นักวิจัยด้านความปลอดภัยจาก Cofense พบว่า แฮกเกอร์กำลังใช้เทคนิคใหม่ที่เรียกว่า "Blob URIs" เพื่อซ่อนหน้าเว็บฟิชชิ่งภายในหน่วยความจำของเบราว์เซอร์ ทำให้ ระบบรักษาความปลอดภัยไม่สามารถตรวจจับได้ และ สามารถขโมยข้อมูลล็อกอินของผู้ใช้ได้อย่างแนบเนียน ✅ Blob URIs ช่วยให้แฮกเกอร์สามารถซ่อนหน้าเว็บฟิชชิ่งภายในเบราว์เซอร์ของเหยื่อ - ทำให้ ไม่มี URL แปลก ๆ หรือโดเมนต้องสงสัยที่สามารถตรวจจับได้ ✅ อีเมลฟิชชิ่งสามารถหลอกให้เหยื่อคลิกเข้าสู่ระบบผ่านหน้าเว็บปลอมที่ดูเหมือนจริง - มักใช้ โดเมนที่ดูน่าเชื่อถือ เช่น Microsoft OneDrive ✅ เมื่อเหยื่อคลิก ‘Sign in’ ระบบจะโหลด Blob URI ที่สร้างหน้าเว็บปลอมขึ้นมาในเบราว์เซอร์ - ทำให้ เหยื่อไม่รู้ตัวว่ากำลังให้ข้อมูลกับแฮกเกอร์ ✅ Blob URIs ทำให้ระบบรักษาความปลอดภัยแบบเดิมไม่สามารถตรวจจับหรือบล็อกได้ - เนื่องจาก หน้าเว็บฟิชชิ่งไม่ได้ถูกโฮสต์บนเซิร์ฟเวอร์สาธารณะ ✅ นักวิจัยแนะนำให้ใช้ Firewall-as-a-Service (FWaaS) และ Zero Trust Network Access (ZTNA) เพื่อป้องกันการโจมตี - ช่วยให้ สามารถตรวจจับกิจกรรมที่น่าสงสัยได้ดีขึ้น https://www.techradar.com/pro/cybercriminals-have-found-a-sneaky-way-of-stealing-tax-accounts-and-even-encrypted-messages-heres-what-you-need-to-know

Google ได้เผยแพร่รายงานเกี่ยวกับการเพิ่มขึ้นของการโจมตีแบบ zero-day ที่มุ่งเป้าไปยังผลิตภัณฑ์สำหรับองค์กร โดยพบว่าช่องโหว่ในอุปกรณ์เครือข่ายและระบบรักษาความปลอดภัยขององค์กรคิดเป็น 44% ของช่องโหว่ zero-day ที่ถูกโจมตีในปี 2024 ซึ่งเพิ่มขึ้น 7% จากปี 2023 แม้ว่าจำนวนช่องโหว่ zero-day โดยรวมจะลดลงจาก 98 รายการในปี 2023 เหลือ 75 รายการในปี 2024 แต่ช่องโหว่ที่เกี่ยวข้องกับผลิตภัณฑ์สำหรับองค์กรกลับเพิ่มขึ้น โดยเฉพาะอุปกรณ์ที่อยู่บริเวณขอบเครือข่าย เช่น VPNs, security gateways และ firewalls ซึ่งเป็นเป้าหมายหลักของการโจมตี Microsoft Windows เป็นระบบที่ถูกโจมตีมากที่สุด โดยมีช่องโหว่ zero-day 22 รายการ เพิ่มขึ้นจาก 16 รายการในปี 2023 ขณะที่ iOS มีช่องโหว่ลดลงจาก 9 รายการในปี 2023 เหลือเพียง 2 รายการ ในปี 2024 ✅ การเพิ่มขึ้นของช่องโหว่ในผลิตภัณฑ์สำหรับองค์กร - ช่องโหว่ในอุปกรณ์เครือข่ายและระบบรักษาความปลอดภัยคิดเป็น 44% ของช่องโหว่ zero-day - เพิ่มขึ้น 7% จากปี 2023 ✅ ระบบที่ถูกโจมตีมากที่สุด - Microsoft Windows: 22 ช่องโหว่ (เพิ่มขึ้นจาก 16 ในปี 2023) - iOS: 2 ช่องโหว่ (ลดลงจาก 9 ในปี 2023) - Google Chrome: 7 ช่องโหว่, Safari: 3 ช่องโหว่ (ลดลงจาก 11 ในปี 2023) ✅ เป้าหมายหลักของการโจมตี - อุปกรณ์ที่อยู่บริเวณขอบเครือข่าย เช่น VPNs, security gateways และ firewalls - อุปกรณ์เหล่านี้มักมีสิทธิ์สูงและสามารถใช้ในการเคลื่อนที่ภายในเครือข่าย ✅ กลุ่มที่อยู่เบื้องหลังการโจมตี - กลุ่มที่เกี่ยวข้องกับการจารกรรมไซเบอร์ เช่น จีน (5 ช่องโหว่), เกาหลีเหนือ (5 ช่องโหว่), รัสเซีย (1 ช่องโหว่) - กลุ่มที่มุ่งเน้นการโจรกรรมทางการเงิน เช่น CSVs และกลุ่มที่ไม่ได้รับการสนับสนุนจากรัฐ https://www.csoonline.com/article/3973769/enterprise-specific-zero-day-exploits-on-the-rise-google-warns.html

บทความนี้กล่าวถึงฟีเจอร์ God Mode ใน Windows 11 ซึ่งเป็นฟีเจอร์ที่ช่วยให้ผู้ใช้งานสามารถเข้าถึงการตั้งค่าระบบและเครื่องมือการจัดการต่างๆ ได้ในที่เดียว โดยการสร้างโฟลเดอร์พิเศษที่มีชื่อว่า GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} บนเดสก์ท็อป ฟีเจอร์นี้เหมาะสำหรับผู้ใช้งานที่ต้องการความสะดวกในการจัดการระบบ เช่น การตั้งค่าผู้ใช้งาน การจัดการดิสก์ และเครื่องมือดูแลระบบ God Mode ไม่ได้เพิ่มฟีเจอร์ใหม่ แต่เป็นการรวมเครื่องมือที่มีอยู่แล้วใน Windows 11 ให้สามารถเข้าถึงได้ง่ายขึ้น โดยเหมาะสำหรับผู้ใช้งานที่มีความรู้ด้านเทคนิค เช่น IT Professionals และ Power Users ✅ การเปิดใช้งาน God Mode - สร้างโฟลเดอร์ใหม่บนเดสก์ท็อป - ตั้งชื่อโฟลเดอร์ว่า GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} ✅ ฟีเจอร์ที่รวมอยู่ใน God Mode - การตั้งค่าผู้ใช้งาน เช่น การเพิ่ม/ลบผู้ใช้งาน - การจัดการดิสก์ เช่น Disk Cleanup และ Defragment - การตั้งค่าความปลอดภัย เช่น Windows Defender Firewall ✅ ประโยชน์ของ God Mode - รวมเครื่องมือกว่า 200 รายการในที่เดียว - ช่วยลดเวลาในการค้นหาเครื่องมือและการตั้งค่าต่างๆ ✅ การสร้างชอร์ตคัตแทนโฟลเดอร์ - สามารถสร้างชอร์ตคัตโดยใช้คำสั่ง explorer shell:::{ED7BA470-8E54-465E-825C-99712043E01C} https://computercity.com/software/windows/how-to-enable-god-mode-on-windows-11

ข่าวนี้กล่าวถึงความร่วมมือระหว่างจีนและปากีสถานในการสร้างระบบเซ็นเซอร์อินเทอร์เน็ตที่คล้ายกับ Great Firewall ของจีน โดยโครงการนี้เริ่มต้นมานานเกือบหนึ่งปี และมีเป้าหมายเพื่อเพิ่มระดับการเซ็นเซอร์และการเฝ้าระวังในปากีสถาน ระบบนี้สามารถบล็อกเว็บไซต์ต่างประเทศส่วนใหญ่ และยังมีความสามารถในการบล็อก VPN ซึ่งเป็นเครื่องมือสำคัญที่ชาวปากีสถานใช้เพื่อเข้าถึงแพลตฟอร์มโซเชียลมีเดียที่ถูกบล็อก เช่น X (Twitter) แม้ว่ารัฐบาลปากีสถานจะอ้างว่าระบบนี้จะถูกใช้เพื่อปกป้องจุดแลกเปลี่ยนข้อมูลเชิงกลยุทธ์ แต่ผู้เชี่ยวชาญกังวลว่าระบบนี้อาจถูกใช้เพื่อควบคุมการแสดงความคิดเห็นและเสรีภาพทางอินเทอร์เน็ต ✅ ความร่วมมือระหว่างจีนและปากีสถาน - จีนช่วยปากีสถานสร้างระบบเซ็นเซอร์อินเทอร์เน็ตที่คล้ายกับ Great Firewall - โครงการนี้เริ่มต้นมานานเกือบหนึ่งปี ✅ ความสามารถของระบบ - สามารถบล็อกเว็บไซต์ต่างประเทศส่วนใหญ่ - มีความสามารถในการบล็อก VPN ✅ เป้าหมายของโครงการ - รัฐบาลปากีสถานอ้างว่าระบบนี้จะถูกใช้เพื่อปกป้องจุดแลกเปลี่ยนข้อมูลเชิงกลยุทธ์ ✅ ผลกระทบต่อการใช้งานอินเทอร์เน็ตในปากีสถาน - ชาวปากีสถานไม่สามารถเข้าถึงแพลตฟอร์มโซเชียลมีเดีย เช่น X (Twitter) ได้โดยไม่ใช้ VPN https://www.techradar.com/vpn/vpn-privacy-security/china-is-helping-pakistan-build-a-great-firewall-like-internet-censorship-system-heres-what-you-need-to-know

Sophos ได้เปิดเผยรายงานเกี่ยวกับการโจมตีทางไซเบอร์ที่เพิ่มขึ้น โดยเฉพาะการโจมตีที่มุ่งเป้าไปยังอุปกรณ์เครือข่าย เช่น firewalls, VPNs และ routers ซึ่งกลายเป็นจุดเริ่มต้นของการบุกรุกเครือข่ายองค์กร โดยการโจมตีเหล่านี้คิดเป็นเกือบ 30% ของการบุกรุกทั้งหมดในรายงานประจำปีของ Sophos และ ransomware ยังคงเป็นประเภทการโจมตีที่ได้รับความนิยมมากที่สุด ✅ อุปกรณ์เครือข่ายเป็นจุดเริ่มต้นของการบุกรุกเครือข่าย - การโจมตีผ่าน VPNs คิดเป็น 25% ของการบุกรุกทั้งหมด - การโจมตีด้วย ransomware คิดเป็น 90% ของกรณีที่เกิดขึ้นในองค์กรขนาดกลาง ✅ การโจมตีทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง - ผู้โจมตีใช้เทคนิค social engineering เพื่อเก็บข้อมูล credentials - AI ช่วยให้การโจมตี phishing มีความซับซ้อนและรวดเร็วมากขึ้น ✅ อุปกรณ์ที่หมดอายุการใช้งาน (EOL) เป็นปัจจัยเสี่ยงสำคัญ - อุปกรณ์เหล่านี้มักไม่ได้รับการอัปเดตและกลายเป็นช่องโหว่ที่ง่ายต่อการโจมตี ✅ การเปลี่ยนแปลงในกลยุทธ์ของผู้โจมตี - ผู้โจมตีไม่จำเป็นต้องใช้มัลแวร์ที่ซับซ้อน แต่สามารถใช้ระบบขององค์กรเองเพื่อโจมตี https://www.techradar.com/pro/security/hackers-are-hitting-firewalls-and-vpns-to-breach-businesses

ข่าวนี้กล่าวถึงการโจมตีที่ใช้ช่องโหว่ Server-Side Request Forgery (SSRF) เพื่อขโมยข้อมูล EC2 Instance Metadata บนเซิร์ฟเวอร์ AWS โดยมีการแนะนำวิธีป้องกันและการแก้ไขปัญหา ✅ ลักษณะของการโจมตี: - ผู้โจมตีใช้ช่องโหว่ SSRF ในเว็บไซต์ที่โฮสต์บน EC2 เพื่อเข้าถึงข้อมูล EC2 Metadata เช่น IP Address, Instance ID และ Security Credentials. - การโจมตีนี้เกิดขึ้นในช่วงเดือนมีนาคม 2025 โดยใช้ช่องโหว่ใน Instance Metadata Service (IMDSv1) ซึ่งเป็นเวอร์ชันเก่าที่ไม่มีการป้องกันด้วย Session Token. ✅ การแก้ไขปัญหา: - F5 Labs แนะนำให้ผู้ใช้งานย้ายไปใช้ IMDSv2 ซึ่งต้องการ Session Token และมีการป้องกันที่ดีกว่า. - การตั้งค่า Web Application Firewall (WAF) เพื่อบล็อก IP ที่น่าสงสัย เช่น IP ที่มี "169.254.169.254" ซึ่งเป็น Internal IP ของ AWS. ✅ การดำเนินการของผู้โจมตี: - ผู้โจมตีเริ่มต้นการโจมตีจาก IP ใน ASN:34534 ซึ่งเป็นของบริษัท FBW NETWORKS SAS ในฝรั่งเศสและโรมาเนีย https://www.csoonline.com/article/3959148/hackers-attempted-to-steal-aws-credentials-using-ssrf-flaws-within-hosted-sites.html

ภัยคุกคามไซเบอร์พุ่งเป้าอุปกรณ์ Juniper, Cisco และ Palo Alto Networks—เตือนผู้ดูแลระบบเร่งแก้ไขช่องโหว่ 🔒🌐 นักวิจัยพบว่ามีการโจมตีอุปกรณ์เครือข่ายจาก Juniper, Cisco และ Palo Alto Networks โดยใช้ช่องโหว่จากรหัสผ่านเริ่มต้นและการไม่อัปเดตแพตช์ แฮกเกอร์พยายามเข้าถึงระบบเพื่อโจมตีหรือใช้เป็นฐานขุดคริปโต องค์กรควร เปลี่ยนรหัสผ่านเริ่มต้น, อัปเดตแพตช์ และเสริมความปลอดภัยด้วย Firewall เพื่อป้องกันภัยคุกคามที่เพิ่มขึ้น ✅ Juniper Networks ถูกโจมตีด้วยการใช้รหัสผ่านเริ่มต้น - แฮกเกอร์ใช้รหัสผ่านเริ่มต้น “t128” และ “128tRoutes” เพื่อพยายามเข้าถึงอุปกรณ์ Session Smart Routing (SSR) - นักวิจัยชี้ว่า ผู้ดูแลระบบควรเปลี่ยนรหัสผ่านทันที เพื่อป้องกันการโจมตี ✅ ช่องโหว่ใน Cisco Smart Licensing Utility (SLU) - Cisco เปิดเผยช่องโหว่ใน SLU ตั้งแต่เดือนกันยายน 2024 และออกแพตช์แก้ไข - อย่างไรก็ตาม ยังมีอุปกรณ์ที่ไม่ได้อัปเดต ทำให้แฮกเกอร์พยายามโจมตีผ่านช่องโหว่นี้ ✅ การสแกนระบบของ Palo Alto Networks เพิ่มขึ้นอย่างมาก - นักวิจัยจาก GreyNoise พบว่ามีการสแกนระบบ GlobalProtect portals ของ Palo Alto Networks จาก IP addresses กว่า 24,000 แห่ง - การโจมตีส่วนใหญ่มาจาก สหรัฐฯ และแคนาดา โดยมีเป้าหมายเพื่อค้นหาช่องโหว่ใหม่ ✅ คำแนะนำสำหรับองค์กร - เปลี่ยนรหัสผ่านเริ่มต้น และตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์ - อัปเดตแพตช์ล่าสุด เพื่อปิดช่องโหว่ที่อาจถูกใช้ในการโจมตี - ใช้ Firewall และระบบตรวจจับภัยคุกคาม เพื่อป้องกันการโจมตีในอนาคต https://www.csoonline.com/article/3953828/surge-in-threat-actors-scanning-juniper-cisco-and-palo-alto-networks-devices.html

นักวิจัยด้านความปลอดภัยพบว่ามีแฮกเกอร์ที่ใช้ช่องโหว่ของเซิร์ฟเวอร์ PostgreSQL ในการขุด Monero มากกว่า 1,500 เซิร์ฟเวอร์ พวกเขาใช้ XMRig-C3 ซึ่งเป็น Cryptominer ที่ยากต่อการตรวจสอบ ขณะที่ 90% ของระบบคลาวด์ใช้ PostgreSQL แบบ Self-hosted และหนึ่งในสามของเซิร์ฟเวอร์เหล่านี้เปิดให้เข้าถึงจากอินเทอร์เน็ต องค์กรควรตรวจสอบการตั้งค่าความปลอดภัย และหลีกเลี่ยงรหัสผ่านที่อ่อนแอเพื่อป้องกันการโจมตี ✅ XMRig-C3—Cryptominer ที่ขุด Monero และหลีกเลี่ยงการตรวจสอบ - Monero เป็นคริปโตที่ ยากต่อการติดตามมากกว่า Bitcoin ทำให้ได้รับความนิยมในกลุ่มอาชญากรไซเบอร์ - การใช้ XMRig-C3 ทำให้เซิร์ฟเวอร์ ทำงานหนักขึ้น และมีค่าไฟฟ้าที่พุ่งสูงขึ้น ✅ กลุ่ม JINX-0126 พัฒนาเทคนิคใหม่เพื่อหลีกเลี่ยงการตรวจจับ - แฮกเกอร์ใช้ การติดตั้ง Cryptominer แบบไม่มีไฟล์ (Fileless Deployment) เพื่อให้การตรวจสอบหาซอฟต์แวร์แปลกปลอมทำได้ยากขึ้น - พวกเขายังตั้งค่าให้แต่ละเซิร์ฟเวอร์ มี Worker ID แยกต่างหาก เพื่อให้วิเคราะห์จำนวนเซิร์ฟเวอร์ที่ติดมัลแวร์ได้ยากขึ้น ✅ เซิร์ฟเวอร์ PostgreSQL มีช่องโหว่มากกว่าที่คาด - Wiz พบว่า เกือบ 90% ของระบบคลาวด์มีการตั้งค่า PostgreSQL ในรูปแบบ Self-hosted - หนึ่งในสามของเซิร์ฟเวอร์เหล่านี้เปิดให้เข้าถึงได้จากอินเทอร์เน็ต ✅ สิ่งที่องค์กรควรทำเพื่อป้องกันการโจมตี - ตรวจสอบการตั้งค่าความปลอดภัยของ PostgreSQL และหลีกเลี่ยงการใช้ รหัสผ่านที่เดาง่าย - ใช้ Firewall และระบบตรวจจับภัยคุกคาม เพื่อลดความเสี่ยง https://www.techradar.com/pro/security/thousands-of-postgresql-servers-are-being-hijacked-to-mine-crypto

ข่าวนี้พูดถึงช่องโหว่ความปลอดภัยใน ระบบพลังงานแสงอาทิตย์ ซึ่งอาจทำให้ นักโจมตีทางไซเบอร์ สามารถควบคุมการผลิตพลังงาน แทรกแซงข้อมูลส่วนตัว หรือแม้กระทั่งขัดขวางการทำงานของโครงข่ายพลังงาน ผู้เชี่ยวชาญจาก Forescout – Vedere Labs ระบุช่องโหว่ใหม่ถึง 46 รายการในอุปกรณ์อินเวอร์เตอร์จากผู้ผลิตรายใหญ่อย่าง Sungrow, Growatt และ SMA โดย 80% ของช่องโหว่ที่รายงานถือเป็นปัญหาร้ายแรงหรือสำคัญ ความเสี่ยงที่เกิดขึ้นจากการเชื่อมต่อออนไลน์: - หลายอินเวอร์เตอร์ในระบบพลังงานแสงอาทิตย์มีการเชื่อมต่ออินเทอร์เน็ตโดยตรง ทำให้ง่ายต่อการโจมตีผ่านการใช้เฟิร์มแวร์ที่ล้าสมัยหรือการเข้ารหัสข้อมูลที่อ่อนแอ ผลกระทบที่เกิดขึ้น: - การโจมตีสามารถทำให้เกิดความไม่สมดุลในโครงข่ายพลังงาน การขโมยข้อมูลที่ละเมิดข้อกำหนดด้าน GDPR รวมถึงการควบคุมอุปกรณ์ภายในบ้านอัจฉริยะ เช่น เครื่องชาร์จรถยนต์ไฟฟ้า คำแนะนำในการป้องกัน: - ผู้ผลิตควรเร่งแก้ไขปัญหาด้วยการอัปเดตระบบ ปรับปรุงโค้ดให้ปลอดภัย และทดสอบเจาะระบบอย่างสม่ำเสมอ นอกจากนี้ ควรมีการใช้ Web Application Firewall และมาตรการความปลอดภัยมาตรฐาน เช่น NIST IR 8259 บทบาทของเจ้าของระบบพลังงานแสงอาทิตย์: - การแยกเครือข่ายของอุปกรณ์แสงอาทิตย์ การตั้งค่าระบบเฝ้าระวังความปลอดภัย และการใช้ซอฟต์แวร์ป้องกันภัยไซเบอร์เป็นสิ่งสำคัญที่ผู้ใช้ควรดำเนินการ https://www.techradar.com/pro/millions-of-solar-power-systems-could-be-at-risk-of-cyber-attacks-after-researchers-find-flurry-of-vulnerabilities

บทความนี้เกี่ยวกับช่องโหว่ความปลอดภัยที่มีผลต่อไฟร์วอลล์ SonicWall ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยการเชื่อมต่อ VPN ได้โดยไม่ต้องผ่านการยืนยันตัวตน ข้อบกพร่องนี้ได้รับการระบุเป็น CVE-2024-53704 และนักวิจัยจาก Bishop Fox ได้เปิดเผยรายละเอียดการทำงานของการโจมตีทั้งหมด ทำให้ผู้ดูแลระบบเครือข่ายต้องรีบอัพเดตเฟิร์มแวร์ของ SonicOS เพื่อป้องกันการโจมตี ช่องโหว่นี้ทำให้ผู้โจมตีสามารถควบคุมการเชื่อมต่อ VPN ที่กำลังใช้งานอยู่ได้โดยการส่งคุกกี้ที่ถูกดัดแปลงไปยังปลายทางการยืนยันตัวตนของ SSL VPN ที่ '/cgi-bin/sslvpnclient' วิธีนี้ทำให้ระบบไม่สามารถตรวจสอบการเชื่อมต่อได้ถูกต้อง และให้สิทธิ์ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อ Bishop Fox ได้ประกาศว่าพวกเขาได้พัฒนาโปรแกรมการโจมตีที่ทำงานได้จริงและสามารถจำลองการโจมตีเพื่อยืนยันช่องโหว่นี้ ซึ่งการโจมตีทำให้พวกเขาสามารถระบุตัวตนของผู้ใช้งานและโดเมนของการเชื่อมต่อที่ถูกขโมยได้ รวมถึงสามารถเข้าถึงการตั้งค่าและทรัพยากรเครือข่ายภายในของเหยื่อ SonicWall ได้ออกการอัพเดตเฟิร์มแวร์เพื่อแก้ไขปัญหานี้แล้ว สำหรับเวอร์ชัน 7.1.x ถึง 7.1.1-7058, 7.1.2-7019, และ 8.0.0-8035 โดยผู้ดูแลระบบควรอัพเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการโจมตี https://www.bleepingcomputer.com/news/security/sonicwall-firewall-exploit-lets-hackers-hijack-vpn-sessions-patch-now/

Fortinet ได้ออกคำเตือนเกี่ยวกับข้อบกพร่องของระบบที่เป็น Zero-Day ซึ่งทำให้แฮ็กเกอร์สามารถแฮ็คไฟร์วอลล์ของ Fortinet และบุกรุกเครือข่ายองค์กรได้ ข้อบกพร่องนี้เรียกว่า CVE-2025-24472 ซึ่งอนุญาตให้แฮ็กเกอร์สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบสูงสุดได้โดยการทำคำขอ CSF Proxy ที่ถูกดัดแปลง ข้อบกพร่องนี้ส่งผลกระทบต่อ FortiOS เวอร์ชัน 7.0.0 ถึง 7.0.16 และ FortiProxy เวอร์ชัน 7.0.0 ถึง 7.0.19 และ 7.2.0 ถึง 7.2.12 Fortinet ได้เพิ่มข้อบกพร่องนี้เข้าไปในประกาศความปลอดภัยที่ออกเมื่อเดือนที่แล้ว และแนะนำให้ผู้ดูแลระบบดำเนินมาตรการเพื่อป้องกันการโจมตี จากรายงานของ Arctic Wolf พบว่ามีการโจมตีไฟร์วอลล์ FortiGate ของ Fortinet ที่มีการเปิดเผยข้อมูลสู่สาธารณะตั้งแต่กลางเดือนพฤศจิกายนปีที่แล้ว โดยมีการสร้างบัญชีผู้ใช้งานใหม่และทำการปรับแต่งการตั้งค่าเพื่อเข้าถึงเครือข่ายภายใน Fortinet แนะนำว่าผู้ดูแลระบบที่ยังไม่สามารถอัพเดตความปลอดภัยได้ทันทีควรปิดการเข้าถึงอินเตอร์เฟซการจัดการ HTTP/HTTPS หรือจำกัดที่อยู่ IP ที่สามารถเข้าถึงได้เป็นวิธีการชั่วคราว https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-zero-day-exploited-to-hijack-firewalls/

พบช่องโหว่ร้ายแรงในระบบป้องกันไฟร์วอลล์ KerioControl ของ GFI ที่มีผู้ใช้งานมากกว่า 12,000 รายทั่วโลก ช่องโหว่นี้ทำให้สามารถทำการโจมตีทางรหัสจากระยะไกล (Remote Code Execution - RCE) ได้ KerioControl เป็นชุดความปลอดภัยเครือข่ายที่ใช้ในการจัดการ VPN การควบคุมแบนด์วิดท์ การรายงานและการตรวจสอบ การกรองทราฟิก การป้องกันไวรัส และการป้องกันการบุกรุก ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยชื่อ Egidio Romano (EgiX) ในกลางเดือนธันวาคมที่ผ่านมา และเขาได้แสดงให้เห็นว่าช่องโหว่นี้สามารถใช้โจมตีได้โดยการคลิกเพียงครั้งเดียว GFI Software ได้ปล่อยอัปเดตความปลอดภัยเวอร์ชัน 9.4.5 Patch 1 เมื่อวันที่ 19 ธันวาคม 2024 แต่มากกว่า 23,800 ระบบยังคงมีช่องโหว่นี้อยู่ เมื่อต้นเดือนที่ผ่านมา Greynoise รายงานว่ามีการโจมตีที่ใช้ช่องโหว่นี้เพื่อขโมยโทเค็น CSRF ของแอดมินและมีการโจมตีจริงตามมาจากบริการตรวจสอบภัยคุกคาม The Shadowserver Foundation ที่พบว่ามีระบบ KerioControl ที่ยังคงมีช่องโหว่จำนวน 12,229 ระบบ ช่องโหว่นี้สามารถถูกใช้งานโดยแฮกเกอร์ที่ไม่มีทักษะเฉพาะเพราะมี PoC (Proof-of-Concept) ที่เป็นสาธารณะ ช่องโหว่นี้เกี่ยวข้องกับการจัดการพารามิเตอร์ GET ของหน้าเว็บที่ไม่ถูกทำความสะอาดอย่างเหมาะสมก่อนที่จะถูกใช้ในการสร้าง HTTP header ทำให้สามารถทำการโจมตีแบบ HTTP Response Splitting และ Reflected XSS ได้ ซึ่งอาจนำไปสู่การโจมตี RCE ได้ในที่สุด หากคุณยังไม่ได้อัปเดตความปลอดภัย ควรติดตั้ง KerioControl เวอร์ชัน 9.4.5 Patch 2 ที่ปล่อยออกมาเมื่อวันที่ 31 มกราคม 2025 ซึ่งมีการปรับปรุงความปลอดภัยเพิ่มเติม https://www.bleepingcomputer.com/news/security/over-12-000-keriocontrol-firewalls-exposed-to-exploited-rce-flaw/

มีกลุ่มแฮ็กเกอร์กำลังใช้ช่องโหว่ Denial of Service (DoS) ที่ชื่อว่า CVE-2024-3393 เพื่อปิดการทำงานของไฟร์วอลล์ของ Palo Alto Networks โดยการส่งแพ็กเกจที่เป็นอันตรายผ่าน data plane ของไฟร์วอลล์ ทำให้ไฟร์วอลล์รีบูตตัวเองเข้าสู่โหมดการบำรุงรักษา และจะใช้งานไม่ได้ จนกว่าจะคนเข้าไปจัดการให้รึบูตเข้าสู่โหมดปกติอีกครั้ง ช่องโหว่นี้มีผลกระทบต่ออุปกรณ์ที่เปิดใช้งานการบันทึก DNS Security และมีการแก้ไขใน PAN-OS เวอร์ชัน 10.1.14-h8, 10.2.10-h12, 11.1.5, และ 11.2.3 ส่วน PAN-OS 11.0 และเก่ากว่าจะไม่ได้รับการแก้ไขเนื่องจากถึงวันหมดอายุการใช้งาน (EOL) แล้ว Palo Alto Networks ได้เผยแพร่แนวทางแก้ไขและขั้นตอนการลดปัญหาสำหรับผู้ที่ไม่สามารถอัปเดตได้ทันที เช่น การเปลี่ยนแปลงการตั้งค่าความรุนแรงของการบันทึก DNS Security เป็น "none" และการเปิดเคสสนับสนุนเพื่อปิดการบันทึก DNS Security ในทุก NGFWs https://www.bleepingcomputer.com/news/security/hackers-exploit-dos-flaw-to-disable-palo-alto-networks-firewalls/

สนใจFirewall สอบถามได้ครับ #sophos #firewallthai

Xgs2100 #sophos #firewallthai

วันนี้อัพเฟริมแวร์ Firewall #firewallthai #sophos

อัพเฟริมแวร์... #Firewakll #Sophos😊 #firewallthai

www.firewallthai.com