบบของตัวเองใหม่อีกครั้ง หนึ่งคือ CVE-2025-48964 ที่ซ่อนอยู่ใน ping utility ของ iputils และอีกหนึ่งคือ CVE-2023-46604 ใน Apache ActiveMQ ที่ถูกใช้เป็นช่องทางในการปล่อยมัลแวร์ชื่อ DripDropper
เริ่มจาก ping utility ที่เราคุ้นเคยกันดี มันคือเครื่องมือพื้นฐานในการตรวจสอบการเชื่อมต่อเครือข่าย แต่ใน adaptive ping mode กลับมีช่องโหว่ที่เปิดโอกาสให้ผู้ไม่หวังดีส่งแพ็กเก็ต ICMP ที่มี timestamp เป็นศูนย์ ซึ่งจะทำให้เกิดการคำนวณค่าที่ผิดพลาดและนำไปสู่การล่มของแอปพลิเคชัน หรือการเก็บข้อมูลเครือข่ายที่ผิดเพี้ยน
ในอีกด้านหนึ่ง Apache ActiveMQ ซึ่งเป็น message broker ที่นิยมใช้ในระบบ enterprise ก็ถูกโจมตีด้วยช่องโหว่ CVE-2023-46604 ที่เปิดให้รันคำสั่งจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน แฮกเกอร์ใช้ช่องโหว่นี้ติดตั้งมัลแวร์ DripDropper ที่ไม่เพียงแค่แอบซ่อนตัวเอง แต่ยัง “อุดช่องโหว่” ที่มันใช้เจาะเข้ามา เพื่อกันไม่ให้ใครอื่นตามเข้ามาอีก เป็นการปิดประตูหลังบ้านหลังจากแอบเข้ามาแล้ว
DripDropper ยังใช้ Dropbox เป็นช่องทางสื่อสารกับผู้โจมตี ทำให้การตรวจจับยากขึ้น เพราะมันแฝงตัวอยู่ในทราฟฟิกที่ดูเหมือนปกติ และยังมีการปรับแต่ง SSH config เพื่อเปิด root login และสร้าง cron jobs เพื่อให้มัลแวร์ทำงานต่อเนื่องแม้ระบบจะรีบูต
✅ ช่องโหว่ CVE-2025-48964 ใน iputils
➡️ เกิดจาก adaptive ping mode ที่ไม่จัดการ timestamp เป็นศูนย์อย่างเหมาะสม
➡️ ส่งผลให้เกิด integer overflow ระหว่างการคำนวณสถิติ
➡️ ส่งผลให้ ping ล่มหรือเก็บข้อมูลเครือข่ายผิดพลาด
➡️ กระทบต่อระบบที่ใช้ iputils ก่อนเวอร์ชัน 20250602
✅ ช่องโหว่ CVE-2023-46604 ใน Apache ActiveMQ
➡️ เป็นช่องโหว่ remote code execution ที่มี CVSS 10.0
➡️ เปิดให้รันคำสั่ง shell โดยไม่ต้องยืนยันตัวตน
➡️ ถูกใช้ในการติดตั้งมัลแวร์ DripDropper
➡️ ActiveMQ ที่ได้รับผลกระทบคือเวอร์ชันก่อน 5.15.16, 5.16.7, 5.17.6 และ 5.18.3
✅ พฤติกรรมของมัลแวร์ DripDropper
➡️ เป็นไฟล์ PyInstaller แบบ ELF ที่ต้องใช้รหัสผ่านในการรัน
➡️ สื่อสารกับบัญชี Dropbox ของผู้โจมตีผ่าน bearer token
➡️ สร้างไฟล์มัลแวร์สองตัวที่ทำงานผ่าน cron jobs และปรับแต่ง SSH
➡️ ใช้เทคนิค “patch หลังเจาะ” เพื่อปิดช่องโหว่ที่ใช้เจาะเข้ามา
‼️ ความเสี่ยงจาก adaptive ping mode
⛔ อาจทำให้ระบบตรวจสอบเครือข่ายล้มเหลวในช่วงที่ถูกโจมตี
⛔ ส่งผลให้การวิเคราะห์เครือข่ายผิดพลาดและไม่สามารถตรวจจับการบุกรุกได้
‼️ ความซับซ้อนของการโจมตี ActiveMQ
⛔ ผู้โจมตีใช้เทคนิค patch ช่องโหว่หลังเจาะเพื่อหลบการตรวจจับ
⛔ ทำให้ผู้ดูแลระบบเข้าใจผิดว่าระบบปลอดภัยแล้ว
⛔ การใช้ Dropbox เป็น C2 channel ทำให้การตรวจจับยากขึ้น
‼️ ความเสี่ยงจาก SSH และ cron jobs ที่ถูกปรับแต่ง
⛔ เปิด root login โดยไม่ได้รับอนุญาต
⛔ สร้างช่องทางให้มัลแวร์ทำงานต่อเนื่องแม้มีการรีบูตหรืออัปเดต
https://linuxconfig.org/critical-cve-2025-48964-vulnerability-in-iputils-a-major-concern-for-linux-administrators
0 ความคิดเห็น
0 การแบ่งปัน
37 มุมมอง
0 รีวิว
English