🚨 Microsoft ออกแพตช์ฉุกเฉินอุดช่องโหว่ร้ายแรงใน Windows Server – เสี่ยงโดนแฮกแบบไม่ต้องคลิก! Microsoft ได้ออกแพตช์ความปลอดภัยฉุกเฉินเพื่ออุดช่องโหว่ร้ายแรงใน Windows Server Update Services (WSUS) ซึ่งอาจเปิดทางให้แฮกเกอร์โจมตีแบบ remote code execution (RCE) โดยไม่ต้องมีการยืนยันตัวตนหรือการคลิกใด ๆ จากผู้ใช้ ช่องโหว่นี้มีรหัส CVE-2025-59287 และได้คะแนนความรุนแรงสูงถึง 9.8/10 โดยเกิดจากการ “deserialization ของข้อมูลที่ไม่ปลอดภัย” ซึ่งทำให้แฮกเกอร์สามารถรันโค้ดอันตรายด้วยสิทธิ์ SYSTEM ได้ทันที หาก WSUS เปิดใช้งานอยู่ แม้ Microsoft จะรวมแพตช์ไว้ในอัปเดต Patch Tuesday ประจำเดือนตุลาคม 2025 แล้ว แต่เมื่อมีโค้ดโจมตี (PoC) เผยแพร่ออกสู่สาธารณะ บริษัทจึงรีบออกอัปเดตแบบ out-of-band (OOB) เพื่อกระตุ้นให้ผู้ดูแลระบบติดตั้งแพตช์โดยด่วน ✅ รายละเอียดช่องโหว่ CVE-2025-59287 ➡️ ช่องโหว่ใน Windows Server Update Services (WSUS) ➡️ ประเภท: deserialization ของข้อมูลที่ไม่ปลอดภัย ➡️ ความรุนแรง: 9.8/10 (Critical) ➡️ เปิดทางให้แฮกเกอร์รันโค้ดด้วยสิทธิ์ SYSTEM โดยไม่ต้องยืนยันตัวตน ✅ การตอบสนองของ Microsoft ➡️ แพตช์รวมอยู่ใน Patch Tuesday ตุลาคม 2025 ➡️ ออกอัปเดตฉุกเฉินแบบ OOB หลังพบโค้ดโจมตีถูกเผยแพร่ ➡️ แนะนำให้ติดตั้งอัปเดตทันทีและรีบูตเครื่อง ➡️ เซิร์ฟเวอร์ที่ยังไม่เปิดใช้ WSUS จะไม่เสี่ยง ✅ วิธีลดความเสี่ยง (หากยังไม่สามารถอัปเดตได้ทันที) ➡️ ปิดการใช้งาน WSUS Server Role ➡️ หรือบล็อกพอร์ต 8530 และ 8531 บน firewall ➡️ หมายเหตุ: การบล็อกพอร์ตจะทำให้เครื่องลูกข่ายไม่ได้รับอัปเดต https://www.techradar.com/pro/security/microsoft-issues-emergency-windows-server-security-patch-update-now-or-risk-attack

🕵️‍♂️ Shadow Escape: ช่องโหว่ใหม่ใน AI Assistant เสี่ยงทำข้อมูลผู้ใช้รั่วไหลมหาศาล นักวิจัยจาก Operant AI ได้เปิดเผยการโจมตีแบบใหม่ที่เรียกว่า “Shadow Escape” ซึ่งเป็นการโจมตีแบบ “zero-click” ที่สามารถขโมยข้อมูลส่วนตัวของผู้ใช้ผ่าน AI Assistant โดยไม่ต้องให้ผู้ใช้คลิกหรือตอบสนองใดๆ เลย จุดอ่อนนี้เกิดจากการใช้มาตรฐาน Model Context Protocol (MCP) ที่ช่วยให้ AI อย่าง ChatGPT, Gemini และ Claude เชื่อมต่อกับระบบภายในขององค์กร เช่น ฐานข้อมูลหรือ API ต่างๆ สิ่งที่น่ากังวลคือ Shadow Escape สามารถซ่อนคำสั่งอันตรายไว้ในไฟล์ธรรมดา เช่น คู่มือพนักงานหรือ PDF ที่ดูไม่มีพิษภัย เมื่อพนักงานอัปโหลดไฟล์เหล่านี้ให้ AI ช่วยสรุปหรือวิเคราะห์ คำสั่งที่ซ่อนอยู่จะสั่งให้ AI ดึงข้อมูลส่วนตัวของลูกค้า เช่น หมายเลขประกันสังคม (SSN), ข้อมูลการเงิน, หรือเวชระเบียน แล้วส่งออกไปยังเซิร์ฟเวอร์ของผู้ไม่หวังดี โดยที่ระบบความปลอดภัยทั่วไปไม่สามารถตรวจจับได้ เพราะการเข้าถึงข้อมูลเกิดขึ้นภายในระบบที่ได้รับอนุญาตอยู่แล้ว 1️⃣ ลักษณะของการโจมตี ✅ จุดเริ่มต้นของการโจมตี ➡️ ใช้ไฟล์ธรรมดา เช่น PDF หรือเอกสาร Word ที่ฝังคำสั่งลับ ➡️ พนักงานอัปโหลดไฟล์ให้ AI ช่วยสรุปหรือวิเคราะห์ ➡️ คำสั่งลับจะสั่งให้ AI ดึงข้อมูลจากระบบภายใน ✅ จุดอ่อนที่ถูกใช้ ➡️ มาตรฐาน Model Context Protocol (MCP) ที่เชื่อม AI กับระบบองค์กร ➡️ การตั้งค่า permission ของ MCP ที่ไม่รัดกุม ➡️ AI มีสิทธิ์เข้าถึงข้อมูลโดยตรง จึงไม่ถูกระบบรักษาความปลอดภัยภายนอกตรวจจับ 2️⃣ ข้อมูลที่ตกอยู่ในความเสี่ยง ✅ ประเภทของข้อมูลที่อาจรั่วไหล ➡️ หมายเลขประกันสังคม (SSN) ➡️ ข้อมูลบัตรเครดิตและบัญชีธนาคาร ➡️ เวชระเบียนและข้อมูลสุขภาพ ➡️ ชื่อ ที่อยู่ และข้อมูลส่วนตัวของลูกค้า ‼️ คำเตือน ⛔ การรั่วไหลอาจเกิดขึ้นโดยที่พนักงานไม่รู้ตัว ⛔ ข้อมูลอาจถูกส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตีโดยไม่มีการแจ้งเตือน 3️⃣ ทำไมระบบความปลอดภัยทั่วไปจึงไม่สามารถป้องกันได้ ✅ ลักษณะของการโจมตีแบบ “zero-click” ➡️ ไม่ต้องการให้ผู้ใช้คลิกลิงก์หรือทำอะไร ➡️ ใช้ AI ที่มีสิทธิ์เข้าถึงข้อมูลเป็นเครื่องมือในการขโมยข้อมูล ➡️ การส่งข้อมูลออกถูกพรางให้ดูเหมือนเป็นการทำงานปกติของระบบ ‼️ คำเตือน ⛔ ระบบ firewall และระบบตรวจจับภัยคุกคามทั่วไปไม่สามารถแยกแยะพฤติกรรมนี้ได้ ⛔ การใช้ AI โดยไม่มีการควบคุมสิทธิ์อย่างเข้มงวด อาจกลายเป็นช่องโหว่ร้ายแรง 4️⃣ ข้อเสนอแนะจากนักวิจัย ✅ แนวทางป้องกัน ➡️ ตรวจสอบและจำกัดสิทธิ์ของ AI Assistant ในการเข้าถึงข้อมูล ➡️ ปรับแต่ง permission ของ MCP ให้เหมาะสมกับระดับความเสี่ยง ➡️ ตรวจสอบไฟล์ที่อัปโหลดเข้าระบบอย่างละเอียดก่อนให้ AI ประมวลผล ‼️ คำเตือน ⛔ องค์กรที่ใช้ AI Assistant โดยไม่ตรวจสอบการตั้งค่า MCP อาจตกเป็นเหยื่อได้ง่าย ⛔ การละเลยการ audit ระบบ AI อาจนำไปสู่การรั่วไหลของข้อมูลระดับ “หลายล้านล้านรายการ” https://hackread.com/shadow-escape-0-click-attack-ai-assistants-risk/

🚨 “CISA เตือนช่องโหว่ Raisecom RAX701-GC – SSH เข้า root ได้โดยไม่ต้องยืนยันตัวตน!” CISA ออกประกาศเตือนช่องโหว่ร้ายแรงในเราเตอร์ Raisecom รุ่น RAX701-GC ที่ใช้ในระบบอุตสาหกรรมและโทรคมนาคม โดยช่องโหว่นี้มีรหัสว่า CVE-2025-11534 และได้คะแนน CVSS สูงถึง 9.8 ซึ่งถือว่า “วิกฤต” เพราะเปิดให้ผู้โจมตีสามารถเข้าถึง shell ของระบบด้วยสิทธิ์ root โดยไม่ต้องยืนยันตัวตนผ่าน SSH เลย ช่องโหว่นี้เกิดจากการที่อุปกรณ์อนุญาตให้สร้าง session SSH ได้โดยไม่ต้องผ่านขั้นตอนการยืนยันตัวตน ซึ่งผิดหลักการของระบบความปลอดภัยอย่างร้ายแรง โดย CISA จัดช่องโหว่นี้ไว้ในหมวด CWE-288: Authentication Bypass Using an Alternate Path or Channel อุปกรณ์ที่ได้รับผลกระทบคือ Raisecom RAX701-GC-WP-01 ที่ใช้ firmware เวอร์ชัน P200R002C52 และ P200R002C53 ซึ่งรวมถึงเวอร์ชัน 5.5.13_20180720, 5.5.27_20190111 และ 5.5.36_20190709 ช่องโหว่นี้ถูกค้นพบโดย HD Moore และ Tod Beardsley จาก runZero และถูกแจ้งไปยัง CISA เพื่อเปิดเผยอย่างเป็นทางการ แต่ทาง Raisecom ยังไม่ตอบรับหรือออกแพตช์ใด ๆ ทำให้ผู้ดูแลระบบต้องใช้วิธีป้องกันเชิงเครือข่าย เช่น segmentation และ firewall เพื่อจำกัดการเข้าถึง แม้ยังไม่มีรายงานการโจมตีจริง แต่ CISA เตือนว่าเนื่องจากช่องโหว่นี้สามารถใช้จากระยะไกลได้ง่าย และให้สิทธิ์สูงสุด จึงควรรีบดำเนินการป้องกันทันที ✅ รายละเอียดช่องโหว่ CVE-2025-11534 ➡️ เกิดจากการ bypass authentication ใน SSH ➡️ ผู้โจมตีสามารถเข้าถึง shell ด้วยสิทธิ์ root โดยไม่ต้อง login ➡️ ได้คะแนน CVSS v3.1 สูงถึง 9.8 ➡️ จัดอยู่ในหมวด CWE-288 โดย CISA ➡️ ส่งผลกระทบต่อ Raisecom RAX701-GC-WP-01 firmware หลายเวอร์ชัน ✅ การค้นพบและการเปิดเผย ➡️ ค้นพบโดย HD Moore และ Tod Beardsley จาก runZero ➡️ แจ้งไปยัง CISA เพื่อเปิดเผยอย่างเป็นทางการ ➡️ Raisecom ยังไม่ตอบรับหรือออกแพตช์ใด ๆ ➡️ ผู้ดูแลระบบต้องใช้วิธีป้องกันเชิงเครือข่ายแทน ✅ แนวทางการป้องกันจาก CISA ➡️ แยกเครือข่ายควบคุมออกจากเครือข่ายธุรกิจ ➡️ ใช้ firewall เพื่อจำกัดการเข้าถึงจากภายนอก ➡️ ใช้ VPN ที่ปลอดภัยและอัปเดตอยู่เสมอ ➡️ ตรวจสอบการเชื่อมต่อ SSH ที่ไม่ได้รับอนุญาต ➡️ เฝ้าระวังพฤติกรรมผิดปกติจากอุปกรณ์ Raisecom https://securityonline.info/cisa-warns-critical-raisecom-router-flaw-cve-2025-11534-cvss-9-8-allows-unauthenticated-root-ssh-access/

🛡️ “ผลโหวต TechPowerUp เผย! ผู้ใช้ส่วนใหญ่ไม่จ่ายเงินซื้อแอนตี้ไวรัส – Windows Defender ครองใจคนไอที” TechPowerUp จัดโพลสำรวจผู้ใช้กว่า 34,000 คนเกี่ยวกับการใช้งานโปรแกรมแอนตี้ไวรัส และผลที่ออกมาก็ชวนให้หลายคนต้องคิดใหม่ เพราะ “เกือบไม่มีใครจ่ายเงินซื้อแอนตี้ไวรัสอีกแล้ว” โดย 60.5% ของผู้ตอบแบบสอบถามเลือกใช้ Windows Defender ซึ่งเป็นโปรแกรมฟรีที่ติดมากับ Windows อยู่แล้ว นอกจากนี้ยังมี 15.7% ที่บอกว่า “ไม่ได้ใช้แอนตี้ไวรัสเลย” ซึ่งจริง ๆ แล้ว Windows Defender ก็ยังทำงานอยู่ในเบื้องหลัง แม้ผู้ใช้จะไม่รู้ตัวก็ตาม ส่วนผู้ที่ยังใช้โปรแกรมจากค่ายอื่น ๆ มีเพียง 24% เท่านั้น โดยแบ่งเป็น Bitdefender 6.1%, Avast 2.9%, AVG 1%, Norton 1.9% และ McAfee 0.7% เหตุผลหลักที่คนหันหลังให้กับแอนตี้ไวรัสแบบเสียเงินคือ Windows เองได้พัฒนาเครื่องมือรักษาความปลอดภัยมาอย่างต่อเนื่อง เช่น Secure Boot, BitLocker, TPM, และ Virtualization-based Security ที่ทำให้ระบบปลอดภัยขึ้นมากโดยไม่ต้องพึ่งโปรแกรมเสริม อีกด้านหนึ่ง ผู้ใช้บางคนยังคงใช้โปรแกรมอย่าง Malwarebytes หรือ firewall แบบแยกต่างหากเพื่อเสริมความปลอดภัยเฉพาะทาง เช่น การบล็อก Windows Update หรือการควบคุมการเชื่อมต่อของแอปพลิเคชัน ✅ ผลสำรวจจาก TechPowerUp ➡️ ผู้ตอบแบบสอบถามทั้งหมด 34,316 คน ➡️ 60.5% ใช้ Windows Defender เป็นหลัก ➡️ 15.7% ระบุว่าไม่ได้ใช้แอนตี้ไวรัสเลย ➡️ 24% ใช้โปรแกรมจากค่ายอื่น เช่น Bitdefender, Avast, AVG, Norton, McAfee ➡️ Bitdefender ได้คะแนนสูงสุดในกลุ่ม third-party ที่ 6.1% ✅ เหตุผลที่ Windows Defender ได้รับความนิยม ➡️ เป็นโปรแกรมฟรีที่ติดมากับ Windows ➡️ มีการพัฒนาอย่างต่อเนื่อง เช่น Secure Boot, BitLocker, TPM, VBS ➡️ ลดความจำเป็นในการติดตั้งโปรแกรมเสริม ➡️ ไม่กินทรัพยากรเครื่องเท่ากับบางโปรแกรมแบบเสียเงิน ✅ ทางเลือกเสริมของผู้ใช้บางกลุ่ม ➡️ ใช้ Malwarebytes สำหรับตรวจจับมัลแวร์เฉพาะทาง ➡️ ใช้ firewall แยกต่างหากเพื่อควบคุมการเชื่อมต่อ ➡️ บางคนยังใช้โปรแกรมแบบ lifetime license ที่เคยซื้อไว้ https://www.techpowerup.com/342112/almost-nobody-uses-paid-third-party-antivirus-techpowerup-frontpage-poll

🛡️ “Managed IT Services เสริมเกราะไซเบอร์องค์กร — จากการเฝ้าระวังถึงการฟื้นตัวหลังภัยคุกคาม” — เมื่อการจ้างผู้เชี่ยวชาญดูแลระบบ IT กลายเป็นกลยุทธ์สำคัญในการรับมือภัยไซเบอร์ยุคใหม่ ในยุคที่ธุรกิจพึ่งพาเทคโนโลยีอย่างเต็มรูปแบบ ความเสี่ยงด้านไซเบอร์ก็เพิ่มขึ้นตามไปด้วย ไม่ว่าจะเป็นการโจมตีด้วย ransomware, การหลอกลวงผ่าน phishing หรือการเจาะระบบเพื่อขโมยข้อมูลสำคัญ หลายองค์กรพบว่าการรับมือด้วยทีมภายในเพียงอย่างเดียวไม่เพียงพอ บทความจาก SecurityOnline.info ชี้ให้เห็นว่า “Managed IT Services” หรือบริการดูแลระบบ IT แบบครบวงจรจากภายนอก คือคำตอบที่ช่วยให้องค์กรเปลี่ยนจากการรับมือแบบ “ตามเหตุการณ์” ไปสู่การป้องกันเชิงรุก โดยมีผู้เชี่ยวชาญคอยเฝ้าระวัง ตรวจจับ และตอบสนองต่อภัยคุกคามตลอดเวลา บริการเหล่านี้ครอบคลุมตั้งแต่การติดตั้งระบบป้องกันหลายชั้น เช่น firewall และ endpoint protection, การอัปเดตแพตช์อย่างสม่ำเสมอ, การสำรองข้อมูลและวางแผนกู้คืนระบบ ไปจนถึงการฝึกอบรมพนักงานให้รู้เท่าทันภัยไซเบอร์ ที่สำคัญ Managed IT ยังช่วยให้องค์กรปฏิบัติตามกฎหมายและมาตรฐานด้านความปลอดภัย เช่น GDPR, HIPAA และ PCI-DSS ได้ง่ายขึ้น ลดความเสี่ยงด้านกฎหมายและชื่อเสียง ✅ Managed IT Services ช่วยเปลี่ยนการรับมือภัยไซเบอร์จากเชิงรับเป็นเชิงรุก ➡️ มีการเฝ้าระวังและตรวจจับภัยคุกคามแบบเรียลไทม์ ✅ ใช้เครื่องมืออัตโนมัติและ AI วิเคราะห์พฤติกรรมผิดปกติ ➡️ ลดช่องว่างระหว่างการตรวจพบและการตอบสนอง ✅ ติดตั้งระบบป้องกันหลายชั้น เช่น firewall, IDS, encryption ➡️ ปรับแต่งตามความต้องการเฉพาะของแต่ละองค์กร ✅ จัดการอัปเดตและแพตช์ระบบอย่างต่อเนื่อง ➡️ ลดช่องโหว่จากซอฟต์แวร์ที่ล้าสมัย ✅ สำรองข้อมูลและวางแผนกู้คืนระบบจากภัยพิบัติ ➡️ ใช้คลาวด์และระบบอัตโนมัติเพื่อฟื้นตัวเร็ว ✅ ฝึกอบรมพนักงานให้รู้เท่าทันภัยไซเบอร์ ➡️ ลดความเสี่ยงจาก human error เช่น phishing หรือรหัสผ่านอ่อนแอ ✅ ช่วยให้องค์กรปฏิบัติตามมาตรฐานความปลอดภัย เช่น GDPR, HIPAA ➡️ มีการตรวจสอบและจัดทำเอกสารตามข้อกำหนด ✅ ลด downtime และเพิ่มความต่อเนื่องทางธุรกิจ ➡️ มีแผนสำรองและระบบเฝ้าระวังที่ตอบสนองเร็ว ‼️ องค์กรที่ไม่มีการอัปเดตระบบอย่างสม่ำเสมอเสี่ยงต่อการถูกโจมตี ⛔ ช่องโหว่จากซอฟต์แวร์เก่าเป็นเป้าหมายหลักของแฮกเกอร์ ‼️ หากไม่มีแผนกู้คืนระบบ อาจสูญเสียข้อมูลสำคัญเมื่อเกิดภัยพิบัติ ⛔ ส่งผลต่อความเชื่อมั่นของลูกค้าและความต่อเนื่องทางธุรกิจ ‼️ พนักงานที่ไม่ได้รับการฝึกอบรมอาจเป็นช่องทางให้ภัยไซเบอร์เข้าถึงระบบ ⛔ เช่น คลิกลิงก์หลอกลวงหรือใช้รหัสผ่านซ้ำ ‼️ การไม่ปฏิบัติตามกฎหมายความปลอดภัยข้อมูลอาจนำไปสู่ค่าปรับมหาศาล ⛔ และสร้างความเสียหายต่อชื่อเสียงองค์กร https://securityonline.info/how-managed-it-services-strengthen-cybersecurity/

🖇️ "Kubernetes 1 ล้านโหนด: ภารกิจสุดโหดที่กลายเป็นจริง" ลองจินตนาการถึง Kubernetes cluster ที่มีถึง 1 ล้านโหนด—ไม่ใช่แค่แนวคิด แต่เป็นการทดลองจริงที่ผลักดันขีดจำกัดของระบบ cloud-native ที่ทรงพลังที่สุดในโลกใบนี้! โครงการ “k8s-1m” โดยผู้เชี่ยวชาญจาก OpenAI และอดีตผู้ร่วมเขียนบทความชื่อดังเรื่องการขยาย Kubernetes สู่ 7,500 โหนด ได้กลับมาอีกครั้ง พร้อมเป้าหมายใหม่ที่ทะเยอทะยานกว่าเดิม: สร้าง cluster ที่มี 1 ล้านโหนดและสามารถจัดการ workload ได้จริง เบื้องหลังความสำเร็จนี้คือการแก้ปัญหาทางเทคนิคระดับมหากาพย์ ตั้งแต่การจัดการ IP ด้วย IPv6, การออกแบบระบบ etcd ใหม่ให้รองรับการเขียนระดับแสนครั้งต่อวินาที, ไปจนถึงการสร้าง distributed scheduler ที่สามารถจัดสรร 1 ล้าน pods ได้ภายใน 1 นาที แม้จะไม่ใช่ระบบที่พร้อมใช้งานใน production แต่โครงการนี้ได้เปิดเผยขีดจำกัดที่แท้จริงของ Kubernetes และเสนอแนวทางใหม่ในการออกแบบระบบ cloud-native ที่สามารถรองรับ workload ขนาดมหาศาลได้ในอนาคต สรุปเนื้อหาจากโครงการ k8s-1m: ✅ เป้าหมายของโครงการ ➡️ สร้าง Kubernetes cluster ที่มี 1 ล้านโหนด ➡️ ทดสอบขีดจำกัดของระบบ cloud-native ➡️ ไม่เน้นการใช้งานเชิงพาณิชย์ แต่เพื่อการวิจัยและแรงบันดาลใจ ✅ ปัญหาหลักที่ต้องแก้ ➡️ ประสิทธิภาพของ etcd ที่เป็นคอขวด ➡️ ความสามารถของ kube-apiserver ในการจัดการ watch cache ➡️ การจัดการ IP address ด้วย IPv6 ➡️ การออกแบบ scheduler ให้กระจายโหลดได้ ✅ เทคนิคที่ใช้ในระบบเครือข่าย ➡️ ใช้ IPv6 แทน IPv4 เพื่อรองรับ IP จำนวนมหาศาล ➡️ สร้าง bridge สำหรับ pod interfaces เพื่อจัดการ MAC address ➡️ ใช้ WireGuard เป็น NAT64 gateway สำหรับบริการที่รองรับเฉพาะ IPv4 ‼️ ข้อจำกัดด้านความปลอดภัย ⛔ ไม่ใช้ network policies ระหว่าง workloads เพราะมี prefix มากเกินไป ⛔ ไม่ใช้ firewall ครอบคลุมทุก prefix แต่ใช้ TLS และการจำกัดพอร์ตแทน ✅ การจัดการ state ด้วย mem_etcd ➡️ สร้าง etcd ใหม่ที่เขียนด้วย Rust ชื่อ mem_etcd ➡️ ลดการใช้ fsync เพื่อเพิ่ม throughput ➡️ ใช้ hash map และ B-tree แยกตาม resource kind ➡️ รองรับการเขียนระดับล้านครั้งต่อวินาที ‼️ คำเตือนเกี่ยวกับ durability ⛔ ลดระดับความทนทานของข้อมูลเพื่อเพิ่มประสิทธิภาพ ⛔ ไม่ใช้ etcd replicas ในบางกรณีเพื่อหลีกเลี่ยงการลด throughput ✅ การออกแบบ scheduler แบบกระจาย ➡️ ใช้แนวคิด scatter-gather เพื่อกระจายการคำนวณ ➡️ ใช้ relays หลายระดับเพื่อกระจาย pod ไปยัง schedulers ➡️ ใช้ ValidatingWebhook แทน watch stream เพื่อรับ pod ใหม่เร็วขึ้น ‼️ ปัญหา long-tail latency ⛔ บาง scheduler ช้ากว่าค่าเฉลี่ย ทำให้ระบบรอ ⛔ ใช้เทคนิค pinned CPUs และปรับ GC เพื่อลดความล่าช้า ⛔ ตัดสินใจไม่รอ scheduler ที่ช้าเกินไป ✅ ผลการทดลอง ➡️ สามารถจัดสรร 1 ล้าน pods ได้ในเวลาประมาณ 1 นาที ➡️ mem_etcd รองรับ 100K–125K requests/sec ➡️ kube-apiserver รองรับ 100K lease updates/sec ➡️ ระบบใช้ RAM และ CPU อย่างมีประสิทธิภาพ ‼️ ข้อจำกัดของภาษา Go ⛔ GC ของ Go เป็นคอขวดหลักในการจัดการ object จำนวนมาก ⛔ การเพิ่ม kube-apiserver replicas ไม่ช่วยลด GC load ✅ ข้อสรุปจากโครงการ ➡️ ขนาด cluster ไม่สำคัญเท่ากับอัตราการเขียนของ resource kind ➡️ Lease updates เป็นภาระหลักของระบบ ➡️ การแยก etcd ตาม resource kind ช่วยเพิ่ม scalability ➡️ การเปลี่ยน backend ของ etcd และปรับ watch cache ช่วยรองรับ 1 ล้านโหนด https://bchess.github.io/k8s-1m/

⚖️ “Ofcom vs. 4Chan: เมื่อกฎหมายออนไลน์ของอังกฤษพยายามข้ามมหาสมุทร” บทความโดย Alec Muffett เล่าถึงกรณีที่ Preston Byrne ทนายของ 4Chan ได้เผยแพร่จดหมายโต้ตอบกับ Ofcom หน่วยงานกำกับดูแลด้านสื่อของอังกฤษ ซึ่งแสดงให้เห็นว่า Ofcom เชื่อว่าตนมีอำนาจตามกฎหมาย Online Safety Act ในการสอบสวนและลงโทษบริษัทออนไลน์ต่างชาติที่ให้บริการแก่ผู้ใช้ในสหราชอาณาจักร แม้บริษัทนั้นจะตั้งอยู่ในสหรัฐฯ ในจดหมายยืนยันของ Ofcom มีการอ้างว่า Online Safety Act มี “ผลบังคับใช้ข้ามพรมแดน” โดยระบุว่า “หน้าที่ของผู้ให้บริการครอบคลุมถึงการออกแบบ การดำเนินงาน และการใช้งานในสหราชอาณาจักร” และ “เฉพาะในส่วนที่เกี่ยวข้องกับผู้ใช้ในสหราชอาณาจักรเท่านั้น” Alec มองว่าการตีความเช่นนี้เป็นการ “โยนรัฐสภาใต้รถบัส” เพราะกฎหมายฉบับนี้ดูเหมือนจะร่างมาอย่างไม่รอบคอบ และ Ofcom เองก็อาจเชื่อจริง ๆ ว่าตนมีอำนาจเหนือบริษัทต่างชาติ ซึ่งอาจนำไปสู่การเรียกร้องให้สร้าง “Great Firewall of Britain” เพื่อป้องกันเด็กจากเนื้อหาออนไลน์ที่ไม่เหมาะสม เขาเปรียบเทียบว่า 4Chan ไม่ได้ “ลักลอบเข้ามาในอังกฤษ” แต่กลับถูกมองว่าเป็นภัยต่อวัฒนธรรม ขณะที่สิ่งที่ทำลายวัฒนธรรมอังกฤษจริง ๆ อาจเป็น “การ์ตูน Winnie-the-Pooh เวอร์ชันดิสนีย์” เสียมากกว่า ท้ายบทความ Alec เตือนว่า หากอังกฤษยังคงพยายามบังคับใช้กฎหมายเช่นนี้ต่อบริษัทต่างชาติ อาจนำไปสู่การตอบโต้จากสหรัฐฯ และการเรียกร้องให้มีการระบุตัวตนดิจิทัล (digital identity) เพื่อเข้าถึงเนื้อหาออนไลน์ ซึ่งจะยิ่งทำให้สถานการณ์แย่ลง ✅ Ofcom อ้างว่ามีอำนาจตาม Online Safety Act ในการสอบสวนบริษัทต่างชาติ ➡️ แม้บริษัทนั้นจะตั้งอยู่นอกสหราชอาณาจักร เช่น 4Chan ในสหรัฐฯ ✅ กฎหมายระบุว่าหน้าที่ของผู้ให้บริการครอบคลุมถึงการใช้งานใน UK ➡️ เฉพาะในส่วนที่เกี่ยวข้องกับผู้ใช้ในสหราชอาณาจักร ✅ Preston Byrne เผยแพร่จดหมายโต้ตอบกับ Ofcom ➡️ เป็นหลักฐานว่ามีการตีความกฎหมายอย่างกว้างขวาง ✅ Alec Muffett วิจารณ์ว่า Ofcom อาจเชื่อจริง ๆ ว่าตนมีอำนาจเหนือบริษัทต่างชาติ ➡️ และอาจนำไปสู่การเรียกร้องให้สร้าง Great Firewall of Britain ✅ การบังคับใช้กฎหมายเช่นนี้อาจนำไปสู่การเรียกร้องให้มี digital identity ➡️ เพื่อควบคุมการเข้าถึงเนื้อหาออนไลน์ https://alecmuffett.com/article/117792

🕵️‍♂️ “Operation Zero Disco” — ช่องโหว่ SNMP ของ Cisco ถูกใช้ฝัง rootkit บนสวิตช์ Linux นักวิจัยจาก Trend Research เปิดเผยแคมเปญการโจมตีไซเบอร์ขั้นสูงชื่อ “Operation Zero Disco” ซึ่งใช้ช่องโหว่ CVE-2025-20352 ในบริการ SNMP ของ Cisco เพื่อฝัง rootkit บนสวิตช์ที่ใช้ Linux โดยเฉพาะรุ่น 9400, 9300 และ 3750G ที่ไม่มีระบบป้องกันแบบ EDR เมื่อโจมตีสำเร็จ ผู้ไม่หวังดีสามารถ: 🪲 เข้าถึงระบบจากระยะไกล (RCE) 🪲 ตั้งรหัสผ่าน universal ที่มีคำว่า “disco” 🪲 ฝัง hook เข้าไปในหน่วยความจำ IOSd เพื่อหลบเลี่ยงการตรวจจับ 🪲 รับคำสั่งลับผ่าน UDP แม้พอร์ตจะปิดอยู่ 🪲 ซ่อนบัญชีผู้ใช้, ACL และสคริปต์ EEM จาก config 🪲 ลบหรือแก้ไข log เพื่อปกปิดร่องรอยการโจมตี 🪲 ข้ามข้อจำกัด VTY access สำหรับ Telnet และ SSH แฮกเกอร์เริ่มจากการใช้ community string “public” ของ SNMP เพื่อเข้าถึง core switch จากนั้นปลอมตัวเป็นอุปกรณ์ภายในที่เชื่อถือได้เพื่อข้าม firewall และใช้ ARP spoofing เพื่อควบคุมการสื่อสารในเครือข่าย นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่ Telnet เก่า CVE-2017-3881 ที่ถูกดัดแปลงให้สามารถอ่าน/เขียนหน่วยความจำโดยตรง Cisco ได้ออกคำแนะนำด้านความปลอดภัยให้: 🚑 ปิด SNMP หากไม่จำเป็น 🚑 เปลี่ยน community string จากค่าเริ่มต้น 🚑 อัปเดต firmware ทันที ✅ จุดเด่นจากรายงาน ➡️ ช่องโหว่ CVE-2025-20352 ถูกใช้โจมตีสวิตช์ Cisco รุ่นเก่า ➡️ rootkit ฝังตัวลึกใน IOSd memory และหลบเลี่ยงการตรวจจับ ➡️ รับคำสั่งผ่าน UDP โดยไม่ต้องเปิดพอร์ต ➡️ ซ่อน config และ log เพื่อปิดบังการบุกรุก ➡️ ใช้ ARP spoofing เพื่อควบคุมการสื่อสารระหว่าง VLAN ➡️ ใช้ช่องโหว่ Telnet เก่าที่ถูกดัดแปลงเพื่อควบคุมหน่วยความจำ ➡️ Cisco แนะนำให้ปิด SNMP และอัปเดตระบบทันที https://securityonline.info/operation-zero-disco-critical-cisco-snmp-flaw-cve-2025-20352-used-to-implant-linux-rootkits-on-switches/

🧨 “SonicWall ยืนยัน! แฮกเกอร์เจาะระบบสำรองไฟร์วอลล์ทุกเครื่อง — ข้อมูลเครือข่ายทั่วโลกเสี่ยงถูกวางแผนโจมตี” หลังจากรายงานเบื้องต้นในเดือนกันยายนว่า “มีลูกค้าเพียง 5% ได้รับผลกระทบ” ล่าสุด SonicWall และบริษัท Mandiant ได้เปิดเผยผลสอบสวนเต็มรูปแบบเมื่อวันที่ 9 ตุลาคม 2025 ว่าแฮกเกอร์สามารถเข้าถึงไฟล์สำรองการตั้งค่าไฟร์วอลล์ของ “ลูกค้าทุกคน” ที่ใช้บริการสำรองข้อมูลบนคลาวด์ของ SonicWall24 การโจมตีเริ่มต้นจากการ brute force API บนระบบ MySonicWall Cloud Backup ซึ่งเก็บไฟล์การตั้งค่าระบบไฟร์วอลล์ที่เข้ารหัสไว้ ไฟล์เหล่านี้มีข้อมูลสำคัญ เช่น กฎการกรองข้อมูล, การตั้งค่า VPN, routing, credentials, และข้อมูลบัญชีผู้ใช้ แม้รหัสผ่านจะถูกเข้ารหัสด้วย AES-256 (Gen 7) หรือ 3DES (Gen 6) แต่การที่แฮกเกอร์ได้ไฟล์ทั้งหมดไป ทำให้สามารถวิเคราะห์โครงสร้างเครือข่ายของลูกค้าได้อย่างละเอียด SonicWall ได้แบ่งระดับความเสี่ยงของอุปกรณ์ไว้ในพอร์ทัล MySonicWall เป็น 3 กลุ่ม: 🔰 “Active – High Priority” สำหรับอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต 🔰 “Active – Lower Priority” สำหรับอุปกรณ์ภายใน 🔰 “Inactive” สำหรับอุปกรณ์ที่ไม่ได้เชื่อมต่อมาเกิน 90 วัน บริษัทแนะนำให้ลูกค้าเริ่มตรวจสอบอุปกรณ์กลุ่ม High Priority ก่อน พร้อมใช้เครื่องมือ Firewall Config Analysis Tool และสคริปต์ Essential Credential Reset เพื่อรีเซ็ตรหัสผ่านและ API key ที่อาจถูกเปิดเผย ผู้เชี่ยวชาญด้านภัยคุกคาม Ryan Dewhurst จาก watchTowr ระบุว่า แม้ข้อมูลจะถูกเข้ารหัส แต่หากรหัสผ่านอ่อนก็สามารถถูกถอดรหัสแบบออฟไลน์ได้ และการได้ไฟล์การตั้งค่าทั้งหมดคือ “ขุมทรัพย์” สำหรับการวางแผนโจมตีแบบเจาะจง ✅ ข้อมูลสำคัญจากข่าว ➡️ SonicWall ยืนยันว่าแฮกเกอร์เข้าถึงไฟล์สำรองการตั้งค่าไฟร์วอลล์ของลูกค้าทุกคน ➡️ การโจมตีเริ่มจาก brute force API บนระบบ MySonicWall Cloud Backup ➡️ ไฟล์ที่ถูกเข้าถึงมีข้อมูล routing, VPN, firewall rules, credentials และบัญชีผู้ใช้ ➡️ รหัสผ่านถูกเข้ารหัสด้วย AES-256 (Gen 7) และ 3DES (Gen 6) ➡️ SonicWall แบ่งระดับความเสี่ยงของอุปกรณ์เป็น High, Low และ Inactive ➡️ ลูกค้าสามารถดูรายการอุปกรณ์ที่ได้รับผลกระทบใน MySonicWall portal ➡️ มีเครื่องมือ Firewall Config Analysis Tool และสคริปต์รีเซ็ตรหัสผ่านให้ใช้งาน ➡️ SonicWall ทำงานร่วมกับ Mandiant เพื่อเสริมระบบและช่วยเหลือลูกค้า ✅ ข้อมูลเสริมจากภายนอก ➡️ API brute force คือการสุ่มรหัสผ่านหรือ token เพื่อเข้าถึงระบบโดยไม่รับอนุญาต ➡️ การเข้าถึงไฟล์การตั้งค่าไฟร์วอลล์ช่วยให้แฮกเกอร์เข้าใจโครงสร้างเครือข่ายขององค์กร ➡️ AES-256 เป็นมาตรฐานการเข้ารหัสที่แข็งแกร่ง แต่ยังขึ้นอยู่กับความแข็งแรงของรหัสผ่าน ➡️ การใช้ cloud backup โดยไม่มี rate limiting หรือ access control ที่ดี เป็นช่องโหว่สำคัญ ➡️ Mandiant เป็นบริษัทด้านความปลอดภัยที่มีชื่อเสียงในการสอบสวนเหตุการณ์ระดับโลก https://hackread.com/sonicwall-hackers-breached-all-firewall-backups/

🔥 “RediShell — ช่องโหว่ 13 ปีใน Redis ที่เปิดประตูให้แฮกเกอร์ยึดเซิร์ฟเวอร์กว่า 60,000 เครื่องทั่วโลก” Redis ฐานข้อมูลแบบ in-memory ที่ใช้กันอย่างแพร่หลายในระบบคลาวด์ทั่วโลก กำลังเผชิญกับช่องโหว่ร้ายแรงที่ถูกค้นพบในปี 2025 โดยนักวิจัยจาก Wiz ซึ่งตั้งชื่อว่า “RediShell” (CVE-2025-49844) ช่องโหว่นี้มีคะแนนความรุนแรง CVSS เต็ม 10.0 และถูกซ่อนอยู่ในโค้ดของ Redis มานานกว่า 13 ปีโดยไม่มีใครตรวจพบ จุดอ่อนเกิดจากบั๊กประเภท use-after-free ใน Lua interpreter ของ Redis ซึ่งเป็นฟีเจอร์ที่เปิดใช้งานโดยค่าเริ่มต้น ผู้โจมตีสามารถส่งสคริปต์ Lua ที่ถูกออกแบบมาอย่างเจาะจงเพื่อหลบหนีจาก sandbox และรันคำสั่ง native บนเซิร์ฟเวอร์ได้โดยตรง ส่งผลให้สามารถขโมยข้อมูล ติดตั้งมัลแวร์ หรือใช้เซิร์ฟเวอร์ที่ถูกยึดเพื่อโจมตีระบบอื่นต่อได้ จากการสแกนของ Wiz พบว่า Redis ถูกใช้งานในกว่า 75% ของระบบคลาวด์ และมี Redis instance ที่เปิดให้เข้าถึงจากอินเทอร์เน็ตกว่า 330,000 เครื่อง โดยประมาณ 60,000 เครื่องไม่มีระบบ authentication ใด ๆ ทำให้เสี่ยงต่อการถูกโจมตีโดยไม่ต้องยืนยันตัวตน Redis ได้ออกแพตช์แก้ไขเมื่อวันที่ 3 ตุลาคม 2025 และแนะนำให้ผู้ดูแลระบบอัปเดตทันที พร้อมตั้งค่าความปลอดภัยเพิ่มเติม เช่น ปิด Lua scripting หากไม่จำเป็น ใช้บัญชี non-root และจำกัดการเข้าถึงผ่าน firewall หรือ VPC RediShell เป็นตัวอย่างชัดเจนของ “หนี้ทางเทคนิค” ที่สะสมในโค้ดโอเพ่นซอร์ส และแสดงให้เห็นว่าการตั้งค่าระบบที่ไม่รัดกุมสามารถเปิดช่องให้เกิดการโจมตีระดับร้ายแรงได้ แม้จะไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้โจมตีจริงในขณะนี้ แต่ความเสี่ยงที่เกิดขึ้นถือว่าสูงมาก โดยเฉพาะในระบบที่เปิดสู่สาธารณะ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ RediShell (CVE-2025-49844) เป็นบั๊ก use-after-free ใน Lua interpreter ของ Redis ➡️ ผู้โจมตีสามารถส่ง Lua script เพื่อหลบหนี sandbox และรันคำสั่ง native บนเซิร์ฟเวอร์ ➡️ มี Redis instance เปิดสู่สาธารณะกว่า 330,000 เครื่อง โดย 60,000 ไม่มี authentication ➡️ Redis ใช้ในกว่า 75% ของระบบคลาวด์ทั่วโลก ➡️ Redis ออกแพตช์แก้ไขเมื่อวันที่ 3 ตุลาคม 2025 ➡️ Wiz ค้นพบช่องโหว่นี้ในงาน Pwn2Own Berlin และแจ้ง Redis ล่วงหน้า ➡️ แนะนำให้ปิด Lua scripting หากไม่จำเป็น และใช้บัญชี non-root ➡️ ควรจำกัดการเข้าถึง Redis ด้วย firewall หรือ VPC ➡️ เปิดระบบ logging และ monitoring เพื่อจับพฤติกรรมผิดปกติ ✅ ข้อมูลเสริมจากภายนอก ➡️ Lua เป็นภาษา lightweight ที่นิยมใช้ใน embedded systems และเกม ➡️ use-after-free เป็นบั๊กที่เกิดจากการใช้ memory หลังจากถูกปล่อยคืนแล้ว ➡️ Redis เคยถูกโจมตีด้วยมัลแวร์ เช่น P2PInfect, Redigo, HeadCrab และ Migo ➡️ Redis container บน Docker มักไม่มีการตั้งค่า authentication โดยค่าเริ่มต้น ➡️ การตั้งค่า bind 0.0.0.0 ใน Docker Compose อาจเปิด Redis สู่สาธารณะโดยไม่ตั้งใจ https://hackread.com/13-year-old-redishell-vulnerability-redis-servers-risk/

🚨 “Redis พบช่องโหว่ร้ายแรงซ่อนมา 13 ปี — เสี่ยงถูกแฮกนับแสนเซิร์ฟเวอร์ทั่วโลก” Redis ฐานข้อมูลแบบ in-memory ที่นิยมใช้ในระบบคลาวด์ทั่วโลก กำลังเผชิญกับช่องโหว่ความปลอดภัยระดับวิกฤตที่ถูกซ่อนอยู่ในซอร์สโค้ดมานานถึง 13 ปี โดยช่องโหว่นี้มีชื่อว่า CVE-2025-49844 หรือ “RediShell” ซึ่งเปิดโอกาสให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถรันโค้ดอันตรายจากระยะไกลได้ผ่านการใช้ Lua script ที่ถูกออกแบบมาเฉพาะ ช่องโหว่นี้เกิดจากบั๊กประเภท “use-after-free” ในระบบจัดการหน่วยความจำของ Lua engine ที่ฝังอยู่ใน Redis โดยผู้โจมตีสามารถใช้สคริปต์ Lua เพื่อหลบหนีจาก sandbox และเข้าถึงหน่วยความจำที่ถูกปล่อยแล้ว ทำให้สามารถเปิด reverse shell และควบคุมเซิร์ฟเวอร์ Redis ได้เต็มรูปแบบ ผลกระทบอาจรุนแรงถึงขั้นขโมยข้อมูลสำคัญ ติดตั้งมัลแวร์ ขุดคริปโต หรือเคลื่อนย้ายไปยังระบบอื่นในเครือข่ายได้ โดยเฉพาะอย่างยิ่งเมื่อพบว่ามี Redis instance กว่า 330,000 ตัวที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต และกว่า 60,000 ตัวไม่มีระบบยืนยันตัวตนเลย Redis ได้ออกแพตช์แก้ไขในเวอร์ชัน 8.2.2 และแนะนำให้ผู้ดูแลระบบอัปเดตทันที หากไม่สามารถอัปเดตได้ในตอนนี้ ควรปิดการใช้งาน Lua script โดยใช้ ACL เพื่อจำกัดคำสั่ง EVAL และ EVALSHA พร้อมตั้งค่าการยืนยันตัวตนให้รัดกุม นักวิจัยจาก Wiz และ Trend Micro ที่ค้นพบช่องโหว่นี้เตือนว่า “นี่คือช่องโหว่ที่อันตรายที่สุดในรอบหลายปี” และอาจนำไปสู่การโจมตีแบบ botnet และ cryptojacking คล้ายกับกรณีมัลแวร์ P2PInfect ที่เคยแพร่กระจายผ่าน Redis ในปี 2024 ✅ ข้อมูลสำคัญจากข่าว ➡️ Redis พบช่องโหว่ CVE-2025-49844 ที่มีความรุนแรงระดับ 10/10 ➡️ ช่องโหว่นี้เกิดจากบั๊ก use-after-free ใน Lua engine ที่ฝังอยู่ใน Redis ➡️ ผู้โจมตีสามารถใช้ Lua script เพื่อหลบ sandbox และรันโค้ดอันตราย ➡️ ส่งผลให้สามารถเปิด reverse shell และควบคุมเซิร์ฟเวอร์ Redis ได้ ➡️ Redis ได้ออกแพตช์ในเวอร์ชัน 8.2.2 เพื่อแก้ไขช่องโหว่นี้ ➡️ มี Redis instance กว่า 330,000 ตัวเปิดให้เข้าถึงผ่านอินเทอร์เน็ต ➡️ อย่างน้อย 60,000 ตัวไม่มีระบบยืนยันตัวตน ➡️ หากไม่สามารถอัปเดตได้ ควรใช้ ACL ปิดคำสั่ง EVAL และ EVALSHA ➡️ ช่องโหว่นี้ถูกค้นพบโดย Wiz และ Trend Micro ในเดือนพฤษภาคม 2025 ➡️ Redis Cloud ได้รับการอัปเดตแล้ว ไม่ต้องดำเนินการเพิ่มเติม ✅ ข้อมูลเสริมจากภายนอก ➡️ Redis ใช้ในกว่า 75% ของระบบคลาวด์ทั่วโลก ➡️ ช่องโหว่นี้มีผลกับ Redis ทุกเวอร์ชันที่รองรับ Lua scripting ➡️ Valkey ซึ่งเป็น fork ของ Redis ก็ได้รับผลกระทบเช่นกัน ➡️ การโจมตีแบบ cryptojacking ผ่าน Redis เคยเกิดขึ้นแล้วในปี 2024 ➡️ การตั้งค่า Redis โดยไม่ใช้ root และจำกัดการเข้าถึงผ่าน firewall เป็นแนวทางป้องกันที่แนะนำ https://www.techradar.com/pro/security/redis-warns-major-security-flaw-could-be-impacting-thousands-of-instances-so-patch-now

🎮 “UPnP บน Xbox: ทางลัดสู่การเล่นออนไลน์ลื่นไหล หรือช่องโหว่ที่เปิดบ้านให้แฮกเกอร์?” ในยุคที่เกมออนไลน์กลายเป็นกิจกรรมหลักของผู้เล่น Xbox หลายคน การตั้งค่าเครือข่ายให้เหมาะสมจึงเป็นเรื่องสำคัญ โดยเฉพาะการตั้งค่า NAT (Network Address Translation) ที่ส่งผลโดยตรงต่อการเชื่อมต่อกับผู้เล่นคนอื่น ๆ ซึ่ง UPnP หรือ Universal Plug and Play คือฟีเจอร์ที่ช่วยให้ Xbox สามารถเปิดพอร์ตที่จำเป็นสำหรับการเล่นเกมและแชทเสียงได้โดยอัตโนมัติ โดยไม่ต้องเข้าไปตั้งค่าด้วยตัวเอง UPnP ทำงานโดยให้ Xbox ส่งคำขอไปยังเราเตอร์เพื่อเปิดพอร์ตที่จำเป็น เช่น สำหรับเกม Call of Duty หรือ Fortnite ซึ่งช่วยให้ข้อมูลเกมไหลผ่านเครือข่ายได้อย่างราบรื่น และทำให้ NAT type ของ Xbox เป็นแบบ “Open” ซึ่งเป็นสถานะที่ดีที่สุดสำหรับการเล่นออนไลน์ แต่ความสะดวกนี้ก็มีด้านมืด เพราะ UPnP ไม่มีระบบตรวจสอบสิทธิ์ใด ๆ เลย — มันเชื่อทุกคำขอจากอุปกรณ์ในเครือข่ายทันที ซึ่งหมายความว่า หากมีอุปกรณ์ที่ถูกแฮกอยู่ในเครือข่ายเดียวกัน มันสามารถส่งคำขอปลอมไปยังเราเตอร์เพื่อเปิดพอร์ตให้แฮกเกอร์เข้าถึงระบบภายในบ้านได้ ช่องโหว่นี้เคยถูกใช้ในการโจมตีครั้งใหญ่ เช่น Mirai botnet ที่เจาะอุปกรณ์ IoT ผ่าน UPnP โดยไม่ต้องผ่าน firewall เลย ผู้เชี่ยวชาญด้านความปลอดภัยจึงแนะนำว่า หากคุณต้องการความปลอดภัยสูงสุด ควรปิด UPnP และตั้งค่า port forwarding ด้วยตัวเอง แม้จะยุ่งยากกว่า แต่คุณจะควบคุมได้เต็มที่ว่า “ประตูไหนเปิดให้ใคร” ✅ ข้อมูลสำคัญจากข่าว ➡️ UPnP คือโปรโตคอลที่ช่วยให้ Xbox เปิดพอร์ตเครือข่ายโดยอัตโนมัติ ➡️ ช่วยให้ NAT type เป็นแบบ “Open” ซึ่งดีที่สุดสำหรับการเล่นเกมออนไลน์ ➡️ Xbox ใช้ UPnP เพื่อเชื่อมต่อกับเกมและแชทเสียงโดยไม่ต้องตั้งค่าด้วยตัวเอง ➡️ หาก UPnP ไม่ทำงาน อาจเกิดข้อผิดพลาด “UPnP Not Successful” บน Xbox ➡️ NAT แบบ Moderate หรือ Strict จะจำกัดการเชื่อมต่อกับผู้เล่นคนอื่น ➡️ การตั้งค่า port forwarding ด้วยตัวเองเป็นทางเลือกที่ปลอดภัยกว่า ➡️ UPnP เป็นฟีเจอร์ที่เปิดไว้โดยค่าเริ่มต้นในเราเตอร์รุ่นใหม่ส่วนใหญ่ ✅ ข้อมูลเสริมจากภายนอก ➡️ Xbox ใช้พอร์ต UDP: 88, 500, 3544, 4500 และ TCP/UDP: 3074 สำหรับการเชื่อมต่อ ➡️ การตั้งค่า static IP บน Xbox ช่วยให้ port forwarding มีประสิทธิภาพมากขึ้น ➡️ บางเราเตอร์ต้องตั้งค่า DMZ หรือปรับ firewall เพื่อให้ Xbox เชื่อมต่อได้ดี ➡️ Carrier-Grade NAT (CGNAT) จาก ISP บางรายอาจทำให้ NAT type เป็นแบบ Strict โดยไม่สามารถแก้ไขได้เอง ➡️ การตั้งค่า port forwarding ต้องใช้ข้อมูล IP, MAC address และ gateway ของ Xbox https://www.slashgear.com/1981414/xbox-upnp-router-feature-purpose-what-for-how-enable/

🔥 “Cisco ASA/FTD ถูกเจาะทะลุ — ช่องโหว่ RCE เปิดทางยึดไฟร์วอลล์กว่า 50,000 เครื่องทั่วโลก” Cisco และหน่วยงานด้านความปลอดภัยไซเบอร์ของสหรัฐฯ (CISA) ออกคำเตือนด่วนถึงผู้ใช้งานไฟร์วอลล์รุ่น Adaptive Security Appliance (ASA) และ Firewall Threat Defense (FTD) หลังพบช่องโหว่ร้ายแรงสองรายการที่ถูกใช้โจมตีจริงแล้วในโลกออนไลน์ ได้แก่ CVE-2025-20333 และ CVE-2025-20362 ช่องโหว่แรก (20333) เป็น buffer overflow ที่มีคะแนนความรุนแรงสูงถึง 9.9/10 ซึ่งเปิดทางให้แฮกเกอร์สามารถรันคำสั่งจากระยะไกลโดยไม่ต้องยืนยันตัวตน ส่วนช่องโหว่ที่สอง (20362) เป็นการขาดการตรวจสอบสิทธิ์ที่ทำให้ผู้โจมตีสามารถเข้าถึงระบบได้ง่ายขึ้น แม้จะมีคะแนนความรุนแรงต่ำกว่า (6.5/10) แต่เมื่อใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ได้เต็มรูปแบบ จากการตรวจสอบโดย Shadowserver พบว่ามีอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่องทั่วโลก โดยประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ (19,610 เครื่อง) ตามด้วยสหราชอาณาจักรและเยอรมนี Cisco ได้ออกแพตช์แก้ไขแล้ว และเน้นย้ำว่า “ไม่มีวิธีแก้ชั่วคราว” สำหรับช่องโหว่นี้ ผู้ใช้ต้องอัปเดตซอฟต์แวร์ทันทีเพื่อป้องกันการถูกโจมตี โดยเฉพาะองค์กรที่ใช้ VPN ผ่าน Web Interface ซึ่งเป็นจุดที่แฮกเกอร์ใช้โจมตีมากที่สุด CISA ได้ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลสหรัฐฯ ตรวจสอบและส่งไฟล์หน่วยความจำของอุปกรณ์ให้วิเคราะห์ภายใน 24 ชั่วโมง พร้อมแนะนำให้ทุกองค์กรทั้งภาครัฐและเอกชนดำเนินการตามแนวทางเดียวกัน ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-20333 และ CVE-2025-20362 ถูกใช้โจมตีจริงแล้วในโลกออนไลน์ ➡️ ช่องโหว่แรกเป็น buffer overflow (คะแนน 9.9/10) ส่วนช่องโหว่ที่สองเป็น missing authorization (คะแนน 6.5/10) ➡️ ใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ Cisco ASA/FTD ได้เต็มรูปแบบ ➡️ Shadowserver พบอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่อง ➡️ ประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ สหราชอาณาจักร และเยอรมนี ➡️ Cisco ออกแพตช์แล้ว และยืนยันว่าไม่มีวิธีแก้ชั่วคราว ต้องอัปเดตเท่านั้น ➡️ CISA ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลดำเนินการตรวจสอบทันที ➡️ ช่องโหว่ส่งผลต่อการใช้งาน VPN ผ่าน Web Interface เป็นหลัก https://www.techradar.com/pro/security/around-50-000-cisco-firewalls-are-vulnerable-to-attack-so-patch-now

📱 “แอปมือถือรั่วข้อมูลหนัก — iOS แย่กว่า Android และ API กลายเป็นช่องโหว่หลักขององค์กร” รายงานล่าสุดจาก Zimperium เผยให้เห็นภาพที่น่าตกใจของความเสี่ยงด้านความปลอดภัยในแอปมือถือ โดยเฉพาะในระบบ iOS และ Android ซึ่งกลายเป็นสนามรบใหม่ของการโจมตีผ่าน API โดยตรง รายงานระบุว่า “มากกว่าครึ่ง” ของแอป iOS และ “หนึ่งในสาม” ของแอป Android มีการรั่วไหลของข้อมูลสำคัญ เช่น ข้อมูลส่วนตัว (PII), token, และข้อมูลระบบที่สามารถนำไปใช้โจมตีต่อได้ทันที สิ่งที่ทำให้สถานการณ์เลวร้ายยิ่งขึ้นคือการที่แฮกเกอร์สามารถดัดแปลงแอปจากฝั่ง client ได้โดยตรง เช่น การ reverse-engineer โค้ด, การปลอม API call ให้ดูเหมือนถูกต้อง, หรือแม้แต่การฝัง SDK ที่แอบส่งข้อมูลออกไปโดยผู้ใช้ไม่รู้ตัว แม้จะมีการใช้ SSL pinning หรือ API key validation ก็ยังไม่สามารถป้องกันได้ทั้งหมด เพราะการโจมตีเกิด “ภายในแอป” ไม่ใช่แค่ที่ขอบระบบอีกต่อไป นอกจากนี้ยังพบว่า 6% ของแอป Android ชั้นนำเขียนข้อมูลส่วนตัวลงใน console log และ 4% เขียนลง external storage ที่แอปอื่นสามารถเข้าถึงได้ ซึ่งถือเป็นการเปิดช่องให้มัลแวร์หรือแอปไม่พึงประสงค์เข้าถึงข้อมูลได้ง่ายขึ้น อีกทั้ง 37% ของแอปยอดนิยมยังส่งข้อมูลไปยังเซิร์ฟเวอร์ภายนอกโดยไม่มีการเข้ารหัสที่เพียงพอ Zimperium แนะนำให้เปลี่ยนแนวทางการป้องกันจาก “ขอบระบบ” มาเป็น “ภายในแอป” โดยใช้เทคนิคเช่น code obfuscation, runtime protection, และการตรวจสอบว่า API call มาจากแอปที่ไม่ถูกดัดแปลงเท่านั้น ✅ ข้อมูลสำคัญจากข่าว ➡️ มากกว่าครึ่งของแอป iOS และหนึ่งในสามของแอป Android มีการรั่วไหลของข้อมูลสำคัญ ➡️ API กลายเป็นช่องโหว่หลักที่แฮกเกอร์ใช้โจมตีผ่านแอปมือถือ ➡️ การโจมตีเกิดจากฝั่ง client เช่น reverse-engineering และการปลอม API call ➡️ SSL pinning และ API key validation ไม่สามารถป้องกันการโจมตีภายในแอปได้ ➡️ 6% ของแอป Android ชั้นนำเขียนข้อมูลลง console log และ 4% เขียนลง external storage ➡️ 37% ของแอปยอดนิยมส่งข้อมูลไปยังเซิร์ฟเวอร์ภายนอกโดยไม่มีการเข้ารหัส ➡️ SDK บางตัวสามารถแอบส่งข้อมูล, บันทึกตำแหน่ง GPS และพฤติกรรมผู้ใช้ ➡️ Zimperium แนะนำให้ใช้ in-app defense เช่น code obfuscation และ runtime protection ✅ ข้อมูลเสริมจากภายนอก ➡️ API เป็นหัวใจของแอปยุคใหม่ แต่ก็เป็นจุดที่ถูกโจมตีมากที่สุด ➡️ อุปกรณ์ที่ถูก root หรือ jailbreak สามารถเปิดช่องให้แฮกเกอร์ควบคุมได้เต็มรูปแบบ ➡️ การป้องกันแบบ perimeter เช่น firewall และ gateway ไม่สามารถตรวจสอบความถูกต้องของแอปที่ส่ง request ได้ ➡️ การใช้ Bring-Your-Own-Device (BYOD) ในองค์กรเพิ่มความเสี่ยงจากแอปที่ไม่ปลอดภัย ➡️ การตรวจสอบพฤติกรรมแอปและการตั้งค่าความปลอดภัยพื้นฐาน เช่น screen lock และ OS update เป็นสิ่งจำเป็น https://www.techradar.com/pro/security/apple-ios-apps-are-worse-at-leaking-sensitive-data-than-android-apps-finds-worrying-research-heres-what-you-need-to-know

🕵️ “BRICKSTORM: ช่องโหว่เงียบจากจีนที่แฝงตัวในระบบสหรัฐฯ นานกว่า 1 ปี — เมื่อขอบระบบกลายเป็นประตูหลังของการจารกรรมไซเบอร์” ในรายงานล่าสุดจาก Mandiant และ Google Threat Intelligence Group ได้เปิดเผยการโจมตีไซเบอร์ที่ซับซ้อนและยาวนานโดยกลุ่มแฮกเกอร์จีน UNC5221 ซึ่งสามารถแฝงตัวอยู่ในระบบของบริษัทเทคโนโลยี, กฎหมาย, SaaS และ BPO ในสหรัฐฯ ได้ถึง 393 วันโดยไม่ถูกตรวจจับ กลุ่มนี้ใช้มัลแวร์ชื่อว่า “BRICKSTORM” ซึ่งเป็น backdoor ที่เขียนด้วยภาษา Go สำหรับระบบ Linux และ BSD โดยถูกฝังไว้ในอุปกรณ์ edge เช่น firewall, VPN gateway และ network appliance ที่มักไม่มีระบบตรวจจับภัยคุกคามแบบ endpoint หรือ SIEM ทำให้การตรวจจับแทบเป็นไปไม่ได้หากไม่มีการ threat hunting เชิงรุก จากจุดเริ่มต้นที่อุปกรณ์ edge แฮกเกอร์สามารถเคลื่อนตัวไปยังระบบภายใน เช่น VMware vCenter, ESXi, Windows Server และแม้แต่ Microsoft 365 โดยใช้เทคนิคหลากหลาย เช่น การขโมย credentials, การฝัง Java Servlet filter (BRICKSTEAL) เพื่อดัก username/password และการติดตั้ง web shell (SLAYSTYLE) เพื่อควบคุมระบบผ่าน HTTP เป้าหมายของการโจมตีไม่ใช่แค่การขโมยข้อมูล แต่รวมถึงการวิเคราะห์ source code เพื่อพัฒนา zero-day exploit และการเข้าถึงระบบ downstream ของลูกค้าบริษัทเป้าหมาย เช่น SaaS ที่มีข้อมูลผู้ใช้จำนวนมาก ที่น่ากังวลคือ BRICKSTORM ยังสามารถทำงานเป็น SOCKS proxy เพื่อเปิดช่องให้แฮกเกอร์เข้าถึงระบบภายในโดยตรง และใช้ Microsoft Entra ID เพื่อเข้าถึง mailbox ของผู้ดูแลระบบหรือผู้พัฒนาซอฟต์แวร์ ซึ่งมักมีข้อมูลสำคัญระดับองค์กร แม้จะมีการออก scanner script เพื่อค้นหา BRICKSTORM แล้ว แต่การตรวจสอบย้อนหลังยังเป็นเรื่องยาก เพราะ log ของอุปกรณ์ edge มักถูกลบหรือไม่มีการเก็บไว้แบบ centralized ทำให้ไม่สามารถระบุได้ว่าการเจาะระบบเริ่มต้นจากจุดใด ✅ ข้อมูลสำคัญจากข่าว ➡️ กลุ่ม UNC5221 จากจีนใช้มัลแวร์ BRICKSTORM เจาะระบบบริษัทสหรัฐฯ นานกว่า 393 วัน ➡️ ฝังตัวในอุปกรณ์ edge เช่น firewall และ VPN gateway ที่ไม่มีระบบตรวจจับภัยคุกคาม ➡️ เคลื่อนตัวไปยังระบบภายใน เช่น VMware vCenter, ESXi, Windows Server และ Microsoft 365 ➡️ ใช้ Java Servlet filter (BRICKSTEAL) เพื่อดัก username/password ➡️ ใช้ web shell (SLAYSTYLE) เพื่อควบคุมระบบผ่าน HTTP ➡️ ใช้ Microsoft Entra ID เพื่อเข้าถึง mailbox ของผู้ดูแลระบบ ➡️ BRICKSTORM ทำงานเป็น SOCKS proxy เพื่อเปิดช่องเข้าระบบภายใน ➡️ เป้าหมายรวมถึงการขโมยข้อมูล, วิเคราะห์ source code และพัฒนา zero-day exploit ➡️ Mandiant ออก scanner script เพื่อค้นหา BRICKSTORM บนอุปกรณ์ edge ✅ ข้อมูลเสริมจากภายนอก ➡️ BRICKSTORM ถูกพบครั้งแรกในยุโรปตั้งแต่ปี 2022 และกลับมาโจมตีในสหรัฐฯ ปี 2025 ➡️ มัลแวร์นี้ใช้ nested TLS และ reverse proxy ผ่าน Cloudflare/Heroku เพื่อหลบการตรวจจับ ➡️ UNC5221 มีความเชื่อมโยงกับ Silk Typhoon แต่ Google เชื่อว่าเป็นกลุ่มแยกต่างหาก ➡️ การโจมตีเน้นเป้าหมายที่มีข้อมูลเชิงเศรษฐกิจและความมั่นคง เช่น กฎหมายและเทคโนโลยี ➡️ การใช้ edge device เป็นจุดเริ่มต้นทำให้การตรวจจับยากและการป้องกันต้องเปลี่ยนแนวคิด https://www.csoonline.com/article/4062723/chinese-spies-had-year-long-access-to-us-tech-and-legal-firms.html

🛡️ “PureVPN บน Linux พบช่องโหว่รั่วไหล IPv6 และลบกฎไฟร์วอลล์ — เสี่ยงเปิดเผยตัวตนแม้เชื่อมต่อ VPN อยู่” ผู้เชี่ยวชาญด้านความปลอดภัยจากกรีซที่ใช้ชื่อว่า Anagogistis ได้ค้นพบช่องโหว่สำคัญในแอป PureVPN บนระบบปฏิบัติการ Linux ทั้งแบบ GUI (v2.10.0) และ CLI (v2.0.1) โดยพบว่ามีการรั่วไหลของข้อมูล IPv6 และการจัดการไฟร์วอลล์ที่ผิดพลาด ซึ่งอาจทำให้ผู้ใช้งานถูกเปิดเผยตัวตนแม้จะเชื่อมต่อ VPN อยู่ก็ตาม ปัญหาแรกคือการรั่วไหลของ IPv6 ซึ่งเกิดขึ้นเมื่อมีการเปลี่ยนแปลงเครือข่าย เช่น การสลับ Wi-Fi หรือการปลุกเครื่องจากโหมดพัก ระบบจะกลับมาใช้ IPv6 route เดิมโดยไม่ผ่าน VPN tunnel ทำให้เว็บไซต์หรือบริการอีเมลสามารถเห็นที่อยู่จริงของผู้ใช้ได้ อีกปัญหาคือการจัดการไฟร์วอลล์ เมื่อเชื่อมต่อ VPN แอปจะลบกฎ iptables ที่ผู้ใช้ตั้งไว้ เช่น กฎจาก UFW หรือ Docker และเมื่อยกเลิกการเชื่อมต่อ VPN กฎเหล่านั้นจะไม่ถูกคืนกลับ ทำให้ระบบเปิดกว้างมากกว่าก่อนเชื่อมต่อ VPN ซึ่งขัดกับวัตถุประสงค์ของการใช้งาน VPN เพื่อความปลอดภัย PureVPN ยืนยันว่าปัญหานี้เกิดเฉพาะบน Linux และไม่มีผลกับ Windows, macOS หรือมือถือ โดยทีมงานกำลังเร่งออกแพตช์แก้ไขภายในกลางเดือนตุลาคม 2025 พร้อมแนะนำให้ผู้ใช้ปิด IPv6 ด้วยตนเอง และรีเซ็ตกฎไฟร์วอลล์หลังยกเลิกการเชื่อมต่อ VPN ✅ ข้อมูลสำคัญจากข่าว ➡️ แอป PureVPN บน Linux (GUI v2.10.0 และ CLI v2.0.1) พบช่องโหว่รั่วไหล IPv6 และลบกฎไฟร์วอลล์ ➡️ การรั่วไหลเกิดหลังการเปลี่ยนเครือข่าย เช่น สลับ Wi-Fi หรือปลุกเครื่องจากโหมดพัก ➡️ แอปลบกฎ iptables เดิมเมื่อเชื่อมต่อ VPN และไม่คืนกลับเมื่อยกเลิกการเชื่อมต่อ ➡️ PureVPN ยืนยันว่าปัญหาเกิดเฉพาะบน Linux และกำลังออกแพตช์ภายในกลางตุลาคม ➡️ แนะนำให้ผู้ใช้ปิด IPv6 และรีเซ็ตกฎไฟร์วอลล์ด้วยตนเองจนกว่าจะมีแพตช์ ✅ ข้อมูลเสริมจากภายนอก ➡️ IPv6 มีการใช้งานเพิ่มขึ้นในหลายประเทศ โดยเฉพาะในยุโรปและเอเชีย ➡️ การรั่วไหลของ IPv6 สามารถเปิดเผยตำแหน่งจริงของผู้ใช้ได้แม้ใช้ VPN ➡️ iptables เป็นระบบจัดการไฟร์วอลล์หลักของ Linux ซึ่งใช้ในหลายแอปพลิเคชัน ➡️ VPN ที่ดีควรมีระบบ kill-switch ที่ป้องกันการรั่วไหลเมื่อเครือข่ายไม่เสถียร ➡️ การจัดการไฟร์วอลล์ที่ผิดพลาดอาจเปิดช่องให้มัลแวร์หรือการโจมตีจากภายนอก https://www.techradar.com/vpn/vpn-privacy-security/purevpn-linux-apps-found-to-leak-ipv6-traffic-and-mess-with-your-firewall-heres-how-to-secure-your-data

🧱 “ช่องโหว่ Firebox CVE-2025-9242 คะแนน 9.3 — เมื่อไฟร์วอลล์กลายเป็นประตูหลังให้แฮกเกอร์” WatchGuard ได้ออกประกาศแจ้งเตือนความปลอดภัยระดับวิกฤตเกี่ยวกับช่องโหว่ใหม่ในอุปกรณ์ไฟร์วอลล์รุ่น Firebox ซึ่งใช้ระบบปฏิบัติการ Fireware OS โดยช่องโหว่นี้มีรหัส CVE-2025-9242 และได้รับคะแนนความรุนแรงสูงถึง 9.3 จาก 10 ตามมาตรฐาน CVSS ช่องโหว่นี้เป็นประเภท “out-of-bounds write” ซึ่งหมายถึงการเขียนข้อมูลลงในหน่วยความจำที่ไม่ควรเข้าถึง ส่งผลให้แฮกเกอร์สามารถรันโค้ดอันตรายบนอุปกรณ์ได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่นี้อยู่ในกระบวนการ iked ซึ่งเป็นส่วนหนึ่งของ VPN แบบ IKEv2 ที่ใช้สร้างการเชื่อมต่อแบบปลอดภัยระหว่างเครือข่าย สิ่งที่น่ากังวลคือ แม้ผู้ใช้จะลบการตั้งค่า VPN แบบ IKEv2 ไปแล้ว อุปกรณ์ก็ยังเสี่ยงต่อการถูกโจมตี หากยังมีการตั้งค่า VPN แบบ branch office ที่ใช้ static gateway peer อยู่ โดยช่องโหว่นี้ส่งผลกระทบต่อ Fireware OS เวอร์ชัน 11.10.2 ถึง 11.12.4_Update1, 12.0 ถึง 12.11.3 และ 2025.1 รวมถึงอุปกรณ์ในซีรีส์ T, M และ Firebox Cloud WatchGuard ได้ออกแพตช์แก้ไขในเวอร์ชัน 12.3.1_Update3, 12.5.13, 12.11.4 และ 2025.1.1 พร้อมแนะนำให้ผู้ใช้ตรวจสอบเวอร์ชันของอุปกรณ์และอัปเดตทันที หากไม่สามารถอัปเดตได้ในทันที ควรใช้วิธีชั่วคราว เช่น ปิดการใช้งาน dynamic peer VPN และตั้งนโยบายไฟร์วอลล์ใหม่เพื่อจำกัดการเข้าถึง ผู้เชี่ยวชาญด้านความปลอดภัยหลายคนออกมาเตือนว่า ช่องโหว่ในไฟร์วอลล์ถือเป็น “ชัยชนะเชิงยุทธศาสตร์” ของแฮกเกอร์ เพราะมันคือจุดเข้าเครือข่ายที่สำคัญที่สุด และมักถูกโจมตีภายในไม่กี่วันหลังจากมีการเปิดเผยช่องโหว่ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-9242 เป็นประเภท out-of-bounds write ในกระบวนการ iked ของ Fireware OS ➡️ ได้รับคะแนนความรุนแรง 9.3 จาก 10 ตามมาตรฐาน CVSS ➡️ ส่งผลกระทบต่อ Fireware OS เวอร์ชัน 11.10.2–11.12.4_Update1, 12.0–12.11.3 และ 2025.1 ➡️ อุปกรณ์ที่ได้รับผลกระทบรวมถึง Firebox T15, T35 และรุ่นอื่น ๆ ในซีรีส์ T, M และ Cloud ✅ การแก้ไขและคำแนะนำ ➡️ WatchGuard ออกแพตช์ในเวอร์ชัน 12.3.1_Update3, 12.5.13, 12.11.4 และ 2025.1.1 ➡️ แนะนำให้อัปเดตทันทีเพื่อป้องกันการโจมตีจากระยะไกล ➡️ หากยังไม่สามารถอัปเดตได้ ให้ปิด dynamic peer VPN และตั้งนโยบายไฟร์วอลล์ใหม่ ➡️ WatchGuard ยกย่องนักวิจัย “btaol” ที่ค้นพบช่องโหว่นี้ ✅ ข้อมูลเสริมจากภายนอก ➡️ ช่องโหว่ใน VPN gateway มักถูกโจมตีภายในไม่กี่วันหลังการเปิดเผย ➡️ การโจมตีไฟร์วอลล์สามารถนำไปสู่การเคลื่อนย้ายภายในเครือข่ายและติดตั้ง ransomware ➡️ การตั้งค่า VPN ที่ลบไปแล้วอาจยังทิ้งช่องโหว่ไว้ หากมีการตั้งค่าอื่นที่เกี่ยวข้อง ➡️ การใช้แนวทาง Zero Trust และการแบ่งเครือข่ายช่วยลดความเสียหายหากถูกเจาะ https://hackread.com/watchguard-fix-for-firebox-firewall-vulnerability/

📰 Raven Stealer: มัลแวร์สายลับยุคใหม่ที่ขโมยข้อมูลจากเบราว์เซอร์แล้วส่งผ่าน Telegram — ภัยเงียบที่ซ่อนตัวในความเบา ภัยคุกคามไซเบอร์ล่าสุดที่ถูกเปิดโปงโดยทีม Lat61 Threat Intelligence จาก Point Wild คือมัลแวร์ชื่อ “Raven Stealer” ซึ่งแม้จะดูเล็กและเรียบง่าย แต่กลับมีความสามารถในการขโมยข้อมูลส่วนตัวจากเบราว์เซอร์ยอดนิยมอย่าง Chrome และ Edge ได้อย่างมีประสิทธิภาพ โดยใช้เทคนิคล้ำสมัย เช่น process hollowing และการส่งข้อมูลผ่าน Telegram bot แบบเรียลไทม์ Raven Stealer ถูกเขียนด้วยภาษา Delphi และ C++ และถูกแจกจ่ายผ่านฟอรั่มใต้ดินหรือมากับซอฟต์แวร์เถื่อน โดยเมื่อถูกติดตั้ง มัลแวร์จะทำงานแบบไร้ร่องรอยในหน่วยความจำ ไม่ทิ้งไฟล์ไว้บนฮาร์ดดิสก์ ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยากมาก สิ่งที่ Raven ขโมยมีตั้งแต่รหัสผ่าน คุกกี้ ข้อมูลบัตรเครดิต ไปจนถึง session cookies ที่สามารถใช้ข้ามระบบ MFA ได้ นอกจากนี้ยังสามารถขโมยข้อมูลจากแอปอื่น ๆ และกระเป๋าเงินคริปโตได้ด้วย โดยข้อมูลทั้งหมดจะถูกจัดเก็บใน ZIP แล้วส่งผ่าน Telegram API ไปยังผู้โจมตี ซึ่งมักใช้ Telegram เป็นช่องทางควบคุมและรับข้อมูลแบบ C2 (Command and Control) แม้การทดสอบบางครั้งจะล้มเหลวในการส่งข้อมูลเพราะ token ผิดพลาด แต่โครงสร้างของมัลแวร์นี้แสดงให้เห็นถึงแนวโน้มใหม่ของ “commodity malware” ที่แม้ผู้โจมตีจะไม่มีทักษะสูง ก็สามารถใช้เครื่องมือเหล่านี้ได้อย่างง่ายดาย ✅ Raven Stealer เป็นมัลแวร์ขโมยข้อมูลที่ถูกพัฒนาอย่างลับ ➡️ เขียนด้วย Delphi และ C++ ➡️ ถูกแจกจ่ายผ่านฟอรั่มใต้ดินและซอฟต์แวร์เถื่อน ✅ ใช้เทคนิค process hollowing เพื่อหลบเลี่ยงการตรวจจับ ➡️ ทำงานในหน่วยความจำโดยไม่ทิ้งไฟล์บนดิสก์ ➡️ ปลอมตัวเป็นโปรเซสของเบราว์เซอร์ เช่น chrome.exe ✅ ขโมยข้อมูลจากเบราว์เซอร์และแอปอื่น ๆ ➡️ รหัสผ่าน คุกกี้ ข้อมูลบัตรเครดิต และ session cookies ➡️ ข้อมูลจากกระเป๋าเงินคริปโตและแอปอื่น ๆ ก็ถูกเก็บ ✅ ส่งข้อมูลผ่าน Telegram bot แบบเรียลไทม์ ➡️ ใช้ API /sendDocument เพื่อส่ง ZIP file ➡️ Telegram ถูกใช้เป็นช่องทางควบคุมและรับข้อมูล ✅ มีโครงสร้างที่เอื้อต่อผู้โจมตีที่ไม่มีทักษะสูง ➡️ ใช้ builder สร้าง payload ได้ง่าย ➡️ มี UI ที่เรียบง่ายและรองรับโมดูลแบบ dynamic ‼️ คำเตือนเกี่ยวกับความเสี่ยงจาก Raven Stealer ⛔ การทำงานแบบ in-memory ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยาก ⛔ session cookies ที่ถูกขโมยสามารถใช้ข้าม MFA ได้ ⛔ การใช้ Telegram เป็นช่องทางส่งข้อมูลอาจหลบเลี่ยง firewall ขององค์กร ⛔ ผู้ใช้ที่ดาวน์โหลดซอฟต์แวร์เถื่อนมีความเสี่ยงสูงต่อการติดมัลแวร์นี้ https://hackread.com/raven-stealer-malware-browsers-passwords-payment-data/

🎙️ เรื่องเล่าจาก Geedge ถึง MESA: เมื่อไฟร์วอลล์กลายเป็นสินค้าส่งออกของการควบคุมข้อมูล เมื่อวันที่ 11 กันยายน 2025 กลุ่มแฮกทิวิสต์ชื่อ Enlace Hacktivista ได้เผยแพร่ข้อมูลกว่า 600 GB ที่เกี่ยวข้องกับการพัฒนาและปฏิบัติการของ Great Firewall of China โดยข้อมูลนี้ประกอบด้วย source code, เอกสารภายใน, บันทึกการทำงาน, และการสื่อสารระหว่างทีมงานที่เกี่ยวข้องกับ Geedge Networks และ MESA Lab ซึ่งเป็นหน่วยงานวิจัยภายใต้ Chinese Academy of Sciences Geedge Networks ก่อตั้งโดย Fang Binxing ผู้ได้รับฉายาว่า “บิดาแห่ง Great Firewall” และมีบทบาทสำคัญในการส่งออกเทคโนโลยีเซ็นเซอร์ไปยังประเทศต่าง ๆ เช่น เมียนมา, ปากีสถาน, คาซัคสถาน, เอธิโอเปีย และประเทศอื่น ๆ ที่อยู่ในโครงการ Belt and Road Initiative ไฟล์ที่รั่วไหลประกอบด้วย mirror/repo.tar ขนาด 500 GB ซึ่งเป็น archive ของ RPM packaging server และเอกสารที่บีบอัดจาก Geedge และ MESA เช่น geedge_docs.tar.zst และ mesalab_docs.tar.zst ซึ่งมีทั้งรายงานภายใน, ข้อเสนอทางเทคนิค, และบันทึกการประชุมที่แสดงให้เห็นถึงการวางแผนและการดำเนินงานในระดับละเอียด นอกจากนี้ยังมีไฟล์ที่เกี่ยวข้องกับการจัดการโครงการ เช่น geedge_jira.tar.zst และเอกสารการสื่อสาร เช่น chat.docx ที่เผยให้เห็นถึงการประสานงานระหว่างนักวิจัยและวิศวกร รวมถึงไฟล์ routine อย่าง 打印.docx (Print) และเอกสารเบิกค่าใช้จ่ายที่สะท้อนถึงความเป็นระบบราชการของโครงการนี้ สิ่งที่ทำให้การรั่วไหลครั้งนี้แตกต่างจากครั้งอื่นคือ “ความลึก” ของข้อมูล ไม่ใช่แค่บันทึกจาก whistleblower แต่เป็นข้อมูลดิบที่สะท้อนถึงการพัฒนาอย่างต่อเนื่องของระบบเซ็นเซอร์ระดับประเทศ และการขยายอิทธิพลไปยังต่างประเทศผ่านการส่งออกเทคโนโลยี ✅ ข้อมูลที่รั่วไหลจาก Great Firewall ➡️ ขนาดรวมกว่า 600 GB ประกอบด้วย source code, เอกสารภายใน, และบันทึกการทำงาน ➡️ มีไฟล์ mirror/repo.tar ขนาด 500 GB ที่เป็น archive ของ RPM packaging server ➡️ เอกสารจาก Geedge และ MESA แสดงถึงการวางแผนและการดำเนินงานในระดับลึก ✅ หน่วยงานที่เกี่ยวข้องกับการพัฒนา ➡️ Geedge Networks ก่อตั้งโดย Fang Binxing และเป็นผู้ส่งออกเทคโนโลยีเซ็นเซอร์ ➡️ MESA Lab เป็นหน่วยงานวิจัยภายใต้ Chinese Academy of Sciences ➡️ ทั้งสองหน่วยงานมีบทบาทสำคัญในการพัฒนาและขยายระบบ Great Firewall ✅ การส่งออกเทคโนโลยีเซ็นเซอร์ ➡️ มีการส่งออกไปยังเมียนมา, ปากีสถาน, คาซัคสถาน, เอธิโอเปีย และประเทศอื่น ๆ ➡️ เชื่อมโยงกับโครงการ Belt and Road Initiative ➡️ ใช้เทคโนโลยีเพื่อควบคุมข้อมูลและการสื่อสารในประเทศเหล่านั้น ✅ ลักษณะของข้อมูลที่รั่วไหล ➡️ มีไฟล์ที่เกี่ยวข้องกับการจัดการโครงการ เช่น geedge_jira.tar.zst ➡️ เอกสารการสื่อสาร เช่น chat.docx แสดงถึงการประสานงานภายใน ➡️ ไฟล์ routine เช่น 打印.docx และเอกสารเบิกค่าใช้จ่ายสะท้อนถึงระบบราชการ ✅ ความสำคัญของการรั่วไหลครั้งนี้ ➡️ เป็นการเปิดเผยโครงสร้างและการดำเนินงานของระบบเซ็นเซอร์ระดับประเทศ ➡️ ให้ข้อมูลเชิงลึกที่ไม่เคยเปิดเผยมาก่อน ➡️ นักวิจัยและองค์กรสิทธิมนุษยชนสามารถใช้ข้อมูลนี้ในการวิเคราะห์และตรวจสอบ https://hackread.com/great-firewall-of-china-data-published-largest-leak/

📱 “Firewalla อัปเดตใหม่หลอกลูกให้เลิกเล่นมือถือด้วย ‘เน็ตช้า’ — เมื่อการควบคุมพฤติกรรมดิจิทัลไม่ต้องใช้คำสั่ง แต่ใช้ความรู้สึก” ในยุคที่เด็ก ๆ ใช้เวลาบนหน้าจอมากกว่าการเล่นกลางแจ้ง Firewalla แอปจัดการเครือข่ายและความปลอดภัยสำหรับครอบครัว ได้เปิดตัวฟีเจอร์ใหม่ในเวอร์ชัน 1.66 ที่ชื่อว่า “Disturb” ซึ่งใช้วิธีแปลกใหม่ในการควบคุมพฤติกรรมการใช้งานมือถือของเด็ก ๆ โดยไม่ต้องบล็อกแอปหรือปิดอินเทอร์เน็ต — แต่ใช้การ “หลอกว่าเน็ตช้า” เพื่อให้เด็กเบื่อและเลิกเล่นไปเอง ฟีเจอร์นี้จะจำลองอาการอินเทอร์เน็ตช้า เช่น การบัฟเฟอร์ การโหลดช้า หรือดีเลย์ในการใช้งานแอปยอดนิยมอย่าง Snapchat โดยไม่แจ้งให้ผู้ใช้รู้ว่าเป็นการตั้งใจ ทำให้เด็กเข้าใจว่าเป็นปัญหาทางเทคนิค และเลือกที่จะหยุดใช้งานเอง ซึ่งเป็นการสร้างแรงจูงใจแบบนุ่มนวลมากกว่าการลงโทษ นอกจากฟีเจอร์ Disturb แล้ว Firewalla ยังเพิ่มความสามารถด้านความปลอดภัย เช่น “Device Active Protect” ที่ใช้แนวคิด Zero Trust ในการเรียนรู้พฤติกรรมของอุปกรณ์ และบล็อกกิจกรรมที่ผิดปกติโดยอัตโนมัติ รวมถึงการเชื่อมต่อกับระบบตรวจจับภัยคุกคามแบบเปิดอย่าง Suricata เพื่อเพิ่มความแม่นยำในการตรวจจับมัลแวร์และการโจมตีเครือข่าย สำหรับผู้ใช้งานระดับบ้านและธุรกิจขนาดเล็ก Firewalla ยังเพิ่มฟีเจอร์ Multi-WAN Data Usage Tracking ที่สามารถติดตามการใช้งานอินเทอร์เน็ตจากหลายสายพร้อมกัน พร้อมระบบแจ้งเตือนและรายงานแบบละเอียด ✅ ฟีเจอร์ใหม่ใน Firewalla App 1.66 ➡️ “Disturb” จำลองอินเทอร์เน็ตช้าเพื่อเบี่ยงเบนพฤติกรรมเด็กจากการใช้แอป ➡️ ไม่บล็อกแอปโดยตรง แต่สร้างความรู้สึกว่าเน็ตไม่เสถียร ➡️ ใช้กับแอปที่ใช้เวลานาน เช่น Snapchat, TikTok, YouTube ➡️ เป็นวิธีควบคุมแบบนุ่มนวล ไม่ใช่การลงโทษ ✅ ฟีเจอร์ด้านความปลอดภัยเพิ่มเติม ➡️ “Device Active Protect” ใช้ Zero Trust เพื่อเรียนรู้พฤติกรรมอุปกรณ์ ➡️ บล็อกกิจกรรมที่ผิดปกติโดยไม่ต้องตั้งค่ากฎเอง ➡️ เชื่อมต่อกับ Suricata เพื่อเพิ่มความแม่นยำในการตรวจจับภัย ➡️ เพิ่มระบบ FireAI วิเคราะห์เหตุการณ์เครือข่ายแบบเรียลไทม์ ✅ ฟีเจอร์สำหรับผู้ใช้ระดับบ้านและธุรกิจ ➡️ Multi-WAN Data Usage Tracking ติดตามการใช้งานอินเทอร์เน็ตหลายสาย ➡️ มีระบบแจ้งเตือนเมื่อใช้งานเกินขีดจำกัด ➡️ รายงานการใช้งานแบบละเอียดสำหรับการวางแผนเครือข่าย ➡️ รองรับการใช้งานในบ้านที่มีหลายอุปกรณ์หรือหลายเครือข่าย ✅ ข้อมูลเสริมจากภายนอก ➡️ Suricata เป็นระบบตรวจจับภัยคุกคามแบบ open-source ที่ใช้ในองค์กรขนาดใหญ่ ➡️ Zero Trust เป็นแนวคิดด้านความปลอดภัยที่ไม่เชื่อถืออุปกรณ์ใด ๆ โดยอัตโนมัติ ➡️ Firewalla ได้รับความนิยมในกลุ่มผู้ใช้ที่ต้องการควบคุมเครือข่ายภายในบ้าน ➡️ ฟีเจอร์ Disturb อาจเป็นต้นแบบของการควบคุมพฤติกรรมเชิงจิตวิทยาในยุคดิจิทัล https://www.techradar.com/pro/phone-communications/this-security-app-deliberately-slows-down-internet-speeds-to-encourage-your-kids-to-log-off-their-snapchat-accounts

🎙️ เมื่อจีน “ปิดประตู” สู่โลกภายนอก – และ HTTPS ก็ถูกตัดขาดโดยไม่มีคำอธิบาย ในช่วงเวลา 00:34 ถึง 01:48 ตามเวลาปักกิ่งของวันที่ 20 สิงหาคม 2025 จีนได้ตัดการเชื่อมต่ออินเทอร์เน็ตกับโลกภายนอกอย่างเงียบ ๆ โดยบล็อกการใช้งาน TCP port 443 ซึ่งเป็นพอร์ตมาตรฐานสำหรับ HTTPS ทำให้ผู้ใช้อินเทอร์เน็ตในจีนไม่สามารถเข้าถึงเว็บไซต์และบริการต่างประเทศได้ รวมถึงบริการสำคัญอย่าง Apple และ Tesla ที่ใช้พอร์ตนี้ในการเชื่อมต่อกับเซิร์ฟเวอร์ภายนอก กลุ่มนักวิจัยจาก Great Firewall Report ตรวจพบว่าอุปกรณ์ในระบบ Great Firewall ได้ “ฉีดแพ็กเก็ตปลอม” (forged TCP RST+ACK) เพื่อขัดขวางการเชื่อมต่อทุกกรณีที่ใช้ port 443 โดยไม่แตะต้องพอร์ตอื่น เช่น 22, 80 หรือ 8443 ซึ่งเป็นพฤติกรรมที่แตกต่างจากการบล็อกแบบกว้างในปี 2020 ที่เคยบล็อก HTTPS ทุกพอร์ต สิ่งที่น่าสนใจคือ อุปกรณ์ที่ใช้ในการบล็อกครั้งนี้ไม่ตรงกับลายนิ้วมือของอุปกรณ์ที่เคยใช้ในระบบ Great Firewall มาก่อน ทำให้เกิดข้อสงสัยว่าเป็นอุปกรณ์ใหม่ หรืออุปกรณ์เดิมที่ถูกตั้งค่าผิด หรืออาจเป็นการทดสอบระบบใหม่โดยรัฐบาลจีน แม้จะเป็นเหตุการณ์สั้น ๆ แต่ผลกระทบกลับกว้างขวาง เพราะ port 443 เป็นหัวใจของการเชื่อมต่อแบบปลอดภัยทั่วโลก และการบล็อกเพียงพอร์ตเดียวก็สามารถทำให้จีน “ตัดขาด” จากโลกภายนอกได้ทันที 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ จีนบล็อก TCP port 443 เป็นเวลา 74 นาทีในวันที่ 20 สิงหาคม 2025 ➡️ การบล็อกทำให้ผู้ใช้อินเทอร์เน็ตในจีนไม่สามารถเข้าถึงเว็บไซต์ต่างประเทศได้ ➡️ บริการสำคัญอย่าง Apple และ Tesla ที่ใช้ port 443 ก็ได้รับผลกระทบ ➡️ ระบบ Great Firewall ฉีดแพ็กเก็ตปลอม (RST+ACK) เพื่อขัดขวางการเชื่อมต่อ ➡️ การบล็อกจำกัดเฉพาะ port 443 ไม่แตะต้องพอร์ตอื่น เช่น 22, 80, 8443 ➡️ อุปกรณ์ที่ใช้ในการบล็อกไม่ตรงกับลายนิ้วมือของอุปกรณ์เดิมในระบบ GFW ➡️ นักวิจัยตั้งข้อสงสัยว่าเป็นอุปกรณ์ใหม่ หรือการตั้งค่าที่ผิดพลาด ➡️ ไม่มีเหตุการณ์ทางการเมืองหรือวิกฤตที่ชัดเจนในช่วงเวลานั้น ➡️ เหตุการณ์นี้ถูกตรวจพบโดยนักวิจัยจากหลายประเทศและองค์กรอิสระ ➡️ การบล็อกครั้งนี้แสดงให้เห็นถึงความสามารถของจีนในการควบคุมการเชื่อมต่อระดับโลก ✅ ข้อมูลเสริมจากภายนอก ➡️ เหตุการณ์คล้ายกันเคยเกิดในปี 2020 เมื่อจีนบล็อก HTTPS ทุกพอร์ตพร้อมกัน ➡️ NetBlocks รายงานว่าปากีสถานมีการลดลงของทราฟฟิกอินเทอร์เน็ตก่อนเหตุการณ์ในจีน ➡️ จีนเคยแบ่งปันเทคโนโลยี Great Firewall กับประเทศอื่น เช่น ปากีสถานและอิหร่าน ➡️ การฉีดแพ็กเก็ตปลอมเป็นเทคนิคที่ใช้ในการบล็อกแบบลึก (deep packet interference) ➡️ นักวิชาการเปรียบเทียบระบบ Great Firewall ว่าเป็น “การประนีประนอมระหว่างการเปิดและปิดอินเทอร์เน็ต” https://www.tomshardware.com/tech-industry/cyber-security/chinas-great-firewall-blocked-all-traffic-to-a-common-https-port-for-over-an-hour-with-no-hint-as-to-its-intention

🧠 Microsoft Entra Private Access – เปลี่ยนการเข้าถึง Active Directory แบบเดิมให้ปลอดภัยยิ่งขึ้น ในยุคที่องค์กรกำลังเปลี่ยนผ่านสู่ระบบคลาวด์ ความปลอดภัยของระบบภายในองค์กรก็ยังคงเป็นเป้าหมายของแฮกเกอร์ โดยเฉพาะ Active Directory ที่ยังคงถูกใช้งานอย่างแพร่หลายในหน่วยงานรัฐและองค์กรขนาดใหญ่ Microsoft จึงเปิดตัว “Entra Private Access” ซึ่งเป็นฟีเจอร์ใหม่ที่นำความสามารถด้าน Conditional Access และ Multi-Factor Authentication (MFA) จากระบบคลาวด์ มาสู่ระบบ Active Directory ที่อยู่ภายในองค์กร (on-premises) โดยใช้แนวคิด Zero Trust Network Access (ZTNA) แต่ก่อนจะใช้งานได้ องค์กรต้อง “ล้าง NTLM” ออกจากระบบให้หมด และเปลี่ยนมาใช้ Kerberos แทน เพราะ NTLM เป็นโปรโตคอลเก่าที่มีช่องโหว่ด้านความปลอดภัยสูง การติดตั้ง Entra Private Access ต้องมีการกำหนดค่าเครือข่าย เช่น เปิดพอร์ต TCP 1337 บน Firewall, ระบุ Service Principal Name (SPN) ของแอปภายใน และติดตั้ง Private Access Sensor บน Domain Controller รวมถึงต้องใช้เครื่องลูกข่ายที่เป็น Windows 10 ขึ้นไป และเชื่อมต่อกับ Microsoft Entra ID แม้จะดูซับซ้อน แต่การเปลี่ยนผ่านนี้จะช่วยให้องค์กรสามารถควบคุมการเข้าถึงระบบภายในได้อย่างปลอดภัยมากขึ้น ลดการพึ่งพา VPN แบบเดิม และเตรียมพร้อมสู่การป้องกันภัยไซเบอร์ในระดับสูง ➡️ Microsoft เปิดตัว Entra Private Access สำหรับ Active Directory ภายในองค์กร ➡️ ฟีเจอร์นี้นำ Conditional Access และ MFA จากคลาวด์มาใช้กับระบบ on-premises ➡️ ใช้แนวคิด Zero Trust Network Access (ZTNA) เพื่อควบคุมการเข้าถึง ➡️ ต้องลบ NTLM ออกจากระบบและใช้ Kerberos แทนเพื่อใช้งานฟีเจอร์นี้ ➡️ เปิดพอร์ต TCP 1337 บน Firewall และกำหนด SPN ของแอปภายใน ➡️ ต้องใช้เครื่องลูกข่าย Windows 10+ ที่เชื่อมต่อกับ Microsoft Entra ID ➡️ รองรับ Windows 10, 11 และ Android ส่วน macOS/iOS ยังอยู่ในช่วงทดลอง ➡️ เอกสารการติดตั้งฉบับเต็มเผยแพร่เมื่อเดือนกรกฎาคม 2025 ➡️ สามารถใช้ trial license ทดสอบการติดตั้งแบบ proof of concept ได้ ➡️ NTLM เป็นโปรโตคอลเก่าที่มีช่องโหว่ เช่น relay attack และ credential theft ➡️ Kerberos ใช้ระบบ ticket-based authentication ที่ปลอดภัยกว่า ➡️ Zero Trust เป็นแนวคิดที่ไม่เชื่อถืออัตโนมัติแม้จะอยู่ในเครือข่ายองค์กร ➡️ VPN แบบเดิมมีความเสี่ยงจากการถูกเจาะระบบและไม่รองรับการควบคุมแบบละเอียด ➡️ การใช้ SPN ช่วยระบุแอปภายในที่ต้องการป้องกันได้อย่างแม่นยำ ➡️ การบังคับใช้ MFA ช่วยลดความเสี่ยงจากการโจมตีด้วยรหัสผ่านที่รั่วไหล https://www.csoonline.com/article/4041752/microsoft-entra-private-access-brings-conditional-access-to-on-prem-active-directory.html

🚨 ช่องโหว่ CVE-2025-20265 ใน Cisco FMC: เมื่อระบบป้องกันกลายเป็นช่องทางโจมตี Cisco ได้ออกประกาศเตือนถึงช่องโหว่ร้ายแรงใน Secure Firewall Management Center (FMC) ซึ่งเป็นระบบจัดการไฟร์วอลล์แบบรวมศูนย์ที่ใช้กันในองค์กรและหน่วยงานรัฐบาลทั่วโลก โดยช่องโหว่นี้อยู่ในระบบยืนยันตัวตนผ่าน RADIUS ซึ่งเป็นโปรโตคอลที่ใช้เชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเพื่อจัดการบัญชีผู้ใช้ ช่องโหว่นี้เกิดจากการจัดการข้อมูลที่ผู้ใช้กรอกระหว่างการล็อกอินไม่ดีพอ ทำให้แฮกเกอร์สามารถส่งข้อมูลที่ถูกออกแบบมาเฉพาะเพื่อสั่งให้ระบบรันคำสั่ง shell โดยไม่ต้องยืนยันตัวตนเลย ซึ่งหมายความว่าแฮกเกอร์สามารถควบคุมระบบได้ทันทีหาก FMC ถูกตั้งค่าให้ใช้ RADIUS สำหรับการล็อกอินผ่านเว็บหรือ SSH ช่องโหว่นี้ถูกระบุเป็น CVE-2025-20265 และได้รับคะแนนความรุนแรงเต็ม 10/10 จาก Cisco โดยส่งผลกระทบต่อเวอร์ชัน 7.0.7 และ 7.7.0 ของ FMC เท่านั้น หากมีการเปิดใช้ RADIUS authentication Cisco ได้ออกแพตช์แก้ไขแล้ว และแนะนำให้ผู้ใช้ที่ไม่สามารถติดตั้งแพตช์ได้ให้ปิดการใช้งาน RADIUS แล้วเปลี่ยนไปใช้ระบบยืนยันตัวตนแบบอื่น เช่น LDAP หรือบัญชีผู้ใช้ภายในแทน ✅ ข้อมูลจากข่าวหลัก ➡️ ช่องโหว่ CVE-2025-20265 อยู่ในระบบ RADIUS authentication ของ Cisco FMC ➡️ ช่องโหว่นี้เปิดช่องให้แฮกเกอร์ส่งคำสั่ง shell โดยไม่ต้องยืนยันตัวตน ➡️ ส่งผลกระทบต่อ FMC เวอร์ชัน 7.0.7 และ 7.7.0 ที่เปิดใช้ RADIUS สำหรับเว็บหรือ SSH ➡️ Cisco ให้คะแนนความรุนแรง 10/10 และแนะนำให้ติดตั้งแพตช์ทันที ➡️ หากไม่สามารถติดตั้งแพตช์ได้ ให้ปิด RADIUS และใช้ LDAP หรือ local accounts แทน ➡️ ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยของ Cisco เอง และยังไม่มีรายงานการโจมตีจริงในขณะนี้ ➡️ Cisco ยังออกแพตช์แก้ไขช่องโหว่อื่นๆ อีก 13 รายการในผลิตภัณฑ์ต่างๆ ✅ ข้อมูลเสริมจากภายนอก ➡️ RADIUS เป็นโปรโตคอลยอดนิยมในองค์กรที่ต้องการควบคุมการเข้าถึงจากศูนย์กลาง ➡️ ช่องโหว่ลักษณะนี้จัดอยู่ในกลุ่ม “command injection” ซึ่งเป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด ➡️ การโจมตีแบบนี้สามารถใช้เพื่อเข้าถึงข้อมูลลับหรือควบคุมระบบเครือข่ายทั้งหมด ➡️ Cisco แนะนำให้ผู้ใช้ทดสอบการเปลี่ยนระบบยืนยันตัวตนก่อนใช้งานจริง ➡️ ช่องโหว่นี้ไม่ส่งผลต่อ Cisco ASA หรือ FTD ซึ่งใช้ระบบจัดการคนละแบบ ➡️ การใช้ SAML หรือ LDAP อาจช่วยลดความเสี่ยงในระบบองค์กรได้ https://www.techradar.com/pro/security/cisco-warns-of-worrying-major-security-flaw-in-firewall-command-center-so-patch-now

🕵️‍♂️🔐 เล่าให้ฟังใหม่: การโจมตีแบบ Brute-Force ครั้งใหญ่ต่อ Fortinet SSL VPN – สัญญาณเตือนภัยไซเบอร์ที่ไม่ควรมองข้าม เมื่อวันที่ 3 สิงหาคม 2025 นักวิจัยจาก GreyNoise ตรวจพบการโจมตีแบบ brute-force จำนวนมหาศาลต่อ Fortinet SSL VPN โดยมี IP ที่ไม่ซ้ำกันกว่า 780 รายการในวันเดียว ซึ่งเป็นปริมาณสูงสุดในรอบหลายเดือน การโจมตีนี้ไม่ใช่การสุ่มทั่วไป แต่เป็นการโจมตีแบบมีเป้าหมายชัดเจน โดยเริ่มจาก FortiOS และเปลี่ยนเป้าหมายไปยัง FortiManager ซึ่งเป็นเครื่องมือจัดการอุปกรณ์ Fortinet หลายตัวพร้อมกัน สิ่งที่น่าสนใจคือ มีเบาะแสว่าเครื่องมือโจมตีอาจถูกปล่อยจากเครือข่ายบ้านหรือใช้ residential proxy เพื่อหลบเลี่ยงการตรวจจับ และมีการพบลักษณะการโจมตีคล้ายกันในเดือนมิถุนายน ซึ่งเชื่อมโยงกับการเปิดเผยช่องโหว่ใหม่ในภายหลัง GreyNoise พบว่า 80% ของการโจมตีลักษณะนี้มักนำไปสู่การเปิดเผยช่องโหว่ใหม่ภายใน 6 สัปดาห์ โดยเฉพาะในระบบ edge เช่น VPN และ firewall ซึ่งเป็นเป้าหมายหลักของกลุ่มผู้โจมตีขั้นสูง ✅ พบการโจมตีแบบ brute-force ต่อ Fortinet SSL VPN จากกว่า 780 IP ภายในวันเดียว ➡️ เป็นปริมาณสูงสุดในรอบหลายเดือน ✅ การโจมตีมีเป้าหมายชัดเจน ไม่ใช่การสุ่ม ➡️ เริ่มจาก FortiOS แล้วเปลี่ยนไปยัง FortiManager ✅ FortiManager เป็นเครื่องมือจัดการอุปกรณ์ Fortinet หลายตัว ➡️ การโจมตีตรงนี้อาจทำให้ระบบทั้งเครือข่ายถูกควบคุม ✅ พบว่าการโจมตีอาจมาจากเครือข่ายบ้านหรือใช้ residential proxy ➡️ เพื่อหลบเลี่ยงการตรวจจับจากระบบป้องกัน ✅ ประเทศเป้าหมายหลักคือ ฮ่องกงและบราซิล ➡️ แต่ยังพบการโจมตีในสหรัฐฯ แคนาดา รัสเซีย และญี่ปุ่น ✅ GreyNoise พบว่าการโจมตีแบบนี้มักนำไปสู่การเปิดเผยช่องโหว่ใหม่ ➡️ โดยเฉลี่ยภายใน 6 สัปดาห์หลังจากการโจมตีเริ่มต้น ✅ Fortinet แนะนำให้ลูกค้าใช้เครื่องมือของ GreyNoise เพื่อบล็อก IP ที่เป็นอันตราย ➡️ และติดตามสถานการณ์อย่างใกล้ชิด https://hackread.com/brute-force-campaign-fortinet-ssl-vpn-coordinated-attack/

🎭💻 เรื่องเล่าจากโลกไซเบอร์: Raspberry Pi ตัวจิ๋วเกือบทำให้ธนาคารสูญเงินมหาศาล ลองจินตนาการว่าอุปกรณ์ขนาดเท่าฝ่ามืออย่าง Raspberry Pi ถูกแอบติดตั้งไว้ในเครือข่าย ATM ของธนาคาร โดยเชื่อมต่อผ่าน 4G และสามารถสื่อสารกับแฮกเกอร์จากภายนอกได้ตลอดเวลา—โดยไม่มีใครรู้เลย! นี่คือสิ่งที่กลุ่มแฮกเกอร์ UNC2891 ทำ พวกเขาใช้ความรู้ด้าน Linux และ Unix อย่างลึกซึ้ง ผสมกับเทคนิคการพรางตัวระดับสูง เช่นการใช้ชื่อโปรเซสปลอม (“lightdm”) และซ่อนโฟลเดอร์ในระบบด้วย bind mount เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือ forensic เป้าหมายของพวกเขาคือเจาะเข้าไปยังเซิร์ฟเวอร์สวิตช์ ATM และติดตั้ง rootkit ชื่อ CAKETAP ซึ่งสามารถหลอกระบบความปลอดภัยของธนาคารให้อนุมัติการถอนเงินปลอมได้อย่างแนบเนียน แม้การโจมตีจะถูกหยุดก่อนจะเกิดความเสียหายจริง แต่สิ่งที่น่ากลัวคือ แม้ Raspberry Pi จะถูกถอดออกแล้ว พวกเขายังสามารถเข้าถึงระบบผ่าน backdoor ที่ซ่อนไว้ใน mail server ได้อยู่ดี นี่ไม่ใช่แค่การแฮกผ่านอินเทอร์เน็ต แต่มันคือการผสมผสานระหว่างการเจาะระบบแบบ physical และ digital อย่างแยบยลที่สุดเท่าที่เคยมีมา ✅ กลุ่ม UNC2891 ใช้ Raspberry Pi เชื่อมต่อ 4G แอบติดตั้งในเครือข่าย ATM ➡️ ติดตั้งบน network switch เดียวกับ ATM เพื่อเข้าถึงระบบภายในธนาคาร ✅ ใช้ backdoor ชื่อ Tinyshell สื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน Dynamic DNS ➡️ ทำให้สามารถควบคุมจากภายนอกได้โดยไม่ถูก firewall ตรวจจับ ✅ ใช้เทคนิค Linux bind mount เพื่อซ่อนโปรเซสจากเครื่องมือ forensic ➡️ เทคนิคนี้ถูกบันทึกใน MITRE ATT&CK ว่าเป็น T1564.013 ✅ เป้าหมายคือการติดตั้ง rootkit CAKETAP บน ATM switching server ➡️ เพื่อหลอกระบบให้อนุมัติการถอนเงินปลอมโดยไม่ถูกตรวจจับ ✅ แม้ Raspberry Pi ถูกถอดออกแล้ว แต่ยังมี backdoor บน mail server ➡️ แสดงถึงการวางแผนเพื่อคงการเข้าถึงระบบอย่างต่อเนื่อง ✅ การสื่อสารกับ Raspberry Pi เกิดทุก 600 วินาที ➡️ ทำให้การตรวจจับยากเพราะดูเหมือนการทำงานปกติของระบบ ✅ UNC2891 เคยถูก Mandiant ตรวจพบในปี 2022 ว่าโจมตีระบบ ATM หลายแห่ง ➡️ ใช้ rootkit CAKETAP เพื่อหลอกการตรวจสอบ PIN และบัตร ✅ Raspberry Pi 4 ราคาประมาณ $35 และโมเด็ม 4G ประมาณ $140 ➡️ แสดงให้เห็นว่าอุปกรณ์โจมตีไม่จำเป็นต้องแพง ✅ กลุ่มนี้มีความเชี่ยวชาญในระบบ Linux, Unix และ Solaris ➡️ เคยใช้ malware ชื่อ SlapStick และ TinyShell ในการโจมตี ✅ การใช้ bind mount เป็นเทคนิคที่ไม่เคยพบในแฮกเกอร์มาก่อน ➡️ ปกติใช้ในงาน IT administration แต่ถูกนำมาใช้เพื่อหลบ forensic https://www.techradar.com/pro/security/talk-about-an-unexpected-charge-criminals-deploy-raspberry-pi-with-4g-modem-in-an-attempt-to-hack-atms