📺 “Smart TV ไม่ได้ฉลาดตลอดไป ถ้าไม่อัปเดต — ช่องโหว่ความปลอดภัยที่คุณอาจมองข้าม” ในยุคที่โทรทัศน์กลายเป็นมากกว่าแค่จอภาพ Smart TV ได้กลายเป็นอุปกรณ์ที่มีระบบปฏิบัติการ หน่วยประมวลผล หน่วยความจำ และแอปพลิเคชันมากมาย ซึ่งหมายความว่า มันคือ “คอมพิวเตอร์ที่ดูหนังได้” และเช่นเดียวกับคอมพิวเตอร์ทุกเครื่อง มันต้องการการอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ หลายคนอาจคิดว่า Smart TV ไม่จำเป็นต้องอัปเดตบ่อย แต่ความจริงคือ การไม่อัปเดตอาจทำให้เกิดปัญหาตั้งแต่การทำงานช้า แอปค้าง ไปจนถึงการถูกโจมตีทางไซเบอร์ โดยเฉพาะเมื่อผู้ผลิตหยุดสนับสนุนซอฟต์แวร์ แม้ฮาร์ดแวร์ยังใช้งานได้ดีอยู่ก็ตาม รายงานจาก NETGEAR และ Bitdefender ในปี 2024 พบว่า Smart TV เป็นหนึ่งในอุปกรณ์ IoT ที่ถูกโจมตีมากที่สุด โดยคิดเป็นเกือบหนึ่งในสามของอุปกรณ์ที่มีช่องโหว่ทั้งหมด สาเหตุหลักคือการใช้งานยาวนานและการหยุดอัปเดตจากผู้ผลิต Smart TV ที่ไม่ได้อัปเดตอาจถูกแฮกเกอร์เข้าถึงข้อมูลส่วนตัว เช่น อีเมล บัตรเครดิต หรือบัญชีสตรีมมิ่ง โดยเฉพาะหากมีการติดตั้งแอปจากแหล่งที่ไม่เป็นทางการ หรือเชื่อมต่อกับเครือข่ายที่ไม่ปลอดภัย แม้การอัปเดตจะไม่เกิดขึ้นบ่อยเท่ากับสมาร์ทโฟน แต่ผู้ผลิตมักปล่อยแพตช์เล็ก ๆ ทุกไตรมาส และอัปเดตใหญ่ปีละครั้ง เช่น Android TV 14 ที่เปิดตัวในปี 2024 และเวอร์ชันถัดไปคาดว่าจะมาในปลายปี 2025 หรือต้นปี 2026 ผู้ใช้สามารถตรวจสอบสถานะการอัปเดตได้จากเมนูตั้งค่าของทีวี และควรเปิดใช้งานการอัปเดตอัตโนมัติไว้เสมอ เพื่อให้มั่นใจว่าอุปกรณ์ยังปลอดภัยและทำงานได้เต็มประสิทธิภาพ ✅ ข้อมูลสำคัญจากข่าว ➡️ Smart TV มีระบบปฏิบัติการและฟีเจอร์คล้ายคอมพิวเตอร์ ➡️ ต้องการการอัปเดตเพื่อแก้บั๊ก เพิ่มฟีเจอร์ และเสริมความปลอดภัย ➡️ Android TV 14 เปิดตัวในปี 2024 และเวอร์ชันถัดไปคาดว่าจะมาในปี 2025–2026 ➡️ ผู้ผลิตปล่อยแพตช์เล็ก ๆ ทุกไตรมาส ➡️ Smart TV มีอายุเฉลี่ยประมาณ 10 ปี แต่การสนับสนุนซอฟต์แวร์อาจสิ้นสุดก่อน ➡️ ผู้ใช้สามารถเปิดหรือปิดการอัปเดตอัตโนมัติได้จากเมนูตั้งค่า ➡️ การอัปเดตช่วยให้แอปทำงานได้ดีขึ้นและลดความเสี่ยงด้านความปลอดภัย ✅ ข้อมูลเสริมจากภายนอก ➡️ Smart TV บางรุ่นมีไมโครโฟนและกล้องในตัว ซึ่งอาจถูกใช้โจมตีได้ ➡️ ผู้ผลิตบางรายให้การสนับสนุนซอฟต์แวร์เพียง 2–3 ปีหลังเปิดตัว ➡️ มีกรณีจริงที่แฮกเกอร์สามารถควบคุมทีวีจากระยะไกล เช่น เปลี่ยนช่องหรือเพิ่มเสียง ➡️ FTC เคยปรับบริษัท Vizio ฐานเก็บข้อมูลผู้ใช้โดยไม่แจ้งล่วงหน้า ➡️ การใช้รหัสผ่าน Wi-Fi ที่แข็งแรงและการตั้งค่าความปลอดภัยของเครือข่ายช่วยลดความเสี่ยง https://www.slashgear.com/1984686/smart-tvs-need-software-updates-reason-why-how-often/

🚨 “ช่องโหว่ CVE-2025-10035 ใน GoAnywhere MFT ถูกใช้โจมตีจริง — Medusa Ransomware ลุยองค์กรทั่วโลก” Microsoft และนักวิจัยด้านความปลอดภัยออกคำเตือนด่วนหลังพบการโจมตีจริงจากช่องโหว่ร้ายแรง CVE-2025-10035 ในซอฟต์แวร์ GoAnywhere Managed File Transfer (MFT) ของบริษัท Fortra โดยช่องโหว่นี้มีคะแนน CVSS เต็ม 10.0 และเปิดทางให้แฮกเกอร์สามารถรันโค้ดจากระยะไกลได้ทันที โดยไม่ต้องยืนยันตัวตน หากสามารถปลอมลายเซ็นตอบกลับของ license ได้สำเร็จ ช่องโหว่นี้เกิดจากการจัดการข้อมูลแบบ deserialization ที่ไม่ปลอดภัยใน License Servlet ของ GoAnywhere MFT ซึ่งเปิดให้ผู้โจมตีส่งข้อมูลที่ควบคุมเองเข้าไปในระบบ และนำไปสู่การรันคำสั่งอันตรายบนเซิร์ฟเวอร์ที่ยังไม่ได้อัปเดต กลุ่มแฮกเกอร์ Storm-1175 ซึ่งเป็นพันธมิตรของ Medusa ransomware ได้เริ่มใช้ช่องโหว่นี้ตั้งแต่วันที่ 11 กันยายน 2025 ก่อนที่ Fortra จะออกประกาศอย่างเป็นทางการในวันที่ 18 กันยายน โดยการโจมตีมีลักษณะเป็นขั้นตอน ได้แก่: 🔰 Initial Access: เจาะระบบผ่านช่องโหว่ CVE-2025-10035 🔰 Persistence: ติดตั้งเครื่องมือ RMM เช่น SimpleHelp และ MeshAgent 🔰 Post-Exploitation: สร้าง web shell (.jsp), สแกนระบบด้วย netscan 🔰 Lateral Movement: ใช้ mstsc.exe เพื่อเคลื่อนย้ายภายในเครือข่าย 🔰 Command & Control: ตั้งค่า Cloudflare tunnel เพื่อสื่อสารแบบเข้ารหัส 🔰 Exfiltration & Impact: ใช้ Rclone ขโมยข้อมูล และปล่อย Medusa ransomware Microsoft ระบุว่าการโจมตีเกิดขึ้นในหลายองค์กร และแนะนำให้ผู้ดูแลระบบอัปเดต GoAnywhere MFT เป็นเวอร์ชันล่าสุดทันที พร้อมตรวจสอบ log ว่ามีการเรียกใช้ SignedObject.getObject หรือไม่ ซึ่งอาจเป็นสัญญาณของการเจาะระบบ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-10035 เป็นช่องโหว่ deserialization ใน GoAnywhere MFT ➡️ คะแนน CVSS เต็ม 10.0 ถือเป็นระดับวิกฤต ➡️ เปิดทางให้รันโค้ดจากระยะไกลโดยไม่ต้องยืนยันตัวตน ➡️ เกิดจากการปลอม license response signature เพื่อหลอกระบบ ➡️ ส่งผลกระทบต่อเวอร์ชัน Admin Console สูงสุดถึง 7.8.3 ➡️ กลุ่ม Storm-1175 ใช้ช่องโหว่นี้ในการโจมตีจริง ➡️ ขั้นตอนการโจมตีมีทั้งการติดตั้ง RMM, สร้าง web shell, และขโมยข้อมูล ➡️ Microsoft แนะนำให้อัปเดตและตรวจสอบ log สำหรับ SignedObject.getObject ➡️ Fortra ออกแพตช์แก้ไขแล้ว และแนะนำให้ล็อกการเข้าถึง Admin Console จากอินเทอร์เน็ต ✅ ข้อมูลเสริมจากภายนอก ➡️ Medusa ransomware เคยโจมตีองค์กรโครงสร้างพื้นฐานกว่า 300 แห่งในสหรัฐฯ ➡️ Deserialization flaws เป็นช่องโหว่ที่พบได้บ่อยใน Java-based applications ➡️ RMM tools เช่น MeshAgent มักถูกใช้ในเทคนิค “living off the land” เพื่อหลบการตรวจจับ ➡️ Rclone เป็นเครื่องมือยอดนิยมในการขโมยข้อมูลจากระบบที่ถูกเจาะ ➡️ การใช้ Cloudflare tunnel ทำให้การสื่อสารของแฮกเกอร์ไม่สามารถตรวจสอบได้ง่าย https://securityonline.info/critical-rce-cve-2025-10035-in-goanywhere-mft-used-by-medusa-ransomware-group/

🎮 “Unity เจอช่องโหว่ร้ายแรง CVE-2025-59489 — เกมมือถือหลายล้านแอปเสี่ยงถูกโจมตีผ่านไฟล์ .so” นักวิจัยด้านความปลอดภัยจาก GMO Flatt Security ชื่อ RyotaK ได้ค้นพบช่องโหว่ร้ายแรงใน Unity Runtime ซึ่งถูกระบุเป็น CVE-2025-59489 โดยมีคะแนนความรุนแรง CVSS สูงถึง 8.4 ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดในเครื่องได้ (Local Code Execution) ผ่านการแทรกไฟล์ .so โดยไม่ต้องใช้สิทธิ์ระดับสูง ช่องโหว่นี้เกิดจากการจัดการ intent ใน UnityPlayerActivity บน Android ซึ่งเป็น entry point หลักของแอป Unity โดย Unity จะเพิ่ม handler สำหรับ “unity extra” เพื่อใช้ในการดีบักผ่าน ADB แต่กลับเปิดช่องให้แอปอื่นส่ง intent พร้อมพารามิเตอร์ที่เป็นอันตราย เช่น -xrsdk-pre-init-library เพื่อบังคับให้โหลดไฟล์ .so ที่ผู้โจมตีเตรียมไว้ RyotaK สาธิตการโจมตีโดยใช้แอป Android ที่มีสิทธิ์ต่ำ ส่ง intent ไปยังแอป Unity พร้อมพารามิเตอร์ที่ชี้ไปยังไฟล์ .so ที่ฝังอยู่ใน APK หรือในโฟลเดอร์ /data/local/tmp/ ซึ่งทำให้แอป Unity โหลดและรันโค้ดอันตรายภายใต้สิทธิ์ของตัวเอง ส่งผลให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ เช่น GPS, กล้อง, หรือข้อมูลผู้ใช้ในเกม ในบางกรณี ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลผ่านเบราว์เซอร์ Android หากแอป Unity เปิดให้เรียก UnityPlayerActivity ด้วย intent URL ที่มีพารามิเตอร์อันตราย อย่างไรก็ตาม Android SELinux ยังช่วยป้องกันการโหลดไฟล์จากโฟลเดอร์ดาวน์โหลดได้บางส่วน ช่องโหว่นี้ส่งผลกระทบต่อทุกแพลตฟอร์มที่ใช้ Unity ได้แก่ Android, Windows, macOS และ Linux โดยเฉพาะแอปที่สร้างจาก Unity Editor เวอร์ชันตั้งแต่ 2017.1 เป็นต้นมา Unity ได้ออกแพตช์แก้ไขแล้วในหลายเวอร์ชัน เช่น 2022.3.67f2, 2021.3.56f2 และ 2019.4.41f1 พร้อมเครื่องมือ Binary Patch สำหรับโปรเจกต์เก่าที่ไม่สามารถ rebuild ได้ง่าย Microsoft และ Steam ได้ออกคำเตือนแก่ผู้ใช้และนักพัฒนา โดยแนะนำให้ถอนการติดตั้งเกมที่ยังไม่ได้อัปเดต และให้ผู้พัฒนารีบ rebuild เกมด้วย Unity เวอร์ชันที่ปลอดภัยทันที ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-59489 เกิดจากการจัดการ intent ใน UnityPlayerActivity บน Android ➡️ ผู้โจมตีสามารถส่งพารามิเตอร์ -xrsdk-pre-init-library เพื่อโหลดไฟล์ .so อันตราย ➡️ แอปที่สร้างจาก Unity ตั้งแต่เวอร์ชัน 2017.1 เสี่ยงต่อการถูกโจมตี ➡️ RyotaK สาธิตการโจมตีผ่านแอป Android ที่มีสิทธิ์ต่ำ ➡️ ช่องโหว่สามารถถูกใช้เพื่อเข้าถึงข้อมูล GPS, กล้อง, และข้อมูลผู้ใช้ ➡️ Unity ได้ออกแพตช์ในเวอร์ชัน 2022.3.67f2, 2021.3.56f2, 2019.4.41f1 และอื่น ๆ ➡️ มีเครื่องมือ Binary Patch สำหรับโปรเจกต์เก่าที่ไม่สามารถ rebuild ได้ ➡️ Microsoft และ Steam แนะนำให้ถอนการติดตั้งเกมที่ยังไม่ได้อัปเดต ➡️ Unity ระบุว่าไม่มีหลักฐานการโจมตีในโลกจริง ณ วันที่ประกาศ ✅ ข้อมูลเสริมจากภายนอก ➡️ Unity เป็นเอนจินเกมที่ใช้สร้างกว่า 70% ของเกมมือถือยอดนิยม เช่น Pokémon GO, Among Us ➡️ Android Intent เป็นกลไกที่ใช้สื่อสารระหว่างแอป ซึ่งหากจัดการไม่ดีอาจเปิดช่องโหว่ ➡️ SELinux บน Android ช่วยป้องกันการโหลดไฟล์จากโฟลเดอร์ดาวน์โหลด ➡️ บน Windows ช่องโหว่นี้สามารถถูกกระตุ้นผ่าน custom URI scheme ➡️ การโหลดไฟล์ .so โดยไม่มีการตรวจสอบเป็นพฤติกรรมที่เสี่ยงต่อการโจมตี https://securityonline.info/unity-flaw-cve-2025-59489-allows-local-code-execution-in-millions-of-games/

🛡️ “Reemo เปิดตัว Bastion+ — แพลตฟอร์มจัดการสิทธิ์เข้าถึงระดับสูงแบบไร้ขีดจำกัด เพื่อองค์กรทั่วโลก” Reemo บริษัทไซเบอร์ซีเคียวริตี้จากฝรั่งเศส ประกาศเปิดตัว Bastion+ โซลูชันใหม่สำหรับการจัดการสิทธิ์เข้าถึงระบบ (Privileged Access Management) ที่สามารถขยายการใช้งานได้ทั่วโลกแบบไร้ข้อจำกัด โดยมุ่งเป้าไปที่องค์กรขนาดใหญ่ที่ต้องการความปลอดภัยและความเรียบง่ายในการควบคุมการเข้าถึงระบบสำคัญ Yann Fourré ผู้ร่วมก่อตั้ง Reemo กล่าวว่า “องค์กรไม่ต้องการแค่ bastion อีกตัว แต่ต้องการวิสัยทัศน์ระดับโลกที่เรียบง่ายและปลอดภัยแม้โครงสร้างจะขยายตัว” Bastion+ จึงถูกออกแบบให้ผู้ใช้เห็นเฉพาะทรัพยากรที่ได้รับอนุญาตเท่านั้น พร้อมบังคับใช้นโยบายความปลอดภัยแบบเดียวกันทุกที่ทั่วโลก Bastion+ รวมการมองเห็น การบันทึก session และ log ทั้งหมดไว้ในคอนโซลเดียว ช่วยให้ผู้บริหารด้านความปลอดภัย (CISO) ตรวจสอบและทำงานด้าน compliance ได้ง่ายขึ้น อีกทั้งยังผสานการทำงานกับแพลตฟอร์ม Reemo ที่มีฟีเจอร์ครบครัน เช่น Remote Desktop, Remote Browser Isolation (RBI), การเข้าถึงของบุคคลภายนอก และระบบข้อมูลจำกัด (SI Diffusion Restreinte) Bertrand Jeannet ซีอีโอของ Reemo กล่าวเสริมว่า Bastion+ คือหัวใจของภารกิจในการปลดปล่อยองค์กรจากระบบ remote access แบบเดิม ๆ โดยสร้างโลกที่ความปลอดภัยและประสิทธิภาพสามารถอยู่ร่วมกันได้อย่างกลมกลืน Bastion+ พร้อมให้ใช้งานแล้ววันนี้ โดยเปิดให้ขอเดโมได้ทันที และถือเป็นครั้งแรกที่ผู้ให้บริการไซเบอร์ซีเคียวริตี้จากฝรั่งเศสสามารถปกป้องการเข้าถึงระยะไกลทั้งหมดได้ภายในแพลตฟอร์มเดียว ✅ ข้อมูลสำคัญจากข่าว ➡️ Reemo เปิดตัว Bastion+ สำหรับจัดการสิทธิ์เข้าถึงระบบระดับสูงแบบไร้ขีดจำกัด ➡️ ผู้ใช้จะเห็นเฉพาะทรัพยากรที่ได้รับอนุญาตเท่านั้น ➡️ นโยบายความปลอดภัยถูกบังคับใช้อย่างสม่ำเสมอทั่วโลก ➡️ Bastion+ รวม log และ session recordings ไว้ในคอนโซลเดียว ➡️ ช่วยให้ CISO ตรวจสอบและทำ compliance ได้ง่ายขึ้น ➡️ ผสานการทำงานกับแพลตฟอร์ม Reemo ที่มี Remote Desktop, RBI, third-party access และ SI Diffusion Restreinte ➡️ Bastion+ พร้อมให้ใช้งานแล้ว และเปิดให้ขอเดโมได้ทันที ➡️ Reemo เป็นบริษัทไซเบอร์ซีเคียวริตี้จากฝรั่งเศสรายแรกที่รวมการปกป้อง remote access ไว้ในแพลตฟอร์มเดียว ✅ ข้อมูลเสริมจากภายนอก ➡️ Bastion คือระบบที่ใช้ควบคุมการเข้าถึงเซิร์ฟเวอร์หรือระบบสำคัญ โดยเฉพาะในองค์กรขนาดใหญ่ ➡️ Privileged Access Management (PAM) เป็นหัวใจของการรักษาความปลอดภัยในยุคที่มีการทำงานจากระยะไกล ➡️ การรวม log และ session recordings ช่วยลดเวลาในการตรวจสอบเหตุการณ์ผิดปกติ ➡️ Remote Browser Isolation (RBI) ช่วยป้องกันมัลแวร์จากการใช้งานเว็บโดยแยกการประมวลผลออกจากเครื่องผู้ใช้ ➡️ การมีแพลตฟอร์มเดียวที่รวมทุกฟีเจอร์ช่วยลดต้นทุนและความซับซ้อนในการบริหารจัดการ https://securityonline.info/reemo-unveils-bastion-a-scalable-solution-for-global-privileged-access-management/

🛡️ “Oracle รีบออกแพตช์อุดช่องโหว่ Zero-Day หลังถูกโจมตีจริง — แฮกเกอร์ใช้ช่องโหว่ RCE ยึดระบบองค์กร” Oracle ต้องออกแพตช์ฉุกเฉินในต้นเดือนตุลาคม 2025 เพื่ออุดช่องโหว่ร้ายแรงในระบบ E-Business Suite หลังพบว่าถูกโจมตีจริงโดยกลุ่มแรนซัมแวร์ชื่อดังอย่าง Cl0p และ FIN11 ซึ่งใช้ช่องโหว่แบบ Zero-Day ที่ยังไม่มีใครรู้มาก่อนในการเจาะระบบขององค์กรต่าง ๆ ในสหรัฐฯ ช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-61882 โดยมีคะแนนความรุนแรงสูงถึง 9.8/10 และสามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการยืนยันตัวตนใด ๆ แฮกเกอร์สามารถเข้าถึงระบบผ่าน HTTP และยึดการควบคุม Oracle Concurrent Processing ได้ทันที การโจมตีเริ่มต้นจากการส่งอีเมลข่มขู่ไปยังผู้บริหารองค์กร โดยอ้างว่าขโมยข้อมูลสำคัญจากระบบ Oracle EBS ไปแล้ว ซึ่งตอนแรกยังไม่แน่ชัดว่าเป็นเรื่องจริงหรือไม่ แต่เมื่อ Oracle ออกแพตช์ฉุกเฉินและยืนยันว่ามีการโจมตีเกิดขึ้นจริง ก็ทำให้สถานการณ์ชัดเจนขึ้น กลุ่มแฮกเกอร์ใช้บัญชีอีเมลที่ถูกแฮกจำนวนมากในการส่งอีเมลข่มขู่ และมีหลักฐานเชื่อมโยงกับบัญชีที่เคยใช้โดย FIN11 รวมถึงมีการพบข้อมูลติดต่อที่เคยปรากฏบนเว็บไซต์ของ Cl0p ทำให้เชื่อได้ว่าทั้งสองกลุ่มอาจร่วมมือกันหรือแชร์ทรัพยากรในการโจมตีครั้งนี้ Oracle ได้เผยแพร่ Indicators of Compromise (IoCs) เพื่อให้ลูกค้าตรวจสอบว่าระบบของตนถูกเจาะหรือไม่ และเตือนว่าแม้จะติดตั้งแพตช์แล้ว ก็ยังควรตรวจสอบย้อนหลัง เพราะการโจมตีอาจเกิดขึ้นก่อนหน้านั้นแล้ว ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-61882 เป็น Zero-Day ที่ถูกใช้โจมตี Oracle E-Business Suite ➡️ ช่องโหว่นี้มีคะแนนความรุนแรง 9.8/10 และไม่ต้องยืนยันตัวตนในการโจมตี ➡️ แฮกเกอร์สามารถเข้าถึงระบบผ่าน HTTP และยึด Oracle Concurrent Processing ได้ ➡️ กลุ่ม Cl0p และ FIN11 ถูกระบุว่าอยู่เบื้องหลังการโจมตี ➡️ เริ่มจากการส่งอีเมลข่มขู่ผู้บริหารองค์กรในสหรัฐฯ ➡️ Oracle ออกแพตช์ฉุกเฉินและเผยแพร่ IoCs ให้ลูกค้าตรวจสอบระบบ ➡️ มีการใช้บัญชีอีเมลที่ถูกแฮกจำนวนมากในการส่งอีเมลข่มขู่ ➡️ พบข้อมูลติดต่อที่เคยอยู่บนเว็บไซต์ของ Cl0p ในอีเมลที่ส่งถึงเหยื่อ ➡️ Oracle แนะนำให้ตรวจสอบย้อนหลังแม้จะติดตั้งแพตช์แล้ว ✅ ข้อมูลเสริมจากภายนอก ➡️ Cl0p เคยใช้ช่องโหว่ Zero-Day ในการโจมตี MOVEit และ Fortra มาก่อน ➡️ FIN11 เป็นกลุ่มแฮกเกอร์ที่มีแรงจูงใจทางการเงินและมีประวัติการใช้แรนซัมแวร์ ➡️ ช่องโหว่ใน Oracle EBS เคยถูกใช้โจมตีในปี 2022 โดยกลุ่มไม่ทราบชื่อ ➡️ การโจมตีแบบ Zero-Day มักเกิดก่อนที่ผู้ผลิตจะรู้และออกแพตช์ ➡️ การใช้ XSLT ร่วมกับ JavaScript และ ScriptEngine เป็นเทคนิคที่ใช้ใน exploit ล่าสุด https://www.techradar.com/pro/security/oracle-forced-to-rush-out-patch-for-zero-day-exploited-in-attacks

🧠 “FinalSpark เปิดห้องแล็บในสวิตเซอร์แลนด์ พัฒนาคอมพิวเตอร์จากสมองมนุษย์จิ๋ว — เมื่อชีววิทยากลายเป็นฮาร์ดแวร์แห่งอนาคต” BBC ได้เปิดเผยรายงานพิเศษจากห้องแล็บของ FinalSpark บริษัทสตาร์ทอัพในสวิตเซอร์แลนด์ที่กำลังพัฒนา “biocomputer” หรือคอมพิวเตอร์ที่ใช้สมองมนุษย์ขนาดจิ๋วเป็นหน่วยประมวลผล โดยใช้เทคโนโลยีที่เรียกว่า “wetware” ซึ่งต่างจากฮาร์ดแวร์ทั่วไปตรงที่ใช้เซลล์ประสาทจริง ๆ ในการทำงาน นักวิจัยของ FinalSpark ได้สร้าง “organoids” หรือสมองจิ๋วจากเซลล์ผิวหนังที่ถูกเปลี่ยนเป็นเซลล์ต้นกำเนิด (stem cells) แล้วนำไปเพาะเลี้ยงให้กลายเป็นกลุ่มเซลล์ประสาทที่มีโครงสร้างคล้ายสมองมนุษย์ โดยวางไว้บนแผงอิเล็กโทรดที่สามารถส่งสัญญาณไฟฟ้าเข้าไป และตรวจจับการตอบสนองของเซลล์ได้แบบ EEG แม้จะยังอยู่ในช่วงเริ่มต้น แต่ระบบนี้สามารถตอบสนองต่อคำสั่งง่าย ๆ เช่นการกดปุ่มบนคีย์บอร์ด แล้วดูการตอบสนองของสมองจิ๋วผ่านกราฟไฟฟ้า ซึ่งบางครั้งมีการตอบสนองแบบ “ระเบิดพลัง” ก่อนที่เซลล์จะตายลงในเวลาไม่กี่วินาที นักวิจัยยืนยันว่า organoids เหล่านี้ไม่ใช่สมองที่มีจิตสำนึก แต่เป็นเพียงโครงสร้างเซลล์ที่ใช้ในการทดลอง โดยมีอายุการใช้งานประมาณ 4 เดือน และยังไม่สามารถเลียนแบบระบบหล่อเลี้ยงด้วยเลือดแบบสมองจริงได้ FinalSpark เปิดให้เข้าถึงระบบ bioprocessor แบบออนไลน์ตลอด 24 ชั่วโมง โดยคิดค่าบริการเริ่มต้นที่ $500 ต่อเดือน เพื่อให้นักวิจัยทั่วโลกสามารถทดลองและพัฒนาเทคโนโลยี biocomputing ได้จากระยะไกล ✅ ข้อมูลสำคัญจากข่าว ➡️ FinalSpark พัฒนาคอมพิวเตอร์จากสมองมนุษย์จิ๋วในห้องแล็บสวิตเซอร์แลนด์ ➡️ ใช้ organoids ที่สร้างจากเซลล์ผิวหนังเปลี่ยนเป็น stem cells แล้วเพาะเลี้ยงเป็นเซลล์ประสาท ➡️ วาง organoids บนแผงอิเล็กโทรดเพื่อส่งสัญญาณและตรวจจับการตอบสนอง ➡️ ระบบสามารถตอบสนองต่อคำสั่งง่าย ๆ เช่นการกดปุ่มบนคีย์บอร์ด ➡️ อายุการใช้งานของ organoids อยู่ที่ประมาณ 4 เดือน ➡️ FinalSpark เปิดให้เข้าถึง bioprocessor แบบออนไลน์ในราคาเริ่มต้น $500/เดือน ➡️ นักวิจัยสามารถทดลองผ่านระบบระยะไกลได้ตลอด 24 ชั่วโมง ➡️ นักวิทยาศาสตร์ยืนยันว่า organoids ไม่มีจิตสำนึกหรือความรู้สึก ✅ ข้อมูลเสริมจากภายนอก ➡️ Biocomputing เป็นแนวคิดที่ใช้ระบบชีวภาพแทนชิปซิลิคอนในการประมวลผล ➡️ สมองมนุษย์ใช้พลังงานเพียง 20 วัตต์ในการควบคุมเซลล์ประสาทกว่า 86 พันล้านเซลล์ ➡️ Bioprocessor ของ FinalSpark ใช้พลังงานน้อยกว่าคอมพิวเตอร์ทั่วไปถึงล้านเท่า ➡️ นักวิจัยจาก Johns Hopkins และ Imperial College ก็พัฒนา organoids เพื่อศึกษาการเรียนรู้ ➡️ ระบบ wetware อาจช่วยลดการใช้พลังงานของอุตสาหกรรม AI ที่กำลังเติบโตอย่างรวดเร็ว https://www.tomshardware.com/pc-components/cpus/swiss-lab-where-researchers-are-working-to-create-computers-powered-by-mini-human-brains-revealed-in-new-report-mini-brain-organoids-revealed-developers-say-we-shouldnt-be-scared-of-them

🔥 “ไฟไหม้ศูนย์ข้อมูล NIRS ทำลายระบบคลาวด์ G-Drive ของรัฐบาลเกาหลีใต้ — ข้อมูลข้าราชการกว่า 750,000 คนสูญหายถาวร” เมื่อวันที่ 27 กันยายน 2025 เกิดเหตุไฟไหม้ครั้งใหญ่ที่ศูนย์ข้อมูลของ National Information Resources Service (NIRS) ณ เมืองแทจอน ประเทศเกาหลีใต้ ซึ่งส่งผลให้ระบบคลาวด์ G-Drive ที่ใช้เก็บเอกสารงานของข้าราชการกว่า 750,000 คนถูกทำลายทั้งหมด โดยไม่มีการสำรองข้อมูลภายนอก ทำให้ข้อมูลสูญหายอย่างถาวร G-Drive เป็นระบบที่รัฐบาลเกาหลีใต้ใช้มาตั้งแต่ปี 2018 เพื่อให้ข้าราชการจัดเก็บเอกสารงานในคลาวด์แทนการเก็บไว้ในเครื่องคอมพิวเตอร์ส่วนตัว โดยให้พื้นที่เก็บข้อมูลประมาณ 30GB ต่อคน และมีการบังคับใช้ในหลายหน่วยงาน โดยเฉพาะกระทรวงบริหารบุคคลที่ได้รับผลกระทบหนักที่สุดจากเหตุการณ์นี้ ไฟไหม้ครั้งนี้ทำลายระบบสำคัญถึง 96 ระบบ รวมถึง G-Drive ซึ่งมีโครงสร้างแบบ “ความจุสูงแต่ประสิทธิภาพต่ำ” ทำให้ไม่สามารถสำรองข้อมูลภายนอกได้ และแม้จะมีการสำรองข้อมูลภายในศูนย์ข้อมูลเดียวกัน แต่ก็ถูกไฟเผาเสียหายทั้งหมด ขณะนี้หน่วยงานต่าง ๆ กำลังพยายามกู้คืนข้อมูลจากแหล่งอื่น เช่น ไฟล์ที่เก็บไว้ในเครื่องส่วนตัว อีเมล เอกสารทางราชการ และระบบ Onnara ซึ่งใช้เก็บเอกสารที่ผ่านการอนุมัติอย่างเป็นทางการ โดยหวังว่าจะสามารถกู้คืนข้อมูลบางส่วนได้เมื่อระบบ Onnara กลับมาใช้งานได้ เหตุการณ์นี้สร้างความเสียหายอย่างหนักต่อการดำเนินงานของภาครัฐ และจุดกระแสวิพากษ์วิจารณ์เรื่องการจัดการข้อมูลของรัฐบาลอย่างรุนแรง โดยเฉพาะการออกแบบระบบที่ไม่มีการสำรองข้อมูลภายนอกสำหรับระบบสำคัญเช่น G-Drive ✅ ข้อมูลสำคัญจากข่าว ➡️ เกิดไฟไหม้ที่ศูนย์ข้อมูล NIRS เมืองแทจอน เมื่อวันที่ 27 กันยายน 2025 ➡️ ระบบ G-Drive ถูกทำลายทั้งหมด ไม่มีการสำรองข้อมูลภายนอก ➡️ ข้อมูลของข้าราชการกว่า 750,000 คนสูญหายถาวร ➡️ G-Drive ให้พื้นที่เก็บข้อมูล 30GB ต่อคน และใช้แทนการเก็บในเครื่องส่วนตัว ➡️ กระทรวงบริหารบุคคลได้รับผลกระทบหนักที่สุด ➡️ ระบบสำคัญ 96 ระบบถูกทำลายจากเหตุไฟไหม้ ➡️ ข้อมูลบางส่วนอาจกู้คืนได้จากระบบ Onnara และไฟล์ในเครื่องส่วนตัว ➡️ ระบบ G-Drive มีโครงสร้างแบบความจุสูงแต่ประสิทธิภาพต่ำ ทำให้ไม่สามารถสำรองข้อมูลภายนอกได้ ✅ ข้อมูลเสริมจากภายนอก ➡️ G-Drive ถูกออกแบบมาเพื่อให้ข้าราชการทำงานจากระยะไกลและแชร์เอกสารได้สะดวก ➡️ ข้อมูลใน G-Drive มีขนาดรวมกว่า 858TB เทียบเท่ากระดาษ A4 กว่า 274.6 พันล้านแผ่น ➡️ เหตุไฟไหม้เกิดจากแบตเตอรี่ลิเธียมระเบิดระหว่างการเปลี่ยนในห้องเซิร์ฟเวอร์ ➡️ รัฐบาลเกาหลีใต้ตั้งศูนย์บัญชาการฟื้นฟูระบบที่เมืองแทกูเพื่อย้ายระบบที่เสียหาย ➡️ มีการฟื้นฟูระบบออนไลน์แล้ว 15.6% และตั้งบริการทดแทนสำหรับระบบที่ยังไม่ฟื้น https://koreajoongangdaily.joins.com/news/2025-10-01/national/socialAffairs/NIRS-fire-destroys-governments-cloud-storage-system-no-backups-available/2412936

🛠️ “QNAP อุดช่องโหว่ร้ายแรงใน NetBak Replicator และ Qsync Central — เสี่ยงรันโค้ดจากระยะไกลและ SQL Injection” QNAP ผู้ผลิตระบบ NAS ที่ได้รับความนิยมในองค์กรและผู้ใช้ทั่วไป ได้ออกประกาศด้านความปลอดภัยล่าสุดเมื่อเดือนตุลาคม 2025 โดยระบุว่ามีช่องโหว่ร้ายแรงหลายรายการในซอฟต์แวร์สองตัว ได้แก่ NetBak Replicator และ Qsync Central ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกล หรือโจมตีระบบผ่านช่องโหว่ SQL Injection ได้ ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2025-57714 ใน NetBak Replicator ซึ่งมีคะแนน CVSS สูงถึง 8.5 โดยเกิดจากการกำหนด path ที่ไม่ปลอดภัยใน Windows ทำให้ผู้โจมตีสามารถแทรกไฟล์ .exe อันตรายไว้ในตำแหน่งที่ระบบจะเรียกใช้โดยอัตโนมัติเมื่อเปิดโปรแกรม ส่งผลให้สามารถรันโค้ดโดยไม่ต้องมีสิทธิ์ระดับสูง ในส่วนของ Qsync Central ซึ่งเป็นเครื่องมือซิงก์ไฟล์ข้าม NAS หลายเครื่อง พบช่องโหว่รวม 5 รายการ ได้แก่: 🐛 การจัดสรรทรัพยากรโดยไม่มีการควบคุม (CVE-2025-44012) 🐛 NULL pointer dereference ที่อาจทำให้ระบบล่ม (CVE-2025-47210) 🐛 การใช้ทรัพยากรเกินขอบเขต (CVE-2025-52867) 🐛 ช่องโหว่ SQL Injection สองรายการ (CVE-2025-53595 และ CVE-2025-54153) ซึ่งมีคะแนน CVSS สูงถึง 8.6 และสามารถใช้รันโค้ดหรือขโมยข้อมูลได้ หากระบบเปิดให้เข้าถึงจากอินเทอร์เน็ต QNAP ได้ออกแพตช์แก้ไขแล้วใน NetBak Replicator เวอร์ชัน 4.5.15.0807 และ Qsync Central เวอร์ชัน 5.0.0.2 โดยแนะนำให้ผู้ใช้เข้าสู่ระบบ QTS หรือ QuTS hero แล้วอัปเดตผ่าน App Center ทันที พร้อมคำแนะนำเพิ่มเติมให้จำกัดสิทธิ์บัญชีผู้ใช้ และหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-57714 ใน NetBak Replicator มีคะแนน CVSS 8.5 ➡️ เกิดจาก path ที่ไม่ปลอดภัยใน Windows ทำให้สามารถรันไฟล์อันตรายได้ ➡️ ช่องโหว่ถูกแก้ไขในเวอร์ชัน 4.5.15.0807 ➡️ Qsync Central มีช่องโหว่รวม 5 รายการที่กระทบต่อความเสถียรและความปลอดภัย ➡️ ช่องโหว่ SQL Injection ใน Qsync Central มีคะแนน CVSS สูงถึง 8.6 ➡️ ช่องโหว่ทั้งหมดถูกแก้ไขในเวอร์ชัน 5.0.0.2 ➡️ QNAP แนะนำให้อัปเดตผ่าน App Center และตรวจสอบสิทธิ์บัญชีผู้ใช้ ➡️ คำแนะนำเพิ่มเติมคือหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก ✅ ข้อมูลเสริมจากภายนอก ➡️ NetBak Replicator เป็นเครื่องมือสำรองข้อมูลจาก Windows ไปยัง NAS ➡️ Qsync Central ใช้สำหรับซิงก์ไฟล์ข้ามอุปกรณ์ NAS หลายตัว ➡️ ช่องโหว่ SQL Injection เป็นหนึ่งในวิธีโจมตีที่ใช้กันมากที่สุดในระบบฐานข้อมูล ➡️ การจัดการ path ใน Windows ต้องระวังการใช้เครื่องหมายคำพูดเพื่อป้องกันการ hijack ➡️ CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่จาก 0–10 https://securityonline.info/qnap-fixes-high-severity-flaws-netbak-replicator-rce-and-sql-injection-in-qsync-central/

🔥 “Redis เจอช่องโหว่ร้ายแรง CVE-2025-49844 — แฮกเกอร์สามารถรันโค้ดจากระยะไกลผ่าน Lua Script ได้ทันที” Redis ฐานข้อมูลแบบ in-memory ที่นิยมใช้ทั่วโลกในงาน real-time analytics, caching และ message brokering กำลังเผชิญกับช่องโหว่ร้ายแรงระดับ CVSS 10.0 ที่ถูกระบุว่า CVE-2025-49844 โดยช่องโหว่นี้เกิดจากการจัดการหน่วยความจำผิดพลาดใน Lua scripting engine ซึ่งเป็นฟีเจอร์ที่นักพัฒนานิยมใช้เพื่อเพิ่มความสามารถให้ Redis ช่องโหว่นี้เปิดทางให้ผู้โจมตีที่มีสิทธิ์เข้าถึง Redis สามารถใช้ Lua script ที่ออกแบบมาเฉพาะ เพื่อควบคุม garbage collector และทำให้เกิด “use-after-free” ซึ่งหมายถึงการเรียกใช้หน่วยความจำที่ถูกปล่อยไปแล้ว ส่งผลให้สามารถรันโค้ดอันตรายภายใน Redis server ได้ทันที — อาจนำไปสู่การเข้าถึงข้อมูลทั้งหมดในระบบ และขยายการโจมตีไปยังเซิร์ฟเวอร์อื่นที่เชื่อมต่ออยู่ นอกจาก CVE-2025-49844 ยังมีช่องโหว่อื่นที่เกี่ยวข้องกับ Lua scripting ได้แก่ CVE-2025-46817 (integer overflow), CVE-2025-46818 (privilege escalation ระหว่างผู้ใช้), และ CVE-2025-46819 (out-of-bounds read) ซึ่งทั้งหมดสามารถนำไปสู่การรันโค้ดหรือทำให้ Redis crash ได้ Redis ได้ออกแพตช์แก้ไขในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2 พร้อมคำแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที หรือใช้วิธีชั่วคราวโดยการบล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน Access Control Lists (ACLs) ✅ ข้อมูลสำคัญจากข่าว ➡️ CVE-2025-49844 เป็นช่องโหว่ use-after-free ใน Lua scripting engine ของ Redis ➡️ ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้ หากมีสิทธิ์เข้าถึง Redis ➡️ ช่องโหว่นี้มีระดับความรุนแรง CVSS 10.0 ซึ่งถือว่าสูงสุด ➡️ Redis ได้ออกแพตช์ในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2 ➡️ ช่องโหว่อื่นที่เกี่ยวข้อง ได้แก่ CVE-2025-46817, CVE-2025-46818, CVE-2025-46819 ➡️ แนะนำให้บล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน ACLs ➡️ ช่องโหว่ทั้งหมดเกิดจากการจัดการหน่วยความจำและสิทธิ์ใน Lua scripting ➡️ Redis Cloud ได้รับการอัปเดตแล้วโดยไม่ต้องดำเนินการเพิ่มเติมจากผู้ใช้ ✅ ข้อมูลเสริมจากภายนอก ➡️ Lua scripting เป็นฟีเจอร์ที่ช่วยให้ Redis ทำงานแบบ custom logic ได้ ➡️ use-after-free เป็นเทคนิคที่นิยมใช้ในการโจมตีหน่วยความจำเพื่อรันโค้ด ➡️ Redis ถูกใช้ในระบบขนาดใหญ่ เช่น ธนาคาร, e-commerce และระบบ IoT ➡️ ACLs เป็นเครื่องมือที่ช่วยจำกัดสิทธิ์การใช้งานคำสั่งใน Redis ➡️ CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่ https://securityonline.info/critical-flaw-cve-2025-49844-cvss-10-0-allows-remote-code-execution-in-redis/

🛡️ “CVE-2025-27237 — ช่องโหว่ Zabbix Agent บน Windows เปิดทางให้ผู้ใช้สิทธิ์ต่ำยกระดับสิทธิ์ผ่าน DLL Injection” Zabbix ซึ่งเป็นระบบมอนิเตอร์ที่นิยมใช้ในองค์กรทั่วโลก กำลังเผชิญกับช่องโหว่ใหม่ที่ถูกระบุว่า CVE-2025-27237 โดยช่องโหว่นี้เกิดขึ้นใน Zabbix Agent และ Agent 2 บนระบบปฏิบัติการ Windows ซึ่งเปิดช่องให้ผู้ใช้ที่มีสิทธิ์ต่ำสามารถยกระดับสิทธิ์ได้ผ่านการโจมตีแบบ DLL Injection โดยอาศัยการแก้ไขไฟล์คอนฟิกของ OpenSSL ปัญหาหลักอยู่ที่ตำแหน่งของไฟล์คอนฟิก OpenSSL ซึ่งถูกโหลดจากไดเรกทอรีที่ผู้ใช้สิทธิ์ต่ำสามารถเขียนได้ หากผู้โจมตีสามารถเข้าถึงเครื่องในระดับ local ได้ ก็สามารถแก้ไขไฟล์คอนฟิกให้เรียกใช้ DLL ที่เป็นอันตราย เมื่อ Zabbix Agent หรือระบบรีสตาร์ต DLL นั้นจะถูกโหลดและรันโดยอัตโนมัติ ส่งผลให้เกิดการยกระดับสิทธิ์หรือสร้างความคงอยู่ในระบบ แม้ช่องโหว่นี้จะไม่สามารถโจมตีจากระยะไกลได้ แต่ถือเป็นโอกาสสำคัญสำหรับการโจมตีหลังจากระบบถูกบุกรุกแล้ว (post-exploitation) โดยเฉพาะในองค์กรที่ใช้ Zabbix Agent บน Windows อย่างแพร่หลาย Zabbix ได้ออกแพตช์แก้ไขในทุกเวอร์ชันที่ได้รับผลกระทบ โดยมีการปรับปรุงสิทธิ์ของไฟล์คอนฟิกให้ไม่สามารถเขียนได้โดยผู้ใช้ทั่วไป พร้อมแนะนำให้ผู้ดูแลระบบอัปเดตทันที และตรวจสอบสิทธิ์ของไฟล์ในระบบที่ใช้งานอยู่ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-27237 เกิดใน Zabbix Agent และ Agent 2 บน Windows ➡️ ผู้ใช้สิทธิ์ต่ำสามารถแก้ไขไฟล์คอนฟิก OpenSSL เพื่อเรียก DLL อันตราย ➡️ DLL จะถูกโหลดเมื่อ Zabbix Agent หรือระบบรีสตาร์ต ทำให้เกิด privilege escalation ➡️ ช่องโหว่นี้ไม่สามารถโจมตีจากระยะไกลได้ แต่ใช้ได้ใน post-exploitation ➡️ Zabbix ได้ออกแพตช์ในเวอร์ชัน 6.0.41, 7.0.18, 7.2.12 และ 7.4.2 ➡️ แพตช์มีการปรับสิทธิ์ไฟล์คอนฟิกให้ปลอดภัยจากการเขียนโดยผู้ใช้ทั่วไป ➡️ แนะนำให้ผู้ดูแลระบบอัปเดตทันทีและตรวจสอบสิทธิ์ไฟล์ในระบบ ✅ ข้อมูลเสริมจากภายนอก ➡️ DLL Injection เป็นเทคนิคที่นิยมใช้ในการโจมตีเพื่อยกระดับสิทธิ์หรือฝังมัลแวร์ ➡️ OpenSSL เป็นไลบรารีที่ใช้ในการเข้ารหัสข้อมูล ซึ่งมีความสำคัญต่อความปลอดภัย ➡️ ช่องโหว่แบบ local privilege escalation มักถูกใช้ร่วมกับช่องโหว่อื่นในการโจมตีแบบหลายขั้นตอน ➡️ การตั้งค่าความปลอดภัยของไฟล์คอนฟิกเป็นแนวทางพื้นฐานในการป้องกันการโจมตี ➡️ Zabbix เป็นระบบมอนิเตอร์ที่ใช้ในองค์กรขนาดใหญ่ เช่น ธนาคาร โรงงาน และศูนย์ข้อมูล https://securityonline.info/cve-2025-27237-zabbix-agent-flaw-allows-local-privilege-escalation-via-openssl-dll-injection/

ประธานาธิบดี วลาดิมีร์ ปูติน แห่งรัสเซียออกมาเตือนว่า หากสหรัฐฯ จัดหาขีปนาวุธโทมาฮอว์กให้ยูเครนใช้โจมตีเป้าหมายระยะไกลในรัสเซียจะส่งผลให้ความสัมพันธ์ระหว่างมอสโกกับวอชิงตัน "ถูกทำลาย" ลง . อ่านเพิ่มเติม..https://sondhitalk.com/detail/9680000095281 #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire

🌐 “ระบบอุตสาหกรรมกว่า 200,000 จุดเสี่ยงถูกแฮก — รายงานชี้ความประมาทและความสะดวกกลายเป็นภัยไซเบอร์ระดับชาติ” หลังจากหลายปีที่มีความพยายามลดความเสี่ยงด้านไซเบอร์ในระบบควบคุมอุตสาหกรรม (ICS/OT) รายงานล่าสุดจาก Bitsight กลับพบว่าแนวโน้มการเปิดเผยระบบต่ออินเทอร์เน็ตกลับมาเพิ่มขึ้นอีกครั้ง โดยในปี 2024 จำนวนอุปกรณ์ที่เข้าถึงได้จากสาธารณะเพิ่มขึ้นจาก 160,000 เป็น 180,000 จุด หรือเพิ่มขึ้น 12% และคาดว่าจะทะลุ 200,000 จุดภายในสิ้นปี 2025 ระบบเหล่านี้รวมถึงอุปกรณ์ควบคุมโรงงานน้ำ, ระบบอัตโนมัติในอาคาร, และเครื่องวัดระดับถังน้ำมันที่ไม่มีระบบยืนยันตัวตน ซึ่งหลายตัวมีช่องโหว่ระดับ CVSS 10.0 ที่สามารถถูกโจมตีได้ง่าย โดยมัลแวร์ใหม่อย่าง FrostyGoop และ Fuxnet ถูกออกแบบมาเพื่อเจาะระบบ ICS โดยเฉพาะ Pedro Umbelino นักวิจัยจาก Bitsight เตือนว่า “นี่ไม่ใช่แค่ความผิดพลาด — แต่มันคือความเสี่ยงเชิงระบบที่ไม่อาจให้อภัยได้” เพราะการเปิดระบบเหล่านี้ต่ออินเทอร์เน็ตมักเกิดจากความสะดวก เช่น การติดตั้งเร็ว, การเข้าถึงจากระยะไกล, หรือการเชื่อมต่อทุกอย่างไว้ในระบบเดียว โดยไม่ได้คำนึงถึงความปลอดภัย AI ก็มีบทบาททั้งด้านดีและร้าย — ฝั่งผู้ป้องกันใช้ machine learning เพื่อสแกนและตรวจจับความผิดปกติในระบบ แต่ฝั่งผู้โจมตีก็ใช้ LLM เพื่อสร้างมัลแวร์และหาช่องโหว่ได้เร็วขึ้น โดยไม่ต้องใช้ทรัพยากรสูง เช่น GPU farm อีกต่อไป รายงานแนะนำให้ผู้ดูแลระบบ ICS/OT ดำเนินการทันที เช่น ปิดการเข้าถึงจากสาธารณะ, กำหนดค่าเริ่มต้นของผู้ขายให้ปลอดภัยขึ้น, และร่วมมือกับผู้ให้บริการอินเทอร์เน็ตในการตรวจสอบอย่างต่อเนื่อง เพราะระบบเหล่านี้ไม่ได้แค่ควบคุมเครื่องจักร — แต่ควบคุม “ความไว้วางใจ” ของสังคม ✅ ข้อมูลสำคัญจากข่าว ➡️ จำนวนระบบ ICS/OT ที่เปิดเผยต่ออินเทอร์เน็ตเพิ่มขึ้น 12% ในปี 2024 ➡️ คาดว่าจะทะลุ 200,000 จุดภายในสิ้นปี 2025 หากไม่มีการแก้ไข ➡️ ระบบที่เสี่ยงรวมถึงอุปกรณ์ควบคุมโรงงานน้ำ, ระบบอัตโนมัติในอาคาร, และเครื่องวัดถังน้ำมัน ➡️ หลายระบบมีช่องโหว่ระดับ CVSS 10.0 ที่สามารถถูกโจมตีได้ง่าย ➡️ มัลแวร์ใหม่ เช่น FrostyGoop และ Fuxnet ถูกออกแบบมาเพื่อเจาะ ICS โดยเฉพาะ ➡️ AI ช่วยทั้งฝั่งป้องกันและโจมตี โดยลดต้นทุนการค้นหาช่องโหว่ ➡️ การเปิดเผยระบบมักเกิดจากความสะดวก เช่น การติดตั้งเร็วและการเข้าถึงจากระยะไกล ➡️ รายงานแนะนำให้ปิดการเข้าถึงสาธารณะและปรับค่าความปลอดภัยของผู้ขาย ➡️ ระบบ ICS/OT ควบคุมมากกว่าเครื่องจักร — มันควบคุมความไว้วางใจของสังคม ✅ ข้อมูลเสริมจากภายนอก ➡️ ICS (Industrial Control Systems) คือระบบที่ใช้ควบคุมกระบวนการในโรงงานและโครงสร้างพื้นฐาน ➡️ OT (Operational Technology) คือเทคโนโลยีที่ใช้ในการควบคุมและตรวจสอบอุปกรณ์ทางกายภาพ ➡️ CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่ ➡️ FrostyGoop ใช้โปรโตคอล Modbus TCP เพื่อควบคุมอุปกรณ์ ICS โดยตรง ➡️ ประเทศที่มีอัตราการเปิดเผยสูงสุดต่อจำนวนบริษัทคืออิตาลีและสเปน ส่วนสหรัฐฯ มีจำนวนรวมสูงสุด https://www.techradar.com/pro/security/unforgivable-exposure-more-than-200-000-industrial-systems-are-needlessly-exposed-to-the-web-and-hackers-and-theres-no-absolutely-excuse

🔐 “DrayTek เตือนช่องโหว่ร้ายแรงในเราเตอร์ Vigor — เสี่ยงถูกแฮกผ่าน WebUI หากไม่อัปเดตเฟิร์มแวร์” DrayTek ผู้ผลิตอุปกรณ์เครือข่ายชื่อดังจากไต้หวัน ได้ออกประกาศเตือนถึงช่องโหว่ความปลอดภัยร้ายแรงในเราเตอร์รุ่น Vigor ซึ่งนิยมใช้ในธุรกิจขนาดเล็กและระดับ prosumer โดยช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-10547 และเกิดจาก “ค่าตัวแปรที่ไม่ได้ถูกกำหนดค่าเริ่มต้น” ในเฟิร์มแวร์ DrayOS ที่ใช้ในอุปกรณ์เหล่านี้ ช่องโหว่นี้สามารถถูกโจมตีได้ผ่าน WebUI (Web User Interface) โดยผู้ไม่ประสงค์ดีสามารถส่งคำสั่ง HTTP หรือ HTTPS ที่ถูกปรับแต่งมาเฉพาะเพื่อทำให้เกิดการเสียหายของหน่วยความจำ หรือแม้แต่การรันโค้ดจากระยะไกล (Remote Code Execution - RCE) ซึ่งอาจนำไปสู่การควบคุมอุปกรณ์ทั้งหมด แม้ DrayTek จะระบุว่าช่องโหว่นี้จะเกิดขึ้นเฉพาะเมื่อเปิดใช้งาน WebUI หรือ SSL VPN จากภายนอก และมีการตั้งค่า ACL ที่ผิดพลาด แต่ก็เตือนว่าผู้โจมตีที่อยู่ในเครือข่ายภายในก็สามารถใช้ช่องโหว่นี้ได้เช่นกัน หาก WebUI ยังเปิดใช้งานอยู่ นักวิจัย Pierre-Yves Maes จาก ChapsVision ผู้ค้นพบช่องโหว่นี้ อธิบายว่าเป็นการใช้ค่าตัวแปรที่ไม่ได้กำหนดค่าใน stack ซึ่งสามารถนำไปสู่การเรียกใช้ฟังก์ชัน free() บนหน่วยความจำที่ไม่ได้รับอนุญาต — เทคนิคที่เรียกว่า “arbitrary free” ซึ่งสามารถนำไปสู่การรันโค้ดแปลกปลอมได้ DrayTek ได้ออกแพตช์เพื่อแก้ไขช่องโหว่นี้แล้ว และแนะนำให้ผู้ใช้ทุกคนอัปเดตเฟิร์มแวร์ทันที โดยเฉพาะผู้ที่เปิดใช้งาน WebUI หรือ VPN จากภายนอก ทั้งนี้ยังไม่มีรายงานว่าช่องโหว่นี้ถูกใช้โจมตีจริงในขณะนี้ แต่ด้วยความนิยมของ Vigor ในกลุ่ม SMB และ prosumer ทำให้มีความเสี่ยงสูงหากไม่รีบดำเนินการ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-10547 เกิดจากค่าตัวแปรที่ไม่ได้กำหนดค่าในเฟิร์มแวร์ DrayOS ➡️ ส่งผลให้เกิด memory corruption, system crash และอาจนำไปสู่ remote code execution ➡️ ช่องโหว่ถูกค้นพบโดย Pierre-Yves Maes จาก ChapsVision ➡️ การโจมตีสามารถทำได้ผ่าน WebUI ด้วยคำสั่ง HTTP/HTTPS ที่ปรับแต่ง ➡️ ส่งผลเฉพาะเมื่อเปิด WebUI หรือ SSL VPN จากภายนอก และ ACL ตั้งค่าผิด ➡️ ผู้โจมตีในเครือข่ายภายในก็สามารถใช้ช่องโหว่นี้ได้ หาก WebUI ยังเปิดอยู่ ➡️ DrayTek ได้ออกแพตช์แก้ไขแล้ว และแนะนำให้อัปเดตเฟิร์มแวร์ทันที ➡️ Vigor เป็นเราเตอร์ที่นิยมในกลุ่ม SMB และ prosumer ทำให้มีความเสี่ยงสูง ➡️ ยังไม่มีรายงานการโจมตีจริงในขณะนี้ แต่ควรดำเนินการเชิงป้องกัน ✅ ข้อมูลเสริมจากภายนอก ➡️ Remote Code Execution (RCE) เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะเปิดทางให้ควบคุมอุปกรณ์จากระยะไกล ➡️ ACL (Access Control List) คือระบบควบคุมสิทธิ์การเข้าถึง ซึ่งหากตั้งค่าผิดอาจเปิดช่องให้โจมตีได้ ➡️ WebUI เป็นอินเทอร์เฟซที่ใช้จัดการเราเตอร์ผ่านเว็บเบราว์เซอร์ ➡️ การโจมตีผ่าน WebUI มักใช้ในแคมเปญ botnet หรือการขโมยข้อมูล ➡️ SMB มักไม่มีระบบตรวจสอบความปลอดภัยที่เข้มงวด ทำให้ตกเป็นเป้าหมายบ่อย https://www.techradar.com/pro/security/draytek-warns-vigor-routers-may-have-serious-security-flaws-heres-what-we-know

📱💀 “Klopatra: มัลแวร์ Android ตัวใหม่ปลอมเป็นแอป VPN/IPTV — ขโมยเงินแม้ตอนหน้าจอดับ พร้อมหลบแอนตี้ไวรัสแบบเหนือชั้น” นักวิจัยจาก Cleafy ได้เปิดโปงมัลแวร์ Android ตัวใหม่ชื่อ “Klopatra” ซึ่งถูกสร้างขึ้นโดยกลุ่มแฮกเกอร์ที่พูดภาษาตุรกี และมีความสามารถเหนือกว่ามัลแวร์ทั่วไปอย่างชัดเจน โดย Klopatra ถูกปล่อยผ่านแอปปลอมชื่อ “Modpro IP TV + VPN” ที่ไม่ได้อยู่บน Google Play Store แต่ถูกแจกจ่ายผ่านเว็บไซต์อันตรายโดยตรง เมื่อผู้ใช้ติดตั้งแอปนี้ มัลแวร์จะขอสิทธิ์ Accessibility Services ซึ่งเปิดทางให้มันควบคุมเครื่องได้เต็มรูปแบบ เช่น อ่านหน้าจอ, จำลองการแตะ, ขโมยรหัสผ่าน, และแม้แต่ควบคุมอุปกรณ์ขณะหน้าจอดับผ่านโหมด VNC แบบ “หน้าจอดำ” ที่ผู้ใช้ไม่รู้ตัวเลยว่ามีการใช้งานอยู่ Klopatra ยังมีความสามารถในการตรวจสอบว่าเครื่องกำลังชาร์จหรือหน้าจอดับ เพื่อเลือกช่วงเวลาที่เหมาะสมในการโจมตีโดยไม่ให้ผู้ใช้สงสัย และสามารถจำลองการแตะ, ปัด, กดค้าง เพื่อทำธุรกรรมธนาคารหรือขโมยคริปโตได้แบบเรียลไทม์ เพื่อหลบเลี่ยงการตรวจจับ มัลแวร์ใช้เทคนิคขั้นสูง เช่น การเข้ารหัสด้วย NP Manager, การใช้ native libraries แทน Java/Kotlin, การฝัง Virbox ซึ่งเป็นระบบป้องกันโค้ดระดับเชิงพาณิชย์ และมีระบบตรวจจับ emulator, anti-debugging, และ integrity check เพื่อป้องกันนักวิจัยไม่ให้วิเคราะห์ได้ง่าย จนถึงตอนนี้ Klopatra ถูกพัฒนาไปแล้วกว่า 40 เวอร์ชันตั้งแต่มีการพบครั้งแรกในเดือนมีนาคม 2025 และมีผู้ติดเชื้อแล้วกว่า 3,000 รายในยุโรป โดยเฉพาะในสเปนและอิตาลี ซึ่งเป็นเป้าหมายหลักของแคมเปญนี้ ✅ ข้อมูลสำคัญจากข่าว ➡️ Klopatra เป็นมัลแวร์ Android ที่ปลอมตัวเป็นแอป IPTV และ VPN ➡️ แจกจ่ายผ่านเว็บไซต์อันตราย ไม่ใช่ Google Play Store ➡️ ขอสิทธิ์ Accessibility Services เพื่อควบคุมเครื่องแบบเต็มรูปแบบ ➡️ ใช้โหมด VNC แบบหน้าจอดำเพื่อควบคุมเครื่องขณะผู้ใช้ไม่รู้ตัว ➡️ ตรวจสอบสถานะการชาร์จและหน้าจอเพื่อเลือกเวลาที่เหมาะสมในการโจมตี ➡️ ใช้ Virbox, NP Manager, native libraries และเทคนิค anti-debugging เพื่อหลบเลี่ยงการตรวจจับ ➡️ ถูกพัฒนาไปแล้วกว่า 40 เวอร์ชันตั้งแต่เดือนมีนาคม 2025 ➡️ มีผู้ติดเชื้อแล้วกว่า 3,000 รายในยุโรป โดยเฉพาะในสเปนและอิตาลี ➡️ กลุ่มผู้พัฒนาเป็นแฮกเกอร์ที่พูดภาษาตุรกี และมีโครงสร้าง C2 ที่ซับซ้อน ✅ ข้อมูลเสริมจากภายนอก ➡️ Accessibility Services เป็นช่องทางที่มัลแวร์นิยมใช้เพื่อควบคุมอุปกรณ์ Android ➡️ Virbox เป็นระบบป้องกันโค้ดที่ใช้ในซอฟต์แวร์เชิงพาณิชย์ เช่น เกมหรือแอปที่ต้องการป้องกันการแครก ➡️ VNC (Virtual Network Computing) เป็นระบบควบคุมอุปกรณ์จากระยะไกลที่ใช้ในงาน IT แต่ถูกนำมาใช้ในมัลแวร์ ➡️ NP Manager เป็นเครื่องมือที่ใช้เข้ารหัส string เพื่อหลบเลี่ยงการวิเคราะห์โค้ด ➡️ การใช้ native libraries แทน Java/Kotlin ช่วยลดการตรวจจับจากระบบวิเคราะห์มัลแวร์อัตโนมัติ https://www.techradar.com/pro/security/this-dangerous-new-android-malware-disguises-itself-as-a-vpn-or-iptv-app-so-be-on-your-guard

🔓 “YoLink Smart Hub ราคาแค่ $20 แต่เปิดช่องให้แฮกเกอร์เข้าบ้านคุณ — ช่องโหว่ 4 จุดที่ยังไม่มีแพตช์” ใครจะคิดว่าอุปกรณ์ IoT ราคาประหยัดอย่าง YoLink Smart Hub รุ่น v0382 ที่ขายเพียง $20 จะกลายเป็นประตูหลังให้แฮกเกอร์เข้าถึงบ้านคุณได้โดยตรง ล่าสุดทีมวิจัยจาก Bishop Fox ได้เปิดเผยช่องโหว่ร้ายแรง 4 จุดในอุปกรณ์นี้ ซึ่งรวมถึงการควบคุมอุปกรณ์จากระยะไกล, การขโมยข้อมูล Wi-Fi, และการรักษาสิทธิ์เข้าถึงแบบไม่หมดอายุ YoLink Hub ทำหน้าที่เป็นศูนย์กลางควบคุมอุปกรณ์สมาร์ทในบ้าน เช่น ล็อกประตู เซ็นเซอร์ และปลั๊กไฟ โดยใช้ชิป ESP32 และสื่อสารผ่านโปรโตคอล MQTT ร่วมกับเทคโนโลยี LoRaWAN ซึ่งแม้จะดูทันสมัย แต่กลับมีช่องโหว่ที่เปิดให้ผู้โจมตีสามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้ หากรู้ device ID ซึ่งสามารถคาดเดาได้ง่าย ช่องโหว่แรกคือการ “ข้ามการตรวจสอบสิทธิ์” (CVE-2025-59449 และ CVE-2025-59452) ที่ทำให้แฮกเกอร์สามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่ที่สองคือการส่งข้อมูลสำคัญ เช่น รหัส Wi-Fi แบบไม่เข้ารหัส (CVE-2025-59448) ผ่าน MQTT ทำให้ข้อมูลถูกดักจับได้ง่าย และช่องโหว่สุดท้ายคือการจัดการ session ที่ผิดพลาด (CVE-2025-59451) ซึ่งทำให้แฮกเกอร์สามารถรักษาการเข้าถึงอุปกรณ์ได้อย่างต่อเนื่อง ที่น่ากังวลคือ YoSmart ผู้ผลิตยังไม่ได้ออกแพตช์หรือคำแนะนำใด ๆ แม้จะได้รับรายงานช่องโหว่ล่วงหน้ากว่า 90 วัน ทำให้ผู้ใช้ต้องรับมือเอง โดย Bishop Fox แนะนำให้ถอดอุปกรณ์ออกจากระบบเครือข่ายบ้านทันที และหลีกเลี่ยงการใช้กับอุปกรณ์ที่ควบคุมการเข้าถึงทางกายภาพ เช่น ล็อกประตูหรือประตูโรงรถ ✅ ข้อมูลสำคัญจากข่าว ➡️ YoLink Smart Hub รุ่น v0382 มีช่องโหว่ร้ายแรง 4 จุดที่ยังไม่มีแพตช์ ➡️ ใช้ชิป ESP32 และสื่อสารผ่าน MQTT และ LoRaWAN ➡️ ช่องโหว่ CVE-2025-59449 และ CVE-2025-59452: ข้ามการตรวจสอบสิทธิ์ ➡️ ช่องโหว่ CVE-2025-59448: ส่งข้อมูลสำคัญแบบไม่เข้ารหัส ➡️ ช่องโหว่ CVE-2025-59451: การจัดการ session ที่ผิดพลาด ➡️ นักวิจัยสามารถควบคุมล็อกประตูของผู้ใช้คนอื่นได้จริง ➡️ Device ID สามารถคาดเดาได้ง่าย ทำให้การโจมตีเป็นไปได้จริง ➡️ YoSmart ยังไม่ตอบสนองต่อรายงานช่องโหว่ภายในกรอบเวลา 90 วัน ➡️ Bishop Fox แนะนำให้หยุดใช้งานอุปกรณ์ทันที ✅ ข้อมูลเสริมจากภายนอก ➡️ ESP32 เป็นชิปยอดนิยมในอุปกรณ์ IoT แต่ต้องมีการเสริมความปลอดภัย ➡️ MQTT เป็นโปรโตคอล lightweight ที่นิยมใช้ใน IoT แต่ต้องเข้ารหัสเพื่อความปลอดภัย ➡️ LoRaWAN เหมาะกับการสื่อสารระยะไกล แต่มีข้อจำกัดด้านความปลอดภัย ➡️ CVE (Common Vulnerabilities and Exposures) เป็นระบบจัดการช่องโหว่ที่ใช้ทั่วโลก ➡️ การจัดการ session ที่ดีต้องมีการหมดอายุและตรวจสอบสิทธิ์ซ้ำ https://hackread.com/20-yolink-iot-gateway-vulnerabilities-home-security/

🧨 “มัลแวร์ซ่อนใน ZIP ปลอม — แค่คลิกไฟล์ลัด ก็เปิดทางให้แฮกเกอร์ควบคุมเครื่องคุณ” Blackpoint Cyber ได้เปิดเผยแคมเปญฟิชชิ่งรูปแบบใหม่ที่ใช้ไฟล์ ZIP ปลอมเป็นเครื่องมือโจมตี โดยภายในไฟล์ ZIP จะมีไฟล์ลัด (.lnk) ที่ดูเหมือนเอกสารสำคัญ เช่น สแกนพาสปอร์ต, ใบรับรอง, หรือไฟล์การชำระเงิน ซึ่งออกแบบมาเพื่อหลอกผู้บริหารหรือพนักงานระดับสูงให้เปิดใช้งาน เมื่อเหยื่อคลิกไฟล์ลัดนั้น จะมีการเรียกใช้ PowerShell เบื้องหลังทันที โดยดาวน์โหลดไฟล์ DLL ที่ถูกปลอมชื่อให้ดูเหมือนไฟล์ PowerPoint จากเว็บไซต์ภายนอก จากนั้นใช้โปรแกรม rundll32.exe ซึ่งเป็นเครื่องมือใน Windows เองในการรันมัลแวร์ — เทคนิคนี้เรียกว่า “Living off the Land” เพราะใช้เครื่องมือที่มีอยู่ในระบบเพื่อหลบเลี่ยงการตรวจจับ มัลแวร์ยังมีความสามารถในการตรวจสอบว่ามีโปรแกรมแอนตี้ไวรัสอยู่หรือไม่ เช่น AVG, Avast หรือ Bitdefender โดยดูจาก process ที่กำลังทำงานอยู่ หากพบว่ามี AV ก็จะเลือก payload ที่เหมาะสมเพื่อหลบเลี่ยงการตรวจจับ เช่น BD3V.ppt หากมี AV หรือ NORVM.ppt หากไม่มี สุดท้าย มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อให้แฮกเกอร์สามารถควบคุมเครื่องจากระยะไกล, สอดแนมไฟล์, และส่งมัลแวร์เพิ่มเติมได้ในภายหลัง ✅ ข้อมูลสำคัญจากข่าว ➡️ มัลแวร์ถูกซ่อนไว้ในไฟล์ ZIP ที่ดูเหมือนเอกสารสำคัญ เช่น พาสปอร์ตหรือใบชำระเงิน ➡️ ภายใน ZIP มีไฟล์ลัด (.lnk) ที่เรียกใช้ PowerShell เพื่อดาวน์โหลด DLL ปลอม ➡️ DLL ถูกปลอมชื่อให้ดูเหมือนไฟล์ PowerPoint เพื่อหลอกผู้ใช้ ➡️ ใช้ rundll32.exe ซึ่งเป็นโปรแกรมใน Windows เองในการรันมัลแวร์ ➡️ เทคนิคนี้เรียกว่า “Living off the Land” เพื่อหลบเลี่ยงการตรวจจับ ➡️ มัลแวร์ตรวจสอบโปรแกรมแอนตี้ไวรัสก่อนเลือก payload ที่เหมาะสม ➡️ หากพบ AV จะใช้ BD3V.ppt หากไม่พบจะใช้ NORVM.ppt ➡️ เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อควบคุมเครื่องและส่ง payload เพิ่มเติม ✅ ข้อมูลเสริมจากภายนอก ➡️ rundll32.exe เป็นโปรแกรมที่ใช้เรียก DLL ใน Windows โดยปกติใช้ในงานระบบ ➡️ PowerShell เป็นเครื่องมือที่ทรงพลังใน Windows และมักถูกใช้ในมัลแวร์แบบ fileless ➡️ “Living off the Land” คือการใช้เครื่องมือในระบบเพื่อทำงานอันตรายโดยไม่ต้องติดตั้งอะไรเพิ่ม ➡️ .lnk file เป็น shortcut ที่สามารถตั้งค่าให้เรียกคำสั่งหรือโปรแกรมได้ทันที ➡️ การปลอมชื่อไฟล์ให้ดูเหมือนเอกสารทั่วไปเป็นเทคนิค social engineering ที่ใช้กันแพร่หลาย https://hackread.com/malicious-zip-files-windows-shortcuts-malware/

📡 “TOTOLINK X6000R เจอช่องโหว่ร้ายแรง! แฮกเกอร์เจาะระบบได้ทันทีโดยไม่ต้องล็อกอิน” นักวิจัยจาก Unit 42 ของ Palo Alto Networks เปิดเผยช่องโหว่ความปลอดภัยระดับ “วิกฤต” ในเราเตอร์ TOTOLINK X6000R ซึ่งใช้เฟิร์มแวร์เวอร์ชัน V9.4.0cu.1360_B20241207 โดยช่องโหว่นี้เปิดทางให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์จากระยะไกลได้โดยไม่ต้องยืนยันตัวตนเลย ช่องโหว่หลัก CVE-2025-52906 เกิดจากฟังก์ชัน setEasyMeshAgentCfg ที่ไม่ตรวจสอบค่าพารามิเตอร์ agentName อย่างเหมาะสม ทำให้แฮกเกอร์สามารถฝังคำสั่งระบบ (command injection) เข้าไปได้โดยตรง และรันด้วยสิทธิ์ root ซึ่งหมายความว่าแฮกเกอร์สามารถ: ⚠️ ดักฟังข้อมูลในเครือข่าย ⚠️ เจาะไปยังอุปกรณ์อื่นในเครือข่ายเดียวกัน ⚠️ ติดตั้งมัลแวร์แบบถาวรในเราเตอร์ นอกจากนี้ยังมีอีกสองช่องโหว่ที่ถูกค้นพบในเฟิร์มแวร์เดียวกัน ได้แก่: ⚠️ CVE-2025-52905: ช่องโหว่ argument injection ที่เกิดจากการกรอง input ไม่สมบูรณ์ โดยไม่กรองเครื่องหมาย “-” ทำให้สามารถโจมตีแบบ DoS ได้ ⚠️ CVE-2025-52907: ช่องโหว่ security bypass ที่เปิดทางให้เขียนไฟล์ระบบโดยไม่ต้องล็อกอิน เช่น แก้ไขไฟล์ /etc/passwd เพื่อสร้างผู้ใช้ใหม่ หรือเปลี่ยน boot script เพื่อฝังมัลแวร์ถาวร TOTOLINK ได้ออกแพตช์แก้ไขแล้วในเฟิร์มแวร์เวอร์ชัน V9.4.0cu.1498_B20250826 และแนะนำให้ผู้ใช้ทุกคนอัปเดตทันทีเพื่อป้องกันการถูกโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ TOTOLINK X6000R พบช่องโหว่ร้ายแรง 3 รายการในเฟิร์มแวร์ V9.4.0cu.1360_B20241207 ➡️ CVE-2025-52906 เป็นช่องโหว่ command injection ที่ไม่ต้องล็อกอินและรันคำสั่งด้วยสิทธิ์ root ➡️ ช่องโหว่นี้อยู่ในฟังก์ชัน setEasyMeshAgentCfg ที่ไม่ตรวจสอบ agentName ➡️ CVE-2025-52905 เป็น argument injection ที่เกิดจากการไม่กรองเครื่องหมาย “-” ➡️ CVE-2025-52907 เป็นช่องโหว่ security bypass ที่เปิดทางให้เขียนไฟล์ระบบโดยไม่ต้องล็อกอิน ➡️ TOTOLINK ออกแพตช์แก้ไขในเวอร์ชัน V9.4.0cu.1498_B20250826 ➡️ ผู้ใช้ควรอัปเดตเฟิร์มแวร์ทันทีเพื่อป้องกันการถูกโจมตี ✅ ข้อมูลเสริมจากภายนอก ➡️ Command injection เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะสามารถควบคุมระบบได้เต็มรูปแบบ ➡️ การเขียนไฟล์ระบบ เช่น /etc/passwd เป็นเทคนิคที่ใช้ในการสร้างผู้ใช้ปลอมเพื่อควบคุมอุปกรณ์ ➡️ การโจมตีแบบ DoS ผ่าน argument injection สามารถทำให้เราเตอร์ล่มหรือหยุดให้บริการ ➡️ TOTOLINK เป็นแบรนด์ที่มีการใช้งานแพร่หลายทั่วโลก โดยเฉพาะในกลุ่มผู้ใช้ตามบ้านและ SME ➡️ การอัปเดตเฟิร์มแวร์เป็นวิธีป้องกันที่มีประสิทธิภาพที่สุดสำหรับอุปกรณ์ IoT https://securityonline.info/critical-flaw-cve-2025-52906-cvss-9-3-allows-unauthenticated-rce-on-totolink-x6000r-routers/

🧠 “Detour Dog มัลแวร์ DNS สุดแสบ — ซ่อนคำสั่งใน TXT Record หลอกเว็บทั่วโลกให้กลายเป็นฐานโจมตี” Infoblox และ Shadowserver ร่วมกันเปิดโปงแคมเปญมัลแวร์ระดับโลกที่ใช้ชื่อว่า “Detour Dog” ซึ่งแฮกเกอร์เบื้องหลังได้ใช้เทคนิคใหม่ในการควบคุมเว็บไซต์ที่ติดมัลแวร์ผ่านระบบ DNS โดยเฉพาะการใช้ DNS TXT records เป็นช่องทางส่งคำสั่ง (Command and Control หรือ C2) แบบลับ ๆ ที่ไม่สามารถตรวจจับได้จากฝั่งผู้ใช้งานทั่วไป มัลแวร์นี้ฝังตัวอยู่ในเว็บไซต์หลายหมื่นแห่งทั่วโลก โดยเว็บไซต์เหล่านี้จะส่งคำขอ DNS จากฝั่งเซิร์ฟเวอร์ไปยัง name server ที่ควบคุมโดยแฮกเกอร์ ซึ่งจะตอบกลับด้วยคำสั่งที่ซ่อนอยู่ใน TXT record เช่น redirect ผู้ใช้ไปยังหน้าโฆษณาหลอกลวง หรือแม้แต่สั่งให้เว็บไซต์รันโค้ดจากเซิร์ฟเวอร์ระยะไกล ตั้งแต่กลางปี 2025 Detour Dog ได้พัฒนาให้สามารถติดตั้งมัลแวร์ backdoor ชื่อ StarFish ซึ่งใช้เป็นตัวนำ Strela Stealer เข้าสู่เครื่องของผู้ใช้ โดยพบว่า 69% ของเซิร์ฟเวอร์ที่ใช้ติดตั้ง StarFish อยู่ภายใต้การควบคุมของ Detour Dog ในเดือนสิงหาคม Shadowserver ได้ sinkhole โดเมนหลักของ Detour Dog (webdmonitor[.]io) และพบว่ามีการส่งคำขอ TXT มากกว่า 39 ล้านครั้งภายใน 48 ชั่วโมงจากเว็บไซต์ที่ติดมัลแวร์กว่า 30,000 แห่งใน 584 โดเมนระดับบน (TLD) โดยมี IP จากหน่วยงานสำคัญ เช่น กระทรวงกลาโหมสหรัฐฯ ปรากฏอยู่ในคำขอด้วย แม้จะถูกปิดโดเมนหลัก แต่ Detour Dog ก็สามารถตั้งโดเมนใหม่ (aeroarrows[.]io) ได้ภายในไม่กี่ชั่วโมง แสดงถึงความยืดหยุ่นและความเร็วในการฟื้นตัวของโครงสร้างมัลแวร์ Infoblox เตือนว่า DNS ซึ่งมักถูกมองข้ามในด้านความปลอดภัย กำลังกลายเป็นช่องทางใหม่ในการกระจายมัลแวร์ และแนะนำให้องค์กรตรวจสอบ DNS TXT record อย่างละเอียด รวมถึงติดตามโดเมน redirect ที่น่าสงสัย ✅ ข้อมูลสำคัญจากข่าว ➡️ Detour Dog ใช้ DNS TXT record เป็นช่องทางส่งคำสั่งควบคุมมัลแวร์ (C2) ➡️ เว็บไซต์ที่ติดมัลแวร์จะส่งคำขอ DNS จากฝั่งเซิร์ฟเวอร์ไปยัง name server ที่ควบคุมโดยแฮกเกอร์ ➡️ คำสั่งที่ส่งกลับมาอาจเป็น redirect หรือคำสั่งให้รันโค้ดจากเซิร์ฟเวอร์ระยะไกล ➡️ Detour Dog ใช้มัลแวร์ StarFish เป็นตัวนำ Strela Stealer เข้าสู่ระบบ ➡️ 69% ของเซิร์ฟเวอร์ที่ใช้ติดตั้ง StarFish อยู่ภายใต้การควบคุมของ Detour Dog ➡️ Shadowserver พบคำขอ TXT มากกว่า 39 ล้านครั้งใน 48 ชั่วโมงจาก 30,000 เว็บไซต์ ➡️ Detour Dog สามารถตั้งโดเมนใหม่ได้ภายในไม่กี่ชั่วโมงหลังถูกปิด ➡️ Infoblox เตือนให้องค์กรตรวจสอบ DNS TXT record และโดเมน redirect อย่างละเอียด ✅ ข้อมูลเสริมจากภายนอก ➡️ DNS TXT record เดิมใช้สำหรับเก็บข้อมูลเสริม เช่น SPF หรือ DKIM แต่ถูกนำมาใช้ส่งคำสั่งมัลแวร์ ➡️ Strela Stealer เป็นมัลแวร์ขโมยข้อมูลที่เน้นเจาะอีเมลและเบราว์เซอร์ ➡️ การ sinkhole คือการเปลี่ยนเส้นทางโดเมนมัลแวร์ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยนักวิจัยเพื่อเก็บข้อมูล ➡️ Passive DNS log ช่วยให้เห็นภาพรวมของการโจมตีและการกระจายคำสั่ง ➡️ Detour Dog อาจเป็นโครงสร้างบริการมัลแวร์ที่เปิดให้กลุ่มอื่นใช้งานร่วม https://securityonline.info/detour-dog-stealthy-dns-malware-uses-txt-records-for-command-and-control/

🔥 “Cisco ASA/FTD ถูกเจาะทะลุ — ช่องโหว่ RCE เปิดทางยึดไฟร์วอลล์กว่า 50,000 เครื่องทั่วโลก” Cisco และหน่วยงานด้านความปลอดภัยไซเบอร์ของสหรัฐฯ (CISA) ออกคำเตือนด่วนถึงผู้ใช้งานไฟร์วอลล์รุ่น Adaptive Security Appliance (ASA) และ Firewall Threat Defense (FTD) หลังพบช่องโหว่ร้ายแรงสองรายการที่ถูกใช้โจมตีจริงแล้วในโลกออนไลน์ ได้แก่ CVE-2025-20333 และ CVE-2025-20362 ช่องโหว่แรก (20333) เป็น buffer overflow ที่มีคะแนนความรุนแรงสูงถึง 9.9/10 ซึ่งเปิดทางให้แฮกเกอร์สามารถรันคำสั่งจากระยะไกลโดยไม่ต้องยืนยันตัวตน ส่วนช่องโหว่ที่สอง (20362) เป็นการขาดการตรวจสอบสิทธิ์ที่ทำให้ผู้โจมตีสามารถเข้าถึงระบบได้ง่ายขึ้น แม้จะมีคะแนนความรุนแรงต่ำกว่า (6.5/10) แต่เมื่อใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ได้เต็มรูปแบบ จากการตรวจสอบโดย Shadowserver พบว่ามีอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่องทั่วโลก โดยประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ (19,610 เครื่อง) ตามด้วยสหราชอาณาจักรและเยอรมนี Cisco ได้ออกแพตช์แก้ไขแล้ว และเน้นย้ำว่า “ไม่มีวิธีแก้ชั่วคราว” สำหรับช่องโหว่นี้ ผู้ใช้ต้องอัปเดตซอฟต์แวร์ทันทีเพื่อป้องกันการถูกโจมตี โดยเฉพาะองค์กรที่ใช้ VPN ผ่าน Web Interface ซึ่งเป็นจุดที่แฮกเกอร์ใช้โจมตีมากที่สุด CISA ได้ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลสหรัฐฯ ตรวจสอบและส่งไฟล์หน่วยความจำของอุปกรณ์ให้วิเคราะห์ภายใน 24 ชั่วโมง พร้อมแนะนำให้ทุกองค์กรทั้งภาครัฐและเอกชนดำเนินการตามแนวทางเดียวกัน ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-20333 และ CVE-2025-20362 ถูกใช้โจมตีจริงแล้วในโลกออนไลน์ ➡️ ช่องโหว่แรกเป็น buffer overflow (คะแนน 9.9/10) ส่วนช่องโหว่ที่สองเป็น missing authorization (คะแนน 6.5/10) ➡️ ใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ Cisco ASA/FTD ได้เต็มรูปแบบ ➡️ Shadowserver พบอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่อง ➡️ ประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ สหราชอาณาจักร และเยอรมนี ➡️ Cisco ออกแพตช์แล้ว และยืนยันว่าไม่มีวิธีแก้ชั่วคราว ต้องอัปเดตเท่านั้น ➡️ CISA ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลดำเนินการตรวจสอบทันที ➡️ ช่องโหว่ส่งผลต่อการใช้งาน VPN ผ่าน Web Interface เป็นหลัก https://www.techradar.com/pro/security/around-50-000-cisco-firewalls-are-vulnerable-to-attack-so-patch-now

🛡️ “Western Digital อุดช่องโหว่ร้ายแรงใน My Cloud NAS — เสี่ยงโดนยึดเครื่องเต็มรูปแบบผ่าน HTTP POST” Western Digital (WD) ได้ออกแพตช์อัปเดตความปลอดภัยครั้งสำคัญสำหรับอุปกรณ์ NAS ตระกูล My Cloud หลังพบช่องโหว่ระดับ “วิกฤต” ที่เปิดทางให้แฮกเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่นี้ถูกระบุด้วยรหัส CVE-2025-30247 และได้รับคะแนนความรุนแรง 9.3/10 ซึ่งถือว่าอยู่ในระดับสูงสุดของการประเมินความเสี่ยง ช่องโหว่นี้เกิดจากการ “OS command injection” ในส่วนของ user interface ของ My Cloud โดยผู้โจมตีสามารถส่ง HTTP POST request ที่ถูกปรับแต่งมาอย่างเฉพาะเจาะจงเพื่อสั่งให้ระบบรันคำสั่งในระดับระบบปฏิบัติการ ซึ่งหมายความว่าแฮกเกอร์สามารถเข้าถึงไฟล์ทั้งหมดในเครื่อง หรือใช้ NAS เป็นฐานโจมตีอุปกรณ์อื่นในเครือข่ายได้ทันที WD ได้ออกแพตช์เวอร์ชัน 5.31.108 เพื่อแก้ไขปัญหานี้ โดยแนะนำให้ผู้ใช้ตรวจสอบว่าอุปกรณ์ของตนได้รับการอัปเดตแล้วหรือยัง แม้ระบบจะตั้งค่าให้จัดการอัปเดตอัตโนมัติ แต่ WD ก็ยังเน้นให้ผู้ใช้ตรวจสอบด้วยตนเองเพื่อความมั่นใจ สำหรับอุปกรณ์ที่หมดอายุการสนับสนุน (end-of-life) เช่น My Cloud DL4100 และ DL2100 จะไม่ได้รับแพตช์นี้ ทำให้ผู้ใช้ต้องตัดสินใจว่าจะเปลี่ยนไปใช้รุ่นใหม่ หรือถอดอุปกรณ์ออกจากระบบออนไลน์เพื่อป้องกันการโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-30247 เป็น OS command injection ใน My Cloud NAS ➡️ ผู้โจมตีสามารถส่ง HTTP POST request เพื่อรันคำสั่งในระดับระบบปฏิบัติการ ➡️ ช่องโหว่นี้เปิดทางให้เกิด remote code execution (RCE) โดยไม่ต้องยืนยันตัวตน ➡️ WD ออกแพตช์เวอร์ชัน 5.31.108 เพื่อแก้ไขช่องโหว่นี้ ➡️ ระบบอัปเดตอัตโนมัติเปิดใช้งานโดยค่าเริ่มต้น แต่ WD แนะนำให้ตรวจสอบด้วยตนเอง ➡️ อุปกรณ์ที่ได้รับผลกระทบ ได้แก่ PR2100, PR4100, EX4100, EX2 Ultra, Mirror Gen 2, EX2100 และ WDBCTLxxxxxx-10 ➡️ อุปกรณ์ DL4100 และ DL2100 ไม่ได้รับการอัปเดต เพราะหมดอายุการสนับสนุน ➡️ WD แนะนำให้ผู้ใช้ถอดอุปกรณ์ออกจากระบบออนไลน์หากยังไม่ได้อัปเดต ✅ ข้อมูลเสริมจากภายนอก ➡️ ช่องโหว่ลักษณะนี้เคยเกิดขึ้นกับ WD ในปี 2023 และถูกใช้โจมตีจริงในบางกรณี ➡️ NAS เป็นอุปกรณ์ที่มักเปิดพอร์ตไว้เพื่อใช้งานจากระยะไกล ทำให้เป็นเป้าหมายง่ายสำหรับแฮกเกอร์ ➡️ การโจมตีแบบ RCE สามารถนำไปสู่การขโมยข้อมูล การติดตั้ง ransomware หรือการโจมตีเครือข่ายภายใน ➡️ WMI (Windows Management Instrumentation) เป็นเครื่องมือที่แฮกเกอร์นิยมใช้ในการควบคุมระบบ Windows จากระยะไกล ➡️ การอัปเดต firmware เป็นวิธีป้องกันที่มีประสิทธิภาพที่สุดสำหรับอุปกรณ์ IoT และ NAS https://www.techradar.com/pro/security/wd-patches-nas-security-flaw-which-could-have-allowed-full-takeover

“พล.อ.อ.เสกสรร” ประเดิมตำแหน่ง ผบ.ทอ.ตรวจเยี่ยมกองบิน 3 สระแก้ว เผย แม้ที่ผ่านมาได้รับคำชมจาก ผบ.ทบ. แต่ไม่ควรชะล่าใจ มองจากนี้อาจถูกโจมตีด้วยโดรนขนาดเล็ก-อาวุธระยะไกลยิงเข้าใส่ ลั่นจะทำให้ดีที่สุด ให้การรบร่วม 2 เหล่าทัพ 3 เหล่าทัพ ให้มีประสิทธิภาพสูงสุด อ่านต่อ..https://news1live.com/detail/9680000093782 #News1live #News1 #SondhiX #Sondhitalk #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire

🔐 “OpenSSL แพตช์ช่องโหว่ 3 รายการ — เสี่ยง RCE, Side-Channel และ Crash จาก IPv6 ‘no_proxy’” OpenSSL ซึ่งเป็นไลบรารีเข้ารหัสที่ใช้กันอย่างแพร่หลายทั่วโลก ได้ออกแพตช์อัปเดตเมื่อวันที่ 30 กันยายน 2025 เพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการที่ส่งผลกระทบต่อทุกเวอร์ชันหลัก ตั้งแต่ 1.0.2 ถึง 3.5 โดยมีระดับความรุนแรงตั้งแต่ Low ถึง Moderate แต่มีผลกระทบที่อาจร้ายแรงในบางบริบท ช่องโหว่แรก (CVE-2025-9230) เป็นการอ่านและเขียนข้อมูลนอกขอบเขต (Out-of-Bounds Read & Write) ในกระบวนการถอดรหัส CMS ที่ใช้การเข้ารหัสแบบรหัสผ่าน (PWRI) ซึ่งอาจนำไปสู่การ crash หรือแม้แต่การรันโค้ดจากผู้โจมตีได้ แม้โอกาสในการโจมตีจะต่ำ เพราะ CMS แบบ PWRI ใช้น้อยมากในโลกจริง แต่ช่องโหว่นี้ยังคงถูกจัดว่า “Moderate” และส่งผลต่อทุกเวอร์ชันหลักของ OpenSSL ช่องโหว่ที่สอง (CVE-2025-9231) เป็นการโจมตีแบบ Timing Side-Channel บนแพลตฟอร์ม ARM64 ที่ใช้ SM2 algorithm ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถวัดเวลาและกู้คืน private key ได้จากระยะไกลในบางกรณี โดยเฉพาะเมื่อมีการใช้ provider แบบ custom ที่รองรับ SM2 ช่องโหว่สุดท้าย (CVE-2025-9232) เป็นการอ่านข้อมูลนอกขอบเขตใน HTTP client API เมื่อมีการตั้งค่า no_proxy และใช้ URL ที่มี IPv6 ซึ่งอาจทำให้แอปพลิเคชัน crash ได้ แม้จะมีโอกาสโจมตีต่ำ แต่ก็ส่งผลต่อระบบที่ใช้ OCSP และ CMP ที่อิง HTTP client ของ OpenSSL OpenSSL ได้ออกแพตช์สำหรับเวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm โดยแนะนำให้ผู้ใช้ทุกคนอัปเดตทันทีเพื่อป้องกันความเสี่ยง แม้ FIPS module จะไม่ได้รับผลกระทบ แต่โค้ดที่อยู่ภายนอกยังคงเสี่ยงต่อการโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ OpenSSL ออกแพตช์แก้ไขช่องโหว่ 3 รายการเมื่อวันที่ 30 กันยายน 2025 ➡️ CVE-2025-9230: Out-of-Bounds Read & Write ในการถอดรหัส CMS แบบ PWRI ➡️ CVE-2025-9231: Timing Side-Channel ใน SM2 บน ARM64 อาจกู้คืน private key ได้ ➡️ CVE-2025-9232: Out-of-Bounds Read ใน HTTP client เมื่อใช้ no_proxy กับ IPv6 ➡️ ช่องโหว่ทั้งหมดส่งผลต่อเวอร์ชัน 1.0.2 ถึง 3.5 ของ OpenSSL ➡️ แพตช์ใหม่ได้แก่เวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm ➡️ FIPS module ไม่ได้รับผลกระทบ เพราะโค้ดที่มีช่องโหว่อยู่ภายนอก boundary ✅ ข้อมูลเสริมจากภายนอก ➡️ SM2 เป็นอัลกอริธึมเข้ารหัสที่ใช้ในประเทศจีน และไม่เป็นมาตรฐาน TLS ทั่วไป ➡️ Timing Side-Channel เป็นเทคนิคที่ใช้วัดเวลาการประมวลผลเพื่อกู้ข้อมูลลับ ➡️ CMS (Cryptographic Message Syntax) ใช้ในระบบอีเมลและเอกสารที่เข้ารหัส ➡️ no_proxy เป็น environment variable ที่ใช้ควบคุมการ bypass proxy ใน HTTP client ➡️ OCSP และ CMP เป็นโปรโตคอลที่ใช้ตรวจสอบใบรับรองดิจิทัลในระบบ PKI https://securityonline.info/openssl-patches-three-flaws-timing-side-channel-rce-risk-and-memory-corruption-affect-all-versions/

🐍 “ช่องโหว่ RCE ร้ายแรงใน Apache Fory’s Python Module — เมื่อการ deserialize กลายเป็นประตูหลังให้แฮกเกอร์” Apache Fory ซึ่งเป็นเฟรมเวิร์ก serialization แบบ multi-language ที่เน้นประสิทธิภาพสูง ได้เปิดเผยช่องโหว่ร้ายแรงในโมดูล Python ที่ชื่อว่า “pyfory” โดยช่องโหว่นี้ถูกระบุในรหัส CVE-2025-61622 และมีระดับความรุนแรง “Critical” ด้วยคะแนน CVSS สูงสุดถึง 9.8 ช่องโหว่นี้เกิดจากการใช้ fallback serializer ที่เรียกว่า “pickle” ซึ่งเป็นกลไกใน Python สำหรับการแปลงข้อมูลให้สามารถจัดเก็บและส่งต่อได้ แต่หากนำไปใช้กับข้อมูลที่ไม่ได้รับการตรวจสอบหรือมาจากแหล่งที่ไม่เชื่อถือ ก็สามารถเปิดช่องให้แฮกเกอร์ส่งข้อมูลที่ถูกออกแบบมาเพื่อเรียกใช้ pickle.loads() ซึ่งจะนำไปสู่การรันโค้ดอันตรายจากระยะไกล (Remote Code Execution) ช่องโหว่นี้ส่งผลกระทบต่อ pyfory ตั้งแต่เวอร์ชัน 0.5.0 ถึง 0.12.2 โดยเฉพาะในแอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองหรือป้องกันอย่างเหมาะสม ทีม Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 ซึ่งได้ลบ fallback pickle serializer ออกไปโดยสิ้นเชิง เพื่อปิดช่องทางการโจมตีนี้ และแนะนำให้ผู้ใช้อัปเดตทันทีโดยไม่มีวิธีแก้ไขชั่วคราว (workaround) ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-61622 เป็น Remote Code Execution (RCE) ในโมดูล pyfory ของ Apache Fory ➡️ เกิดจากการใช้ fallback serializer แบบ pickle โดยไม่มีการป้องกัน ➡️ ผู้โจมตีสามารถส่งข้อมูลที่บังคับให้ระบบใช้ pickle.loads() ซึ่งเปิดทางให้รันโค้ดอันตราย ➡️ ส่งผลกระทบต่อเวอร์ชัน 0.5.0 ถึง 0.12.2 ของ pyfory ➡️ แอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองจะเสี่ยงสูง ➡️ Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 โดยลบ pickle fallback ออกไป ➡️ ไม่มี workaround ชั่วคราว ต้องอัปเดตแพตช์ทันที ✅ ข้อมูลเสริมจากภายนอก ➡️ pickle ใน Python เป็นเครื่องมือ serialization ที่ทรงพลังแต่มีความเสี่ยงสูง ➡️ การใช้ pickle กับข้อมูลที่ไม่ได้รับการตรวจสอบถือเป็นแนวทางที่ไม่ปลอดภัย ➡️ ช่องโหว่ลักษณะนี้เคยถูกใช้ในมัลแวร์และการโจมตีแบบ supply chain ➡️ Apache Fory เป็นเฟรมเวิร์กที่ใช้ในระบบ distributed และ AI pipeline หลายแห่ง ➡️ การลบ fallback serializer เป็นแนวทางที่ปลอดภัยที่สุดในการป้องกัน RCE https://securityonline.info/critical-rce-flaw-in-apache-forys-python-module-cve-2025-61622/

📡 “Snapdragon Guardian: ระบบจัดการพีซีผ่านเครือข่ายเซลลูลาร์ — ควบคุมได้แม้เครื่องดับ อินเทล vPro ต้องมีหนาว” Qualcomm เปิดตัวเทคโนโลยีใหม่ในชื่อ “Snapdragon Guardian” ซึ่งเป็นแพลตฟอร์มจัดการและรักษาความปลอดภัยสำหรับพีซีที่ออกแบบมาเพื่อเป็นคู่แข่งโดยตรงกับ Intel vPro โดยความโดดเด่นของ Guardian คือความสามารถในการควบคุมอุปกรณ์ได้แม้ในขณะที่เครื่องปิดอยู่ ไม่เชื่อมต่อ Wi-Fi หรือแม้แต่บูตไม่ขึ้น — ทั้งหมดนี้เป็นไปได้ด้วยการฝังโมเด็ม 4G, 5G และ Wi-Fi 7 ไว้ในตัวชิปโดยตรง2 Guardian จะเปิดตัวพร้อมกับ Snapdragon X2 Elite และ X2 Elite Extreme ซึ่งเป็นชิปโน้ตบุ๊กรุ่นใหม่ที่เน้นการประมวลผล AI และการเชื่อมต่อแบบ always-on โดยระบบนี้ผสานฮาร์ดแวร์ เฟิร์มแวร์ และบริการคลาวด์เข้าด้วยกัน ทำให้สามารถติดตาม, อัปเดต, ล็อก หรือแม้แต่ล้างข้อมูลในเครื่องได้จากระยะไกลผ่านแดชบอร์ดบนเว็บหรือแอปมือถือ2 นอกจากการจัดการอุปกรณ์ในองค์กร Guardian ยังเหมาะกับผู้ใช้ทั่วไปที่ต้องการระบบป้องกันการโจรกรรมหรือการเข้าถึงโดยไม่ได้รับอนุญาต โดยสามารถตั้ง geofencing, ติดตามตำแหน่ง และดำเนินการแก้ไขจากระยะไกลได้ทันที อย่างไรก็ตาม ความสามารถในการเข้าถึงอุปกรณ์แม้ในขณะปิดเครื่องก็ทำให้เกิดคำถามด้านความเป็นส่วนตัวและการควบคุมว่า “ใคร” ควรมีสิทธิ์เข้าถึง และ “เมื่อไร” ควรอนุญาตให้ใช้งานฟีเจอร์เหล่านี้ ✅ ข้อมูลสำคัญจากข่าว ➡️ Snapdragon Guardian เป็นแพลตฟอร์มจัดการพีซีที่ทำงานได้แม้เครื่องปิดหรือไม่เชื่อมต่อ Wi-Fi ➡️ ใช้โมเด็ม 4G, 5G และ Wi-Fi 7 ฝังในตัวชิปเพื่อเชื่อมต่อแบบ always-on ➡️ ผสานฮาร์ดแวร์ เฟิร์มแวร์ และคลาวด์เพื่อจัดการอุปกรณ์แบบ out-of-band ➡️ รองรับการติดตาม, ล็อก, ล้างข้อมูล และอัปเดตจากระยะไกล ➡️ ใช้งานผ่านแดชบอร์ดบนเว็บและแอปมือถือ ➡️ รองรับ geofencing และการติดตามตำแหน่งแบบเรียลไทม์ ➡️ ใช้งานได้ทั้งในองค์กรขนาดใหญ่, SMB และผู้ใช้ทั่วไป ➡️ เปิดตัวพร้อมกับ Snapdragon X2 Elite และ Extreme ในปี 2026 ➡️ Qualcomm ระบุว่า Guardian เข้ากันได้กับระบบจัดการ IT ที่มีอยู่แล้ว ✅ ข้อมูลเสริมจากภายนอก ➡️ Intel vPro ใช้การจัดการแบบ out-of-band ผ่าน LAN แต่ไม่รองรับ cellular ➡️ อุปกรณ์ที่มี Guardian สามารถจัดการได้แม้ถูกขโมยหรืออยู่ต่างประเทศ ➡️ 92% ของการโจมตี ransomware เริ่มจากอุปกรณ์ที่ไม่ได้รับการจัดการ ➡️ Qualcomm กำลังขยายตลาดจากมือถือไปสู่พีซี, รถยนต์ และอุปกรณ์ IoT ➡️ Guardian อาจกลายเป็นมาตรฐานใหม่สำหรับการจัดการ endpoint ในยุค AI https://www.techradar.com/pro/security/qualcomm-has-a-rival-to-intels-popular-vpro-platform-management-system-called-guardian-and-it-can-even-work-without-wi-fi-but-i-dont-know-whether-it-is-such-a-good-thing

🦈 “Ghost Shark: เรือดำน้ำไร้คนขับแห่งอนาคตของออสเตรเลีย — เมื่อ AI ใต้น้ำกลายเป็นอาวุธยุทธศาสตร์ระดับชาติ” กองทัพเรือออสเตรเลียได้เปิดตัวโครงการ Ghost Shark อย่างเป็นทางการในเดือนกันยายน 2025 โดยเป็นการลงทุนครั้งใหญ่กว่า 1.7 พันล้านดอลลาร์ออสเตรเลีย (ประมาณ 1.12 พันล้านดอลลาร์สหรัฐ) เพื่อจัดซื้อเรือดำน้ำไร้คนขับแบบ XL-AUV (Extra-Large Autonomous Undersea Vehicle) จากบริษัท Anduril Industries ซึ่งจะผลิตภายในประเทศโดย Anduril Australia ร่วมกับบริษัทในเครือกว่า 40 แห่ง Ghost Shark ถูกออกแบบมาเพื่อภารกิจด้านข่าวกรอง การลาดตระเวน และการโจมตีแบบลับ โดยมีความสามารถในการปฏิบัติการระยะไกลโดยไม่ต้องใช้ลูกเรือ และสามารถปล่อยจากชายฝั่งหรือเรือรบได้โดยตรง ตัวเรือยังสามารถขนส่งผ่านเครื่องบิน C-17A Globemaster III ได้ในตู้คอนเทนเนอร์มาตรฐาน ทำให้สามารถนำไปใช้งานได้ทั่วโลก แม้รายละเอียดทางเทคนิคจะยังถูกเก็บเป็นความลับ แต่มีการคาดการณ์ว่า Ghost Shark อาจสามารถติดตั้งตอร์ปิโด Mark 48 ซึ่งเป็นอาวุธหนักที่กองทัพเรือออสเตรเลียใช้อยู่ และอาจมีระบบ AI “Lattice” ที่ช่วยให้เรือสามารถควบคุมโดรนอื่น ๆ ได้เอง โครงการนี้เริ่มต้นจากการลงทุนพัฒนาเบื้องต้นราว 140 ล้านดอลลาร์ออสเตรเลีย และใช้เวลาเพียง 3 ปีจากแนวคิดสู่การผลิตจริง โดยมีการส่งมอบต้นแบบแล้ว 3 ลำ และเตรียมเข้าสู่การผลิตเต็มรูปแบบในปีหน้า Ghost Shark ไม่เพียงแต่จะเสริมกำลังเรือดำน้ำแบบมีลูกเรือเท่านั้น แต่ยังเป็นส่วนหนึ่งของยุทธศาสตร์ป้องกันประเทศที่เน้นการใช้เทคโนโลยีอัตโนมัติ เพื่อสร้างความได้เปรียบเชิงยุทธศาสตร์ในภูมิภาคอินโดแปซิฟิก และอาจกลายเป็นสินค้าส่งออกด้านความมั่นคงในอนาคต ✅ ข้อมูลสำคัญจากข่าว ➡️ รัฐบาลออสเตรเลียลงทุน 1.7 พันล้านดอลลาร์ออสเตรเลียในโครงการ Ghost Shark ➡️ Ghost Shark เป็นเรือดำน้ำไร้คนขับแบบ XL-AUV ที่พัฒนาโดย Anduril Industries ➡️ ผลิตภายในประเทศโดย Anduril Australia ร่วมกับบริษัทในเครือกว่า 40 แห่ง ➡️ เรือสามารถปล่อยจากชายฝั่งหรือเรือรบ และขนส่งผ่านเครื่องบิน C-17A ได้ ➡️ มีความสามารถด้านข่าวกรอง การลาดตระเวน และการโจมตีแบบลับ ➡️ อาจติดตั้งตอร์ปิโด Mark 48 และใช้ระบบ AI “Lattice” ➡️ ส่งมอบต้นแบบแล้ว 3 ลำ และเตรียมผลิตเต็มรูปแบบในปี 2026 ➡️ โครงการนี้สร้างงานใหม่กว่า 150 ตำแหน่ง และสนับสนุนงานเดิมอีก 120 ตำแหน่ง ➡️ เป็นส่วนหนึ่งของยุทธศาสตร์ป้องกันประเทศตามแผน National Defence Strategy 2024 ✅ ข้อมูลเสริมจากภายนอก ➡️ XL-AUV เป็นเทคโนโลยีที่กำลังได้รับความสนใจจากหลายประเทศ เช่น สหรัฐฯ และญี่ปุ่น ➡️ ระบบ AI ใต้น้ำช่วยให้เรือสามารถตัดสินใจได้เองในภารกิจที่ซับซ้อน ➡️ การใช้เรือไร้คนขับช่วยลดความเสี่ยงต่อชีวิตทหารในภารกิจอันตราย ➡️ Ghost Shark อาจกลายเป็นต้นแบบของการพัฒนาเรือดำน้ำอัตโนมัติในอนาคต ➡️ การขนส่งผ่าน C-17A ทำให้สามารถ deploy ได้รวดเร็วในสถานการณ์ฉุกเฉิน https://www.slashgear.com/1975958/royal-australian-navy-ghost-shark-autonomous-submarine/