• “Oracle รีบออกแพตช์อุดช่องโหว่ Zero-Day หลังถูกโจมตีจริง — แฮกเกอร์ใช้ช่องโหว่ RCE ยึดระบบองค์กร”

    Oracle ต้องออกแพตช์ฉุกเฉินในต้นเดือนตุลาคม 2025 เพื่ออุดช่องโหว่ร้ายแรงในระบบ E-Business Suite หลังพบว่าถูกโจมตีจริงโดยกลุ่มแรนซัมแวร์ชื่อดังอย่าง Cl0p และ FIN11 ซึ่งใช้ช่องโหว่แบบ Zero-Day ที่ยังไม่มีใครรู้มาก่อนในการเจาะระบบขององค์กรต่าง ๆ ในสหรัฐฯ

    ช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-61882 โดยมีคะแนนความรุนแรงสูงถึง 9.8/10 และสามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการยืนยันตัวตนใด ๆ แฮกเกอร์สามารถเข้าถึงระบบผ่าน HTTP และยึดการควบคุม Oracle Concurrent Processing ได้ทันที

    การโจมตีเริ่มต้นจากการส่งอีเมลข่มขู่ไปยังผู้บริหารองค์กร โดยอ้างว่าขโมยข้อมูลสำคัญจากระบบ Oracle EBS ไปแล้ว ซึ่งตอนแรกยังไม่แน่ชัดว่าเป็นเรื่องจริงหรือไม่ แต่เมื่อ Oracle ออกแพตช์ฉุกเฉินและยืนยันว่ามีการโจมตีเกิดขึ้นจริง ก็ทำให้สถานการณ์ชัดเจนขึ้น

    กลุ่มแฮกเกอร์ใช้บัญชีอีเมลที่ถูกแฮกจำนวนมากในการส่งอีเมลข่มขู่ และมีหลักฐานเชื่อมโยงกับบัญชีที่เคยใช้โดย FIN11 รวมถึงมีการพบข้อมูลติดต่อที่เคยปรากฏบนเว็บไซต์ของ Cl0p ทำให้เชื่อได้ว่าทั้งสองกลุ่มอาจร่วมมือกันหรือแชร์ทรัพยากรในการโจมตีครั้งนี้

    Oracle ได้เผยแพร่ Indicators of Compromise (IoCs) เพื่อให้ลูกค้าตรวจสอบว่าระบบของตนถูกเจาะหรือไม่ และเตือนว่าแม้จะติดตั้งแพตช์แล้ว ก็ยังควรตรวจสอบย้อนหลัง เพราะการโจมตีอาจเกิดขึ้นก่อนหน้านั้นแล้ว

    ข้อมูลสำคัญจากข่าว
    ช่องโหว่ CVE-2025-61882 เป็น Zero-Day ที่ถูกใช้โจมตี Oracle E-Business Suite
    ช่องโหว่นี้มีคะแนนความรุนแรง 9.8/10 และไม่ต้องยืนยันตัวตนในการโจมตี
    แฮกเกอร์สามารถเข้าถึงระบบผ่าน HTTP และยึด Oracle Concurrent Processing ได้
    กลุ่ม Cl0p และ FIN11 ถูกระบุว่าอยู่เบื้องหลังการโจมตี
    เริ่มจากการส่งอีเมลข่มขู่ผู้บริหารองค์กรในสหรัฐฯ
    Oracle ออกแพตช์ฉุกเฉินและเผยแพร่ IoCs ให้ลูกค้าตรวจสอบระบบ
    มีการใช้บัญชีอีเมลที่ถูกแฮกจำนวนมากในการส่งอีเมลข่มขู่
    พบข้อมูลติดต่อที่เคยอยู่บนเว็บไซต์ของ Cl0p ในอีเมลที่ส่งถึงเหยื่อ
    Oracle แนะนำให้ตรวจสอบย้อนหลังแม้จะติดตั้งแพตช์แล้ว

    ข้อมูลเสริมจากภายนอก
    Cl0p เคยใช้ช่องโหว่ Zero-Day ในการโจมตี MOVEit และ Fortra มาก่อน
    FIN11 เป็นกลุ่มแฮกเกอร์ที่มีแรงจูงใจทางการเงินและมีประวัติการใช้แรนซัมแวร์
    ช่องโหว่ใน Oracle EBS เคยถูกใช้โจมตีในปี 2022 โดยกลุ่มไม่ทราบชื่อ
    การโจมตีแบบ Zero-Day มักเกิดก่อนที่ผู้ผลิตจะรู้และออกแพตช์
    การใช้ XSLT ร่วมกับ JavaScript และ ScriptEngine เป็นเทคนิคที่ใช้ใน exploit ล่าสุด

    https://www.techradar.com/pro/security/oracle-forced-to-rush-out-patch-for-zero-day-exploited-in-attacks
    🛡️ “Oracle รีบออกแพตช์อุดช่องโหว่ Zero-Day หลังถูกโจมตีจริง — แฮกเกอร์ใช้ช่องโหว่ RCE ยึดระบบองค์กร” Oracle ต้องออกแพตช์ฉุกเฉินในต้นเดือนตุลาคม 2025 เพื่ออุดช่องโหว่ร้ายแรงในระบบ E-Business Suite หลังพบว่าถูกโจมตีจริงโดยกลุ่มแรนซัมแวร์ชื่อดังอย่าง Cl0p และ FIN11 ซึ่งใช้ช่องโหว่แบบ Zero-Day ที่ยังไม่มีใครรู้มาก่อนในการเจาะระบบขององค์กรต่าง ๆ ในสหรัฐฯ ช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-61882 โดยมีคะแนนความรุนแรงสูงถึง 9.8/10 และสามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการยืนยันตัวตนใด ๆ แฮกเกอร์สามารถเข้าถึงระบบผ่าน HTTP และยึดการควบคุม Oracle Concurrent Processing ได้ทันที การโจมตีเริ่มต้นจากการส่งอีเมลข่มขู่ไปยังผู้บริหารองค์กร โดยอ้างว่าขโมยข้อมูลสำคัญจากระบบ Oracle EBS ไปแล้ว ซึ่งตอนแรกยังไม่แน่ชัดว่าเป็นเรื่องจริงหรือไม่ แต่เมื่อ Oracle ออกแพตช์ฉุกเฉินและยืนยันว่ามีการโจมตีเกิดขึ้นจริง ก็ทำให้สถานการณ์ชัดเจนขึ้น กลุ่มแฮกเกอร์ใช้บัญชีอีเมลที่ถูกแฮกจำนวนมากในการส่งอีเมลข่มขู่ และมีหลักฐานเชื่อมโยงกับบัญชีที่เคยใช้โดย FIN11 รวมถึงมีการพบข้อมูลติดต่อที่เคยปรากฏบนเว็บไซต์ของ Cl0p ทำให้เชื่อได้ว่าทั้งสองกลุ่มอาจร่วมมือกันหรือแชร์ทรัพยากรในการโจมตีครั้งนี้ Oracle ได้เผยแพร่ Indicators of Compromise (IoCs) เพื่อให้ลูกค้าตรวจสอบว่าระบบของตนถูกเจาะหรือไม่ และเตือนว่าแม้จะติดตั้งแพตช์แล้ว ก็ยังควรตรวจสอบย้อนหลัง เพราะการโจมตีอาจเกิดขึ้นก่อนหน้านั้นแล้ว ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-61882 เป็น Zero-Day ที่ถูกใช้โจมตี Oracle E-Business Suite ➡️ ช่องโหว่นี้มีคะแนนความรุนแรง 9.8/10 และไม่ต้องยืนยันตัวตนในการโจมตี ➡️ แฮกเกอร์สามารถเข้าถึงระบบผ่าน HTTP และยึด Oracle Concurrent Processing ได้ ➡️ กลุ่ม Cl0p และ FIN11 ถูกระบุว่าอยู่เบื้องหลังการโจมตี ➡️ เริ่มจากการส่งอีเมลข่มขู่ผู้บริหารองค์กรในสหรัฐฯ ➡️ Oracle ออกแพตช์ฉุกเฉินและเผยแพร่ IoCs ให้ลูกค้าตรวจสอบระบบ ➡️ มีการใช้บัญชีอีเมลที่ถูกแฮกจำนวนมากในการส่งอีเมลข่มขู่ ➡️ พบข้อมูลติดต่อที่เคยอยู่บนเว็บไซต์ของ Cl0p ในอีเมลที่ส่งถึงเหยื่อ ➡️ Oracle แนะนำให้ตรวจสอบย้อนหลังแม้จะติดตั้งแพตช์แล้ว ✅ ข้อมูลเสริมจากภายนอก ➡️ Cl0p เคยใช้ช่องโหว่ Zero-Day ในการโจมตี MOVEit และ Fortra มาก่อน ➡️ FIN11 เป็นกลุ่มแฮกเกอร์ที่มีแรงจูงใจทางการเงินและมีประวัติการใช้แรนซัมแวร์ ➡️ ช่องโหว่ใน Oracle EBS เคยถูกใช้โจมตีในปี 2022 โดยกลุ่มไม่ทราบชื่อ ➡️ การโจมตีแบบ Zero-Day มักเกิดก่อนที่ผู้ผลิตจะรู้และออกแพตช์ ➡️ การใช้ XSLT ร่วมกับ JavaScript และ ScriptEngine เป็นเทคนิคที่ใช้ใน exploit ล่าสุด https://www.techradar.com/pro/security/oracle-forced-to-rush-out-patch-for-zero-day-exploited-in-attacks
    WWW.TECHRADAR.COM
    Oracle forced to rush out patch for zero-day exploited in attacks
    Zero-day in Oracle E-Business Suite is being exploited in the wild
    0 Comments 0 Shares 45 Views 0 Reviews
  • “FinalSpark เปิดห้องแล็บในสวิตเซอร์แลนด์ พัฒนาคอมพิวเตอร์จากสมองมนุษย์จิ๋ว — เมื่อชีววิทยากลายเป็นฮาร์ดแวร์แห่งอนาคต”

    BBC ได้เปิดเผยรายงานพิเศษจากห้องแล็บของ FinalSpark บริษัทสตาร์ทอัพในสวิตเซอร์แลนด์ที่กำลังพัฒนา “biocomputer” หรือคอมพิวเตอร์ที่ใช้สมองมนุษย์ขนาดจิ๋วเป็นหน่วยประมวลผล โดยใช้เทคโนโลยีที่เรียกว่า “wetware” ซึ่งต่างจากฮาร์ดแวร์ทั่วไปตรงที่ใช้เซลล์ประสาทจริง ๆ ในการทำงาน

    นักวิจัยของ FinalSpark ได้สร้าง “organoids” หรือสมองจิ๋วจากเซลล์ผิวหนังที่ถูกเปลี่ยนเป็นเซลล์ต้นกำเนิด (stem cells) แล้วนำไปเพาะเลี้ยงให้กลายเป็นกลุ่มเซลล์ประสาทที่มีโครงสร้างคล้ายสมองมนุษย์ โดยวางไว้บนแผงอิเล็กโทรดที่สามารถส่งสัญญาณไฟฟ้าเข้าไป และตรวจจับการตอบสนองของเซลล์ได้แบบ EEG

    แม้จะยังอยู่ในช่วงเริ่มต้น แต่ระบบนี้สามารถตอบสนองต่อคำสั่งง่าย ๆ เช่นการกดปุ่มบนคีย์บอร์ด แล้วดูการตอบสนองของสมองจิ๋วผ่านกราฟไฟฟ้า ซึ่งบางครั้งมีการตอบสนองแบบ “ระเบิดพลัง” ก่อนที่เซลล์จะตายลงในเวลาไม่กี่วินาที

    นักวิจัยยืนยันว่า organoids เหล่านี้ไม่ใช่สมองที่มีจิตสำนึก แต่เป็นเพียงโครงสร้างเซลล์ที่ใช้ในการทดลอง โดยมีอายุการใช้งานประมาณ 4 เดือน และยังไม่สามารถเลียนแบบระบบหล่อเลี้ยงด้วยเลือดแบบสมองจริงได้

    FinalSpark เปิดให้เข้าถึงระบบ bioprocessor แบบออนไลน์ตลอด 24 ชั่วโมง โดยคิดค่าบริการเริ่มต้นที่ $500 ต่อเดือน เพื่อให้นักวิจัยทั่วโลกสามารถทดลองและพัฒนาเทคโนโลยี biocomputing ได้จากระยะไกล

    ข้อมูลสำคัญจากข่าว
    FinalSpark พัฒนาคอมพิวเตอร์จากสมองมนุษย์จิ๋วในห้องแล็บสวิตเซอร์แลนด์
    ใช้ organoids ที่สร้างจากเซลล์ผิวหนังเปลี่ยนเป็น stem cells แล้วเพาะเลี้ยงเป็นเซลล์ประสาท
    วาง organoids บนแผงอิเล็กโทรดเพื่อส่งสัญญาณและตรวจจับการตอบสนอง
    ระบบสามารถตอบสนองต่อคำสั่งง่าย ๆ เช่นการกดปุ่มบนคีย์บอร์ด
    อายุการใช้งานของ organoids อยู่ที่ประมาณ 4 เดือน
    FinalSpark เปิดให้เข้าถึง bioprocessor แบบออนไลน์ในราคาเริ่มต้น $500/เดือน
    นักวิจัยสามารถทดลองผ่านระบบระยะไกลได้ตลอด 24 ชั่วโมง
    นักวิทยาศาสตร์ยืนยันว่า organoids ไม่มีจิตสำนึกหรือความรู้สึก

    ข้อมูลเสริมจากภายนอก
    Biocomputing เป็นแนวคิดที่ใช้ระบบชีวภาพแทนชิปซิลิคอนในการประมวลผล
    สมองมนุษย์ใช้พลังงานเพียง 20 วัตต์ในการควบคุมเซลล์ประสาทกว่า 86 พันล้านเซลล์
    Bioprocessor ของ FinalSpark ใช้พลังงานน้อยกว่าคอมพิวเตอร์ทั่วไปถึงล้านเท่า
    นักวิจัยจาก Johns Hopkins และ Imperial College ก็พัฒนา organoids เพื่อศึกษาการเรียนรู้
    ระบบ wetware อาจช่วยลดการใช้พลังงานของอุตสาหกรรม AI ที่กำลังเติบโตอย่างรวดเร็ว

    https://www.tomshardware.com/pc-components/cpus/swiss-lab-where-researchers-are-working-to-create-computers-powered-by-mini-human-brains-revealed-in-new-report-mini-brain-organoids-revealed-developers-say-we-shouldnt-be-scared-of-them
    🧠 “FinalSpark เปิดห้องแล็บในสวิตเซอร์แลนด์ พัฒนาคอมพิวเตอร์จากสมองมนุษย์จิ๋ว — เมื่อชีววิทยากลายเป็นฮาร์ดแวร์แห่งอนาคต” BBC ได้เปิดเผยรายงานพิเศษจากห้องแล็บของ FinalSpark บริษัทสตาร์ทอัพในสวิตเซอร์แลนด์ที่กำลังพัฒนา “biocomputer” หรือคอมพิวเตอร์ที่ใช้สมองมนุษย์ขนาดจิ๋วเป็นหน่วยประมวลผล โดยใช้เทคโนโลยีที่เรียกว่า “wetware” ซึ่งต่างจากฮาร์ดแวร์ทั่วไปตรงที่ใช้เซลล์ประสาทจริง ๆ ในการทำงาน นักวิจัยของ FinalSpark ได้สร้าง “organoids” หรือสมองจิ๋วจากเซลล์ผิวหนังที่ถูกเปลี่ยนเป็นเซลล์ต้นกำเนิด (stem cells) แล้วนำไปเพาะเลี้ยงให้กลายเป็นกลุ่มเซลล์ประสาทที่มีโครงสร้างคล้ายสมองมนุษย์ โดยวางไว้บนแผงอิเล็กโทรดที่สามารถส่งสัญญาณไฟฟ้าเข้าไป และตรวจจับการตอบสนองของเซลล์ได้แบบ EEG แม้จะยังอยู่ในช่วงเริ่มต้น แต่ระบบนี้สามารถตอบสนองต่อคำสั่งง่าย ๆ เช่นการกดปุ่มบนคีย์บอร์ด แล้วดูการตอบสนองของสมองจิ๋วผ่านกราฟไฟฟ้า ซึ่งบางครั้งมีการตอบสนองแบบ “ระเบิดพลัง” ก่อนที่เซลล์จะตายลงในเวลาไม่กี่วินาที นักวิจัยยืนยันว่า organoids เหล่านี้ไม่ใช่สมองที่มีจิตสำนึก แต่เป็นเพียงโครงสร้างเซลล์ที่ใช้ในการทดลอง โดยมีอายุการใช้งานประมาณ 4 เดือน และยังไม่สามารถเลียนแบบระบบหล่อเลี้ยงด้วยเลือดแบบสมองจริงได้ FinalSpark เปิดให้เข้าถึงระบบ bioprocessor แบบออนไลน์ตลอด 24 ชั่วโมง โดยคิดค่าบริการเริ่มต้นที่ $500 ต่อเดือน เพื่อให้นักวิจัยทั่วโลกสามารถทดลองและพัฒนาเทคโนโลยี biocomputing ได้จากระยะไกล ✅ ข้อมูลสำคัญจากข่าว ➡️ FinalSpark พัฒนาคอมพิวเตอร์จากสมองมนุษย์จิ๋วในห้องแล็บสวิตเซอร์แลนด์ ➡️ ใช้ organoids ที่สร้างจากเซลล์ผิวหนังเปลี่ยนเป็น stem cells แล้วเพาะเลี้ยงเป็นเซลล์ประสาท ➡️ วาง organoids บนแผงอิเล็กโทรดเพื่อส่งสัญญาณและตรวจจับการตอบสนอง ➡️ ระบบสามารถตอบสนองต่อคำสั่งง่าย ๆ เช่นการกดปุ่มบนคีย์บอร์ด ➡️ อายุการใช้งานของ organoids อยู่ที่ประมาณ 4 เดือน ➡️ FinalSpark เปิดให้เข้าถึง bioprocessor แบบออนไลน์ในราคาเริ่มต้น $500/เดือน ➡️ นักวิจัยสามารถทดลองผ่านระบบระยะไกลได้ตลอด 24 ชั่วโมง ➡️ นักวิทยาศาสตร์ยืนยันว่า organoids ไม่มีจิตสำนึกหรือความรู้สึก ✅ ข้อมูลเสริมจากภายนอก ➡️ Biocomputing เป็นแนวคิดที่ใช้ระบบชีวภาพแทนชิปซิลิคอนในการประมวลผล ➡️ สมองมนุษย์ใช้พลังงานเพียง 20 วัตต์ในการควบคุมเซลล์ประสาทกว่า 86 พันล้านเซลล์ ➡️ Bioprocessor ของ FinalSpark ใช้พลังงานน้อยกว่าคอมพิวเตอร์ทั่วไปถึงล้านเท่า ➡️ นักวิจัยจาก Johns Hopkins และ Imperial College ก็พัฒนา organoids เพื่อศึกษาการเรียนรู้ ➡️ ระบบ wetware อาจช่วยลดการใช้พลังงานของอุตสาหกรรม AI ที่กำลังเติบโตอย่างรวดเร็ว https://www.tomshardware.com/pc-components/cpus/swiss-lab-where-researchers-are-working-to-create-computers-powered-by-mini-human-brains-revealed-in-new-report-mini-brain-organoids-revealed-developers-say-we-shouldnt-be-scared-of-them
    0 Comments 0 Shares 51 Views 0 Reviews
  • “ไฟไหม้ศูนย์ข้อมูล NIRS ทำลายระบบคลาวด์ G-Drive ของรัฐบาลเกาหลีใต้ — ข้อมูลข้าราชการกว่า 750,000 คนสูญหายถาวร”

    เมื่อวันที่ 27 กันยายน 2025 เกิดเหตุไฟไหม้ครั้งใหญ่ที่ศูนย์ข้อมูลของ National Information Resources Service (NIRS) ณ เมืองแทจอน ประเทศเกาหลีใต้ ซึ่งส่งผลให้ระบบคลาวด์ G-Drive ที่ใช้เก็บเอกสารงานของข้าราชการกว่า 750,000 คนถูกทำลายทั้งหมด โดยไม่มีการสำรองข้อมูลภายนอก ทำให้ข้อมูลสูญหายอย่างถาวร

    G-Drive เป็นระบบที่รัฐบาลเกาหลีใต้ใช้มาตั้งแต่ปี 2018 เพื่อให้ข้าราชการจัดเก็บเอกสารงานในคลาวด์แทนการเก็บไว้ในเครื่องคอมพิวเตอร์ส่วนตัว โดยให้พื้นที่เก็บข้อมูลประมาณ 30GB ต่อคน และมีการบังคับใช้ในหลายหน่วยงาน โดยเฉพาะกระทรวงบริหารบุคคลที่ได้รับผลกระทบหนักที่สุดจากเหตุการณ์นี้

    ไฟไหม้ครั้งนี้ทำลายระบบสำคัญถึง 96 ระบบ รวมถึง G-Drive ซึ่งมีโครงสร้างแบบ “ความจุสูงแต่ประสิทธิภาพต่ำ” ทำให้ไม่สามารถสำรองข้อมูลภายนอกได้ และแม้จะมีการสำรองข้อมูลภายในศูนย์ข้อมูลเดียวกัน แต่ก็ถูกไฟเผาเสียหายทั้งหมด

    ขณะนี้หน่วยงานต่าง ๆ กำลังพยายามกู้คืนข้อมูลจากแหล่งอื่น เช่น ไฟล์ที่เก็บไว้ในเครื่องส่วนตัว อีเมล เอกสารทางราชการ และระบบ Onnara ซึ่งใช้เก็บเอกสารที่ผ่านการอนุมัติอย่างเป็นทางการ โดยหวังว่าจะสามารถกู้คืนข้อมูลบางส่วนได้เมื่อระบบ Onnara กลับมาใช้งานได้

    เหตุการณ์นี้สร้างความเสียหายอย่างหนักต่อการดำเนินงานของภาครัฐ และจุดกระแสวิพากษ์วิจารณ์เรื่องการจัดการข้อมูลของรัฐบาลอย่างรุนแรง โดยเฉพาะการออกแบบระบบที่ไม่มีการสำรองข้อมูลภายนอกสำหรับระบบสำคัญเช่น G-Drive

    ข้อมูลสำคัญจากข่าว
    เกิดไฟไหม้ที่ศูนย์ข้อมูล NIRS เมืองแทจอน เมื่อวันที่ 27 กันยายน 2025
    ระบบ G-Drive ถูกทำลายทั้งหมด ไม่มีการสำรองข้อมูลภายนอก
    ข้อมูลของข้าราชการกว่า 750,000 คนสูญหายถาวร
    G-Drive ให้พื้นที่เก็บข้อมูล 30GB ต่อคน และใช้แทนการเก็บในเครื่องส่วนตัว
    กระทรวงบริหารบุคคลได้รับผลกระทบหนักที่สุด
    ระบบสำคัญ 96 ระบบถูกทำลายจากเหตุไฟไหม้
    ข้อมูลบางส่วนอาจกู้คืนได้จากระบบ Onnara และไฟล์ในเครื่องส่วนตัว
    ระบบ G-Drive มีโครงสร้างแบบความจุสูงแต่ประสิทธิภาพต่ำ ทำให้ไม่สามารถสำรองข้อมูลภายนอกได้

    ข้อมูลเสริมจากภายนอก
    G-Drive ถูกออกแบบมาเพื่อให้ข้าราชการทำงานจากระยะไกลและแชร์เอกสารได้สะดวก
    ข้อมูลใน G-Drive มีขนาดรวมกว่า 858TB เทียบเท่ากระดาษ A4 กว่า 274.6 พันล้านแผ่น
    เหตุไฟไหม้เกิดจากแบตเตอรี่ลิเธียมระเบิดระหว่างการเปลี่ยนในห้องเซิร์ฟเวอร์
    รัฐบาลเกาหลีใต้ตั้งศูนย์บัญชาการฟื้นฟูระบบที่เมืองแทกูเพื่อย้ายระบบที่เสียหาย
    มีการฟื้นฟูระบบออนไลน์แล้ว 15.6% และตั้งบริการทดแทนสำหรับระบบที่ยังไม่ฟื้น

    https://koreajoongangdaily.joins.com/news/2025-10-01/national/socialAffairs/NIRS-fire-destroys-governments-cloud-storage-system-no-backups-available/2412936
    🔥 “ไฟไหม้ศูนย์ข้อมูล NIRS ทำลายระบบคลาวด์ G-Drive ของรัฐบาลเกาหลีใต้ — ข้อมูลข้าราชการกว่า 750,000 คนสูญหายถาวร” เมื่อวันที่ 27 กันยายน 2025 เกิดเหตุไฟไหม้ครั้งใหญ่ที่ศูนย์ข้อมูลของ National Information Resources Service (NIRS) ณ เมืองแทจอน ประเทศเกาหลีใต้ ซึ่งส่งผลให้ระบบคลาวด์ G-Drive ที่ใช้เก็บเอกสารงานของข้าราชการกว่า 750,000 คนถูกทำลายทั้งหมด โดยไม่มีการสำรองข้อมูลภายนอก ทำให้ข้อมูลสูญหายอย่างถาวร G-Drive เป็นระบบที่รัฐบาลเกาหลีใต้ใช้มาตั้งแต่ปี 2018 เพื่อให้ข้าราชการจัดเก็บเอกสารงานในคลาวด์แทนการเก็บไว้ในเครื่องคอมพิวเตอร์ส่วนตัว โดยให้พื้นที่เก็บข้อมูลประมาณ 30GB ต่อคน และมีการบังคับใช้ในหลายหน่วยงาน โดยเฉพาะกระทรวงบริหารบุคคลที่ได้รับผลกระทบหนักที่สุดจากเหตุการณ์นี้ ไฟไหม้ครั้งนี้ทำลายระบบสำคัญถึง 96 ระบบ รวมถึง G-Drive ซึ่งมีโครงสร้างแบบ “ความจุสูงแต่ประสิทธิภาพต่ำ” ทำให้ไม่สามารถสำรองข้อมูลภายนอกได้ และแม้จะมีการสำรองข้อมูลภายในศูนย์ข้อมูลเดียวกัน แต่ก็ถูกไฟเผาเสียหายทั้งหมด ขณะนี้หน่วยงานต่าง ๆ กำลังพยายามกู้คืนข้อมูลจากแหล่งอื่น เช่น ไฟล์ที่เก็บไว้ในเครื่องส่วนตัว อีเมล เอกสารทางราชการ และระบบ Onnara ซึ่งใช้เก็บเอกสารที่ผ่านการอนุมัติอย่างเป็นทางการ โดยหวังว่าจะสามารถกู้คืนข้อมูลบางส่วนได้เมื่อระบบ Onnara กลับมาใช้งานได้ เหตุการณ์นี้สร้างความเสียหายอย่างหนักต่อการดำเนินงานของภาครัฐ และจุดกระแสวิพากษ์วิจารณ์เรื่องการจัดการข้อมูลของรัฐบาลอย่างรุนแรง โดยเฉพาะการออกแบบระบบที่ไม่มีการสำรองข้อมูลภายนอกสำหรับระบบสำคัญเช่น G-Drive ✅ ข้อมูลสำคัญจากข่าว ➡️ เกิดไฟไหม้ที่ศูนย์ข้อมูล NIRS เมืองแทจอน เมื่อวันที่ 27 กันยายน 2025 ➡️ ระบบ G-Drive ถูกทำลายทั้งหมด ไม่มีการสำรองข้อมูลภายนอก ➡️ ข้อมูลของข้าราชการกว่า 750,000 คนสูญหายถาวร ➡️ G-Drive ให้พื้นที่เก็บข้อมูล 30GB ต่อคน และใช้แทนการเก็บในเครื่องส่วนตัว ➡️ กระทรวงบริหารบุคคลได้รับผลกระทบหนักที่สุด ➡️ ระบบสำคัญ 96 ระบบถูกทำลายจากเหตุไฟไหม้ ➡️ ข้อมูลบางส่วนอาจกู้คืนได้จากระบบ Onnara และไฟล์ในเครื่องส่วนตัว ➡️ ระบบ G-Drive มีโครงสร้างแบบความจุสูงแต่ประสิทธิภาพต่ำ ทำให้ไม่สามารถสำรองข้อมูลภายนอกได้ ✅ ข้อมูลเสริมจากภายนอก ➡️ G-Drive ถูกออกแบบมาเพื่อให้ข้าราชการทำงานจากระยะไกลและแชร์เอกสารได้สะดวก ➡️ ข้อมูลใน G-Drive มีขนาดรวมกว่า 858TB เทียบเท่ากระดาษ A4 กว่า 274.6 พันล้านแผ่น ➡️ เหตุไฟไหม้เกิดจากแบตเตอรี่ลิเธียมระเบิดระหว่างการเปลี่ยนในห้องเซิร์ฟเวอร์ ➡️ รัฐบาลเกาหลีใต้ตั้งศูนย์บัญชาการฟื้นฟูระบบที่เมืองแทกูเพื่อย้ายระบบที่เสียหาย ➡️ มีการฟื้นฟูระบบออนไลน์แล้ว 15.6% และตั้งบริการทดแทนสำหรับระบบที่ยังไม่ฟื้น https://koreajoongangdaily.joins.com/news/2025-10-01/national/socialAffairs/NIRS-fire-destroys-governments-cloud-storage-system-no-backups-available/2412936
    KOREAJOONGANGDAILY.JOINS.COM
    NIRS fire destroys government's cloud storage system, no backups available
    A fire at the National Information Resources Service (NIRS) Daejeon headquarters destroyed the government’s G-Drive cloud storage system, erasing work files saved individually by some 750,000 civil servants.
    0 Comments 0 Shares 94 Views 0 Reviews
  • “QNAP อุดช่องโหว่ร้ายแรงใน NetBak Replicator และ Qsync Central — เสี่ยงรันโค้ดจากระยะไกลและ SQL Injection”

    QNAP ผู้ผลิตระบบ NAS ที่ได้รับความนิยมในองค์กรและผู้ใช้ทั่วไป ได้ออกประกาศด้านความปลอดภัยล่าสุดเมื่อเดือนตุลาคม 2025 โดยระบุว่ามีช่องโหว่ร้ายแรงหลายรายการในซอฟต์แวร์สองตัว ได้แก่ NetBak Replicator และ Qsync Central ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกล หรือโจมตีระบบผ่านช่องโหว่ SQL Injection ได้

    ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2025-57714 ใน NetBak Replicator ซึ่งมีคะแนน CVSS สูงถึง 8.5 โดยเกิดจากการกำหนด path ที่ไม่ปลอดภัยใน Windows ทำให้ผู้โจมตีสามารถแทรกไฟล์ .exe อันตรายไว้ในตำแหน่งที่ระบบจะเรียกใช้โดยอัตโนมัติเมื่อเปิดโปรแกรม ส่งผลให้สามารถรันโค้ดโดยไม่ต้องมีสิทธิ์ระดับสูง

    ในส่วนของ Qsync Central ซึ่งเป็นเครื่องมือซิงก์ไฟล์ข้าม NAS หลายเครื่อง พบช่องโหว่รวม 5 รายการ ได้แก่:
    การจัดสรรทรัพยากรโดยไม่มีการควบคุม (CVE-2025-44012)
    NULL pointer dereference ที่อาจทำให้ระบบล่ม (CVE-2025-47210)
    การใช้ทรัพยากรเกินขอบเขต (CVE-2025-52867)
    ช่องโหว่ SQL Injection สองรายการ (CVE-2025-53595 และ CVE-2025-54153) ซึ่งมีคะแนน CVSS สูงถึง 8.6 และสามารถใช้รันโค้ดหรือขโมยข้อมูลได้ หากระบบเปิดให้เข้าถึงจากอินเทอร์เน็ต

    QNAP ได้ออกแพตช์แก้ไขแล้วใน NetBak Replicator เวอร์ชัน 4.5.15.0807 และ Qsync Central เวอร์ชัน 5.0.0.2 โดยแนะนำให้ผู้ใช้เข้าสู่ระบบ QTS หรือ QuTS hero แล้วอัปเดตผ่าน App Center ทันที พร้อมคำแนะนำเพิ่มเติมให้จำกัดสิทธิ์บัญชีผู้ใช้ และหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก

    ข้อมูลสำคัญจากข่าว
    ช่องโหว่ CVE-2025-57714 ใน NetBak Replicator มีคะแนน CVSS 8.5
    เกิดจาก path ที่ไม่ปลอดภัยใน Windows ทำให้สามารถรันไฟล์อันตรายได้
    ช่องโหว่ถูกแก้ไขในเวอร์ชัน 4.5.15.0807
    Qsync Central มีช่องโหว่รวม 5 รายการที่กระทบต่อความเสถียรและความปลอดภัย
    ช่องโหว่ SQL Injection ใน Qsync Central มีคะแนน CVSS สูงถึง 8.6
    ช่องโหว่ทั้งหมดถูกแก้ไขในเวอร์ชัน 5.0.0.2
    QNAP แนะนำให้อัปเดตผ่าน App Center และตรวจสอบสิทธิ์บัญชีผู้ใช้
    คำแนะนำเพิ่มเติมคือหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก

    ข้อมูลเสริมจากภายนอก
    NetBak Replicator เป็นเครื่องมือสำรองข้อมูลจาก Windows ไปยัง NAS
    Qsync Central ใช้สำหรับซิงก์ไฟล์ข้ามอุปกรณ์ NAS หลายตัว
    ช่องโหว่ SQL Injection เป็นหนึ่งในวิธีโจมตีที่ใช้กันมากที่สุดในระบบฐานข้อมูล
    การจัดการ path ใน Windows ต้องระวังการใช้เครื่องหมายคำพูดเพื่อป้องกันการ hijack
    CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่จาก 0–10

    https://securityonline.info/qnap-fixes-high-severity-flaws-netbak-replicator-rce-and-sql-injection-in-qsync-central/
    🛠️ “QNAP อุดช่องโหว่ร้ายแรงใน NetBak Replicator และ Qsync Central — เสี่ยงรันโค้ดจากระยะไกลและ SQL Injection” QNAP ผู้ผลิตระบบ NAS ที่ได้รับความนิยมในองค์กรและผู้ใช้ทั่วไป ได้ออกประกาศด้านความปลอดภัยล่าสุดเมื่อเดือนตุลาคม 2025 โดยระบุว่ามีช่องโหว่ร้ายแรงหลายรายการในซอฟต์แวร์สองตัว ได้แก่ NetBak Replicator และ Qsync Central ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกล หรือโจมตีระบบผ่านช่องโหว่ SQL Injection ได้ ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2025-57714 ใน NetBak Replicator ซึ่งมีคะแนน CVSS สูงถึง 8.5 โดยเกิดจากการกำหนด path ที่ไม่ปลอดภัยใน Windows ทำให้ผู้โจมตีสามารถแทรกไฟล์ .exe อันตรายไว้ในตำแหน่งที่ระบบจะเรียกใช้โดยอัตโนมัติเมื่อเปิดโปรแกรม ส่งผลให้สามารถรันโค้ดโดยไม่ต้องมีสิทธิ์ระดับสูง ในส่วนของ Qsync Central ซึ่งเป็นเครื่องมือซิงก์ไฟล์ข้าม NAS หลายเครื่อง พบช่องโหว่รวม 5 รายการ ได้แก่: 🐛 การจัดสรรทรัพยากรโดยไม่มีการควบคุม (CVE-2025-44012) 🐛 NULL pointer dereference ที่อาจทำให้ระบบล่ม (CVE-2025-47210) 🐛 การใช้ทรัพยากรเกินขอบเขต (CVE-2025-52867) 🐛 ช่องโหว่ SQL Injection สองรายการ (CVE-2025-53595 และ CVE-2025-54153) ซึ่งมีคะแนน CVSS สูงถึง 8.6 และสามารถใช้รันโค้ดหรือขโมยข้อมูลได้ หากระบบเปิดให้เข้าถึงจากอินเทอร์เน็ต QNAP ได้ออกแพตช์แก้ไขแล้วใน NetBak Replicator เวอร์ชัน 4.5.15.0807 และ Qsync Central เวอร์ชัน 5.0.0.2 โดยแนะนำให้ผู้ใช้เข้าสู่ระบบ QTS หรือ QuTS hero แล้วอัปเดตผ่าน App Center ทันที พร้อมคำแนะนำเพิ่มเติมให้จำกัดสิทธิ์บัญชีผู้ใช้ และหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-57714 ใน NetBak Replicator มีคะแนน CVSS 8.5 ➡️ เกิดจาก path ที่ไม่ปลอดภัยใน Windows ทำให้สามารถรันไฟล์อันตรายได้ ➡️ ช่องโหว่ถูกแก้ไขในเวอร์ชัน 4.5.15.0807 ➡️ Qsync Central มีช่องโหว่รวม 5 รายการที่กระทบต่อความเสถียรและความปลอดภัย ➡️ ช่องโหว่ SQL Injection ใน Qsync Central มีคะแนน CVSS สูงถึง 8.6 ➡️ ช่องโหว่ทั้งหมดถูกแก้ไขในเวอร์ชัน 5.0.0.2 ➡️ QNAP แนะนำให้อัปเดตผ่าน App Center และตรวจสอบสิทธิ์บัญชีผู้ใช้ ➡️ คำแนะนำเพิ่มเติมคือหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก ✅ ข้อมูลเสริมจากภายนอก ➡️ NetBak Replicator เป็นเครื่องมือสำรองข้อมูลจาก Windows ไปยัง NAS ➡️ Qsync Central ใช้สำหรับซิงก์ไฟล์ข้ามอุปกรณ์ NAS หลายตัว ➡️ ช่องโหว่ SQL Injection เป็นหนึ่งในวิธีโจมตีที่ใช้กันมากที่สุดในระบบฐานข้อมูล ➡️ การจัดการ path ใน Windows ต้องระวังการใช้เครื่องหมายคำพูดเพื่อป้องกันการ hijack ➡️ CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่จาก 0–10 https://securityonline.info/qnap-fixes-high-severity-flaws-netbak-replicator-rce-and-sql-injection-in-qsync-central/
    SECURITYONLINE.INFO
    QNAP Fixes High-Severity Flaws: NetBak Replicator RCE and SQL Injection in Qsync Central
    QNAP patches NetBak Replicator and Qsync Central. Flaws include a DLL hijacking risk and critical SQL Injection that allows remote attackers to execute code.
    0 Comments 0 Shares 85 Views 0 Reviews
  • “Redis เจอช่องโหว่ร้ายแรง CVE-2025-49844 — แฮกเกอร์สามารถรันโค้ดจากระยะไกลผ่าน Lua Script ได้ทันที”

    Redis ฐานข้อมูลแบบ in-memory ที่นิยมใช้ทั่วโลกในงาน real-time analytics, caching และ message brokering กำลังเผชิญกับช่องโหว่ร้ายแรงระดับ CVSS 10.0 ที่ถูกระบุว่า CVE-2025-49844 โดยช่องโหว่นี้เกิดจากการจัดการหน่วยความจำผิดพลาดใน Lua scripting engine ซึ่งเป็นฟีเจอร์ที่นักพัฒนานิยมใช้เพื่อเพิ่มความสามารถให้ Redis

    ช่องโหว่นี้เปิดทางให้ผู้โจมตีที่มีสิทธิ์เข้าถึง Redis สามารถใช้ Lua script ที่ออกแบบมาเฉพาะ เพื่อควบคุม garbage collector และทำให้เกิด “use-after-free” ซึ่งหมายถึงการเรียกใช้หน่วยความจำที่ถูกปล่อยไปแล้ว ส่งผลให้สามารถรันโค้ดอันตรายภายใน Redis server ได้ทันที — อาจนำไปสู่การเข้าถึงข้อมูลทั้งหมดในระบบ และขยายการโจมตีไปยังเซิร์ฟเวอร์อื่นที่เชื่อมต่ออยู่

    นอกจาก CVE-2025-49844 ยังมีช่องโหว่อื่นที่เกี่ยวข้องกับ Lua scripting ได้แก่ CVE-2025-46817 (integer overflow), CVE-2025-46818 (privilege escalation ระหว่างผู้ใช้), และ CVE-2025-46819 (out-of-bounds read) ซึ่งทั้งหมดสามารถนำไปสู่การรันโค้ดหรือทำให้ Redis crash ได้

    Redis ได้ออกแพตช์แก้ไขในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2 พร้อมคำแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที หรือใช้วิธีชั่วคราวโดยการบล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน Access Control Lists (ACLs)

    ข้อมูลสำคัญจากข่าว
    CVE-2025-49844 เป็นช่องโหว่ use-after-free ใน Lua scripting engine ของ Redis
    ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้ หากมีสิทธิ์เข้าถึง Redis
    ช่องโหว่นี้มีระดับความรุนแรง CVSS 10.0 ซึ่งถือว่าสูงสุด
    Redis ได้ออกแพตช์ในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2
    ช่องโหว่อื่นที่เกี่ยวข้อง ได้แก่ CVE-2025-46817, CVE-2025-46818, CVE-2025-46819
    แนะนำให้บล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน ACLs
    ช่องโหว่ทั้งหมดเกิดจากการจัดการหน่วยความจำและสิทธิ์ใน Lua scripting
    Redis Cloud ได้รับการอัปเดตแล้วโดยไม่ต้องดำเนินการเพิ่มเติมจากผู้ใช้

    ข้อมูลเสริมจากภายนอก
    Lua scripting เป็นฟีเจอร์ที่ช่วยให้ Redis ทำงานแบบ custom logic ได้
    use-after-free เป็นเทคนิคที่นิยมใช้ในการโจมตีหน่วยความจำเพื่อรันโค้ด
    Redis ถูกใช้ในระบบขนาดใหญ่ เช่น ธนาคาร, e-commerce และระบบ IoT
    ACLs เป็นเครื่องมือที่ช่วยจำกัดสิทธิ์การใช้งานคำสั่งใน Redis
    CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่

    https://securityonline.info/critical-flaw-cve-2025-49844-cvss-10-0-allows-remote-code-execution-in-redis/
    🔥 “Redis เจอช่องโหว่ร้ายแรง CVE-2025-49844 — แฮกเกอร์สามารถรันโค้ดจากระยะไกลผ่าน Lua Script ได้ทันที” Redis ฐานข้อมูลแบบ in-memory ที่นิยมใช้ทั่วโลกในงาน real-time analytics, caching และ message brokering กำลังเผชิญกับช่องโหว่ร้ายแรงระดับ CVSS 10.0 ที่ถูกระบุว่า CVE-2025-49844 โดยช่องโหว่นี้เกิดจากการจัดการหน่วยความจำผิดพลาดใน Lua scripting engine ซึ่งเป็นฟีเจอร์ที่นักพัฒนานิยมใช้เพื่อเพิ่มความสามารถให้ Redis ช่องโหว่นี้เปิดทางให้ผู้โจมตีที่มีสิทธิ์เข้าถึง Redis สามารถใช้ Lua script ที่ออกแบบมาเฉพาะ เพื่อควบคุม garbage collector และทำให้เกิด “use-after-free” ซึ่งหมายถึงการเรียกใช้หน่วยความจำที่ถูกปล่อยไปแล้ว ส่งผลให้สามารถรันโค้ดอันตรายภายใน Redis server ได้ทันที — อาจนำไปสู่การเข้าถึงข้อมูลทั้งหมดในระบบ และขยายการโจมตีไปยังเซิร์ฟเวอร์อื่นที่เชื่อมต่ออยู่ นอกจาก CVE-2025-49844 ยังมีช่องโหว่อื่นที่เกี่ยวข้องกับ Lua scripting ได้แก่ CVE-2025-46817 (integer overflow), CVE-2025-46818 (privilege escalation ระหว่างผู้ใช้), และ CVE-2025-46819 (out-of-bounds read) ซึ่งทั้งหมดสามารถนำไปสู่การรันโค้ดหรือทำให้ Redis crash ได้ Redis ได้ออกแพตช์แก้ไขในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2 พร้อมคำแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที หรือใช้วิธีชั่วคราวโดยการบล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน Access Control Lists (ACLs) ✅ ข้อมูลสำคัญจากข่าว ➡️ CVE-2025-49844 เป็นช่องโหว่ use-after-free ใน Lua scripting engine ของ Redis ➡️ ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้ หากมีสิทธิ์เข้าถึง Redis ➡️ ช่องโหว่นี้มีระดับความรุนแรง CVSS 10.0 ซึ่งถือว่าสูงสุด ➡️ Redis ได้ออกแพตช์ในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2 ➡️ ช่องโหว่อื่นที่เกี่ยวข้อง ได้แก่ CVE-2025-46817, CVE-2025-46818, CVE-2025-46819 ➡️ แนะนำให้บล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน ACLs ➡️ ช่องโหว่ทั้งหมดเกิดจากการจัดการหน่วยความจำและสิทธิ์ใน Lua scripting ➡️ Redis Cloud ได้รับการอัปเดตแล้วโดยไม่ต้องดำเนินการเพิ่มเติมจากผู้ใช้ ✅ ข้อมูลเสริมจากภายนอก ➡️ Lua scripting เป็นฟีเจอร์ที่ช่วยให้ Redis ทำงานแบบ custom logic ได้ ➡️ use-after-free เป็นเทคนิคที่นิยมใช้ในการโจมตีหน่วยความจำเพื่อรันโค้ด ➡️ Redis ถูกใช้ในระบบขนาดใหญ่ เช่น ธนาคาร, e-commerce และระบบ IoT ➡️ ACLs เป็นเครื่องมือที่ช่วยจำกัดสิทธิ์การใช้งานคำสั่งใน Redis ➡️ CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่ https://securityonline.info/critical-flaw-cve-2025-49844-cvss-10-0-allows-remote-code-execution-in-redis/
    SECURITYONLINE.INFO
    Critical Flaw CVE-2025-49844 (CVSS 10.0) Allows Remote Code Execution in Redis
    Redis patched a Critical (CVSS 10.0) RCE flaw (CVE-2025-49844) in Lua scripting. An authenticated attacker can exploit a Use-After-Free bug to gain code execution.
    0 Comments 0 Shares 95 Views 0 Reviews
  • “CVE-2025-27237 — ช่องโหว่ Zabbix Agent บน Windows เปิดทางให้ผู้ใช้สิทธิ์ต่ำยกระดับสิทธิ์ผ่าน DLL Injection”

    Zabbix ซึ่งเป็นระบบมอนิเตอร์ที่นิยมใช้ในองค์กรทั่วโลก กำลังเผชิญกับช่องโหว่ใหม่ที่ถูกระบุว่า CVE-2025-27237 โดยช่องโหว่นี้เกิดขึ้นใน Zabbix Agent และ Agent 2 บนระบบปฏิบัติการ Windows ซึ่งเปิดช่องให้ผู้ใช้ที่มีสิทธิ์ต่ำสามารถยกระดับสิทธิ์ได้ผ่านการโจมตีแบบ DLL Injection โดยอาศัยการแก้ไขไฟล์คอนฟิกของ OpenSSL

    ปัญหาหลักอยู่ที่ตำแหน่งของไฟล์คอนฟิก OpenSSL ซึ่งถูกโหลดจากไดเรกทอรีที่ผู้ใช้สิทธิ์ต่ำสามารถเขียนได้ หากผู้โจมตีสามารถเข้าถึงเครื่องในระดับ local ได้ ก็สามารถแก้ไขไฟล์คอนฟิกให้เรียกใช้ DLL ที่เป็นอันตราย เมื่อ Zabbix Agent หรือระบบรีสตาร์ต DLL นั้นจะถูกโหลดและรันโดยอัตโนมัติ ส่งผลให้เกิดการยกระดับสิทธิ์หรือสร้างความคงอยู่ในระบบ

    แม้ช่องโหว่นี้จะไม่สามารถโจมตีจากระยะไกลได้ แต่ถือเป็นโอกาสสำคัญสำหรับการโจมตีหลังจากระบบถูกบุกรุกแล้ว (post-exploitation) โดยเฉพาะในองค์กรที่ใช้ Zabbix Agent บน Windows อย่างแพร่หลาย

    Zabbix ได้ออกแพตช์แก้ไขในทุกเวอร์ชันที่ได้รับผลกระทบ โดยมีการปรับปรุงสิทธิ์ของไฟล์คอนฟิกให้ไม่สามารถเขียนได้โดยผู้ใช้ทั่วไป พร้อมแนะนำให้ผู้ดูแลระบบอัปเดตทันที และตรวจสอบสิทธิ์ของไฟล์ในระบบที่ใช้งานอยู่

    ข้อมูลสำคัญจากข่าว
    ช่องโหว่ CVE-2025-27237 เกิดใน Zabbix Agent และ Agent 2 บน Windows
    ผู้ใช้สิทธิ์ต่ำสามารถแก้ไขไฟล์คอนฟิก OpenSSL เพื่อเรียก DLL อันตราย
    DLL จะถูกโหลดเมื่อ Zabbix Agent หรือระบบรีสตาร์ต ทำให้เกิด privilege escalation
    ช่องโหว่นี้ไม่สามารถโจมตีจากระยะไกลได้ แต่ใช้ได้ใน post-exploitation
    Zabbix ได้ออกแพตช์ในเวอร์ชัน 6.0.41, 7.0.18, 7.2.12 และ 7.4.2
    แพตช์มีการปรับสิทธิ์ไฟล์คอนฟิกให้ปลอดภัยจากการเขียนโดยผู้ใช้ทั่วไป
    แนะนำให้ผู้ดูแลระบบอัปเดตทันทีและตรวจสอบสิทธิ์ไฟล์ในระบบ

    ข้อมูลเสริมจากภายนอก
    DLL Injection เป็นเทคนิคที่นิยมใช้ในการโจมตีเพื่อยกระดับสิทธิ์หรือฝังมัลแวร์
    OpenSSL เป็นไลบรารีที่ใช้ในการเข้ารหัสข้อมูล ซึ่งมีความสำคัญต่อความปลอดภัย
    ช่องโหว่แบบ local privilege escalation มักถูกใช้ร่วมกับช่องโหว่อื่นในการโจมตีแบบหลายขั้นตอน
    การตั้งค่าความปลอดภัยของไฟล์คอนฟิกเป็นแนวทางพื้นฐานในการป้องกันการโจมตี
    Zabbix เป็นระบบมอนิเตอร์ที่ใช้ในองค์กรขนาดใหญ่ เช่น ธนาคาร โรงงาน และศูนย์ข้อมูล

    https://securityonline.info/cve-2025-27237-zabbix-agent-flaw-allows-local-privilege-escalation-via-openssl-dll-injection/
    🛡️ “CVE-2025-27237 — ช่องโหว่ Zabbix Agent บน Windows เปิดทางให้ผู้ใช้สิทธิ์ต่ำยกระดับสิทธิ์ผ่าน DLL Injection” Zabbix ซึ่งเป็นระบบมอนิเตอร์ที่นิยมใช้ในองค์กรทั่วโลก กำลังเผชิญกับช่องโหว่ใหม่ที่ถูกระบุว่า CVE-2025-27237 โดยช่องโหว่นี้เกิดขึ้นใน Zabbix Agent และ Agent 2 บนระบบปฏิบัติการ Windows ซึ่งเปิดช่องให้ผู้ใช้ที่มีสิทธิ์ต่ำสามารถยกระดับสิทธิ์ได้ผ่านการโจมตีแบบ DLL Injection โดยอาศัยการแก้ไขไฟล์คอนฟิกของ OpenSSL ปัญหาหลักอยู่ที่ตำแหน่งของไฟล์คอนฟิก OpenSSL ซึ่งถูกโหลดจากไดเรกทอรีที่ผู้ใช้สิทธิ์ต่ำสามารถเขียนได้ หากผู้โจมตีสามารถเข้าถึงเครื่องในระดับ local ได้ ก็สามารถแก้ไขไฟล์คอนฟิกให้เรียกใช้ DLL ที่เป็นอันตราย เมื่อ Zabbix Agent หรือระบบรีสตาร์ต DLL นั้นจะถูกโหลดและรันโดยอัตโนมัติ ส่งผลให้เกิดการยกระดับสิทธิ์หรือสร้างความคงอยู่ในระบบ แม้ช่องโหว่นี้จะไม่สามารถโจมตีจากระยะไกลได้ แต่ถือเป็นโอกาสสำคัญสำหรับการโจมตีหลังจากระบบถูกบุกรุกแล้ว (post-exploitation) โดยเฉพาะในองค์กรที่ใช้ Zabbix Agent บน Windows อย่างแพร่หลาย Zabbix ได้ออกแพตช์แก้ไขในทุกเวอร์ชันที่ได้รับผลกระทบ โดยมีการปรับปรุงสิทธิ์ของไฟล์คอนฟิกให้ไม่สามารถเขียนได้โดยผู้ใช้ทั่วไป พร้อมแนะนำให้ผู้ดูแลระบบอัปเดตทันที และตรวจสอบสิทธิ์ของไฟล์ในระบบที่ใช้งานอยู่ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-27237 เกิดใน Zabbix Agent และ Agent 2 บน Windows ➡️ ผู้ใช้สิทธิ์ต่ำสามารถแก้ไขไฟล์คอนฟิก OpenSSL เพื่อเรียก DLL อันตราย ➡️ DLL จะถูกโหลดเมื่อ Zabbix Agent หรือระบบรีสตาร์ต ทำให้เกิด privilege escalation ➡️ ช่องโหว่นี้ไม่สามารถโจมตีจากระยะไกลได้ แต่ใช้ได้ใน post-exploitation ➡️ Zabbix ได้ออกแพตช์ในเวอร์ชัน 6.0.41, 7.0.18, 7.2.12 และ 7.4.2 ➡️ แพตช์มีการปรับสิทธิ์ไฟล์คอนฟิกให้ปลอดภัยจากการเขียนโดยผู้ใช้ทั่วไป ➡️ แนะนำให้ผู้ดูแลระบบอัปเดตทันทีและตรวจสอบสิทธิ์ไฟล์ในระบบ ✅ ข้อมูลเสริมจากภายนอก ➡️ DLL Injection เป็นเทคนิคที่นิยมใช้ในการโจมตีเพื่อยกระดับสิทธิ์หรือฝังมัลแวร์ ➡️ OpenSSL เป็นไลบรารีที่ใช้ในการเข้ารหัสข้อมูล ซึ่งมีความสำคัญต่อความปลอดภัย ➡️ ช่องโหว่แบบ local privilege escalation มักถูกใช้ร่วมกับช่องโหว่อื่นในการโจมตีแบบหลายขั้นตอน ➡️ การตั้งค่าความปลอดภัยของไฟล์คอนฟิกเป็นแนวทางพื้นฐานในการป้องกันการโจมตี ➡️ Zabbix เป็นระบบมอนิเตอร์ที่ใช้ในองค์กรขนาดใหญ่ เช่น ธนาคาร โรงงาน และศูนย์ข้อมูล https://securityonline.info/cve-2025-27237-zabbix-agent-flaw-allows-local-privilege-escalation-via-openssl-dll-injection/
    SECURITYONLINE.INFO
    CVE-2025-27237: Zabbix Agent Flaw Allows Local Privilege Escalation via OpenSSL DLL Injection
    A newly disclosed vulnerability in the Zabbix Agent and Agent 2 for Windows could allow local attackers to
    0 Comments 0 Shares 77 Views 0 Reviews
  • ประธานาธิบดี วลาดิมีร์ ปูติน แห่งรัสเซียออกมาเตือนว่า หากสหรัฐฯ จัดหาขีปนาวุธโทมาฮอว์กให้ยูเครนใช้โจมตีเป้าหมายระยะไกลในรัสเซียจะส่งผลให้ความสัมพันธ์ระหว่างมอสโกกับวอชิงตัน "ถูกทำลาย" ลง
    .
    อ่านเพิ่มเติม..https://sondhitalk.com/detail/9680000095281

    #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire
    ประธานาธิบดี วลาดิมีร์ ปูติน แห่งรัสเซียออกมาเตือนว่า หากสหรัฐฯ จัดหาขีปนาวุธโทมาฮอว์กให้ยูเครนใช้โจมตีเป้าหมายระยะไกลในรัสเซียจะส่งผลให้ความสัมพันธ์ระหว่างมอสโกกับวอชิงตัน "ถูกทำลาย" ลง . อ่านเพิ่มเติม..https://sondhitalk.com/detail/9680000095281 #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire
    Like
    1
    0 Comments 0 Shares 192 Views 0 Reviews
  • “ระบบอุตสาหกรรมกว่า 200,000 จุดเสี่ยงถูกแฮก — รายงานชี้ความประมาทและความสะดวกกลายเป็นภัยไซเบอร์ระดับชาติ”

    หลังจากหลายปีที่มีความพยายามลดความเสี่ยงด้านไซเบอร์ในระบบควบคุมอุตสาหกรรม (ICS/OT) รายงานล่าสุดจาก Bitsight กลับพบว่าแนวโน้มการเปิดเผยระบบต่ออินเทอร์เน็ตกลับมาเพิ่มขึ้นอีกครั้ง โดยในปี 2024 จำนวนอุปกรณ์ที่เข้าถึงได้จากสาธารณะเพิ่มขึ้นจาก 160,000 เป็น 180,000 จุด หรือเพิ่มขึ้น 12% และคาดว่าจะทะลุ 200,000 จุดภายในสิ้นปี 2025

    ระบบเหล่านี้รวมถึงอุปกรณ์ควบคุมโรงงานน้ำ, ระบบอัตโนมัติในอาคาร, และเครื่องวัดระดับถังน้ำมันที่ไม่มีระบบยืนยันตัวตน ซึ่งหลายตัวมีช่องโหว่ระดับ CVSS 10.0 ที่สามารถถูกโจมตีได้ง่าย โดยมัลแวร์ใหม่อย่าง FrostyGoop และ Fuxnet ถูกออกแบบมาเพื่อเจาะระบบ ICS โดยเฉพาะ

    Pedro Umbelino นักวิจัยจาก Bitsight เตือนว่า “นี่ไม่ใช่แค่ความผิดพลาด — แต่มันคือความเสี่ยงเชิงระบบที่ไม่อาจให้อภัยได้” เพราะการเปิดระบบเหล่านี้ต่ออินเทอร์เน็ตมักเกิดจากความสะดวก เช่น การติดตั้งเร็ว, การเข้าถึงจากระยะไกล, หรือการเชื่อมต่อทุกอย่างไว้ในระบบเดียว โดยไม่ได้คำนึงถึงความปลอดภัย

    AI ก็มีบทบาททั้งด้านดีและร้าย — ฝั่งผู้ป้องกันใช้ machine learning เพื่อสแกนและตรวจจับความผิดปกติในระบบ แต่ฝั่งผู้โจมตีก็ใช้ LLM เพื่อสร้างมัลแวร์และหาช่องโหว่ได้เร็วขึ้น โดยไม่ต้องใช้ทรัพยากรสูง เช่น GPU farm อีกต่อไป

    รายงานแนะนำให้ผู้ดูแลระบบ ICS/OT ดำเนินการทันที เช่น ปิดการเข้าถึงจากสาธารณะ, กำหนดค่าเริ่มต้นของผู้ขายให้ปลอดภัยขึ้น, และร่วมมือกับผู้ให้บริการอินเทอร์เน็ตในการตรวจสอบอย่างต่อเนื่อง เพราะระบบเหล่านี้ไม่ได้แค่ควบคุมเครื่องจักร — แต่ควบคุม “ความไว้วางใจ” ของสังคม

    ข้อมูลสำคัญจากข่าว
    จำนวนระบบ ICS/OT ที่เปิดเผยต่ออินเทอร์เน็ตเพิ่มขึ้น 12% ในปี 2024
    คาดว่าจะทะลุ 200,000 จุดภายในสิ้นปี 2025 หากไม่มีการแก้ไข
    ระบบที่เสี่ยงรวมถึงอุปกรณ์ควบคุมโรงงานน้ำ, ระบบอัตโนมัติในอาคาร, และเครื่องวัดถังน้ำมัน
    หลายระบบมีช่องโหว่ระดับ CVSS 10.0 ที่สามารถถูกโจมตีได้ง่าย
    มัลแวร์ใหม่ เช่น FrostyGoop และ Fuxnet ถูกออกแบบมาเพื่อเจาะ ICS โดยเฉพาะ
    AI ช่วยทั้งฝั่งป้องกันและโจมตี โดยลดต้นทุนการค้นหาช่องโหว่
    การเปิดเผยระบบมักเกิดจากความสะดวก เช่น การติดตั้งเร็วและการเข้าถึงจากระยะไกล
    รายงานแนะนำให้ปิดการเข้าถึงสาธารณะและปรับค่าความปลอดภัยของผู้ขาย
    ระบบ ICS/OT ควบคุมมากกว่าเครื่องจักร — มันควบคุมความไว้วางใจของสังคม

    ข้อมูลเสริมจากภายนอก
    ICS (Industrial Control Systems) คือระบบที่ใช้ควบคุมกระบวนการในโรงงานและโครงสร้างพื้นฐาน
    OT (Operational Technology) คือเทคโนโลยีที่ใช้ในการควบคุมและตรวจสอบอุปกรณ์ทางกายภาพ
    CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่
    FrostyGoop ใช้โปรโตคอล Modbus TCP เพื่อควบคุมอุปกรณ์ ICS โดยตรง
    ประเทศที่มีอัตราการเปิดเผยสูงสุดต่อจำนวนบริษัทคืออิตาลีและสเปน ส่วนสหรัฐฯ มีจำนวนรวมสูงสุด

    https://www.techradar.com/pro/security/unforgivable-exposure-more-than-200-000-industrial-systems-are-needlessly-exposed-to-the-web-and-hackers-and-theres-no-absolutely-excuse
    🌐 “ระบบอุตสาหกรรมกว่า 200,000 จุดเสี่ยงถูกแฮก — รายงานชี้ความประมาทและความสะดวกกลายเป็นภัยไซเบอร์ระดับชาติ” หลังจากหลายปีที่มีความพยายามลดความเสี่ยงด้านไซเบอร์ในระบบควบคุมอุตสาหกรรม (ICS/OT) รายงานล่าสุดจาก Bitsight กลับพบว่าแนวโน้มการเปิดเผยระบบต่ออินเทอร์เน็ตกลับมาเพิ่มขึ้นอีกครั้ง โดยในปี 2024 จำนวนอุปกรณ์ที่เข้าถึงได้จากสาธารณะเพิ่มขึ้นจาก 160,000 เป็น 180,000 จุด หรือเพิ่มขึ้น 12% และคาดว่าจะทะลุ 200,000 จุดภายในสิ้นปี 2025 ระบบเหล่านี้รวมถึงอุปกรณ์ควบคุมโรงงานน้ำ, ระบบอัตโนมัติในอาคาร, และเครื่องวัดระดับถังน้ำมันที่ไม่มีระบบยืนยันตัวตน ซึ่งหลายตัวมีช่องโหว่ระดับ CVSS 10.0 ที่สามารถถูกโจมตีได้ง่าย โดยมัลแวร์ใหม่อย่าง FrostyGoop และ Fuxnet ถูกออกแบบมาเพื่อเจาะระบบ ICS โดยเฉพาะ Pedro Umbelino นักวิจัยจาก Bitsight เตือนว่า “นี่ไม่ใช่แค่ความผิดพลาด — แต่มันคือความเสี่ยงเชิงระบบที่ไม่อาจให้อภัยได้” เพราะการเปิดระบบเหล่านี้ต่ออินเทอร์เน็ตมักเกิดจากความสะดวก เช่น การติดตั้งเร็ว, การเข้าถึงจากระยะไกล, หรือการเชื่อมต่อทุกอย่างไว้ในระบบเดียว โดยไม่ได้คำนึงถึงความปลอดภัย AI ก็มีบทบาททั้งด้านดีและร้าย — ฝั่งผู้ป้องกันใช้ machine learning เพื่อสแกนและตรวจจับความผิดปกติในระบบ แต่ฝั่งผู้โจมตีก็ใช้ LLM เพื่อสร้างมัลแวร์และหาช่องโหว่ได้เร็วขึ้น โดยไม่ต้องใช้ทรัพยากรสูง เช่น GPU farm อีกต่อไป รายงานแนะนำให้ผู้ดูแลระบบ ICS/OT ดำเนินการทันที เช่น ปิดการเข้าถึงจากสาธารณะ, กำหนดค่าเริ่มต้นของผู้ขายให้ปลอดภัยขึ้น, และร่วมมือกับผู้ให้บริการอินเทอร์เน็ตในการตรวจสอบอย่างต่อเนื่อง เพราะระบบเหล่านี้ไม่ได้แค่ควบคุมเครื่องจักร — แต่ควบคุม “ความไว้วางใจ” ของสังคม ✅ ข้อมูลสำคัญจากข่าว ➡️ จำนวนระบบ ICS/OT ที่เปิดเผยต่ออินเทอร์เน็ตเพิ่มขึ้น 12% ในปี 2024 ➡️ คาดว่าจะทะลุ 200,000 จุดภายในสิ้นปี 2025 หากไม่มีการแก้ไข ➡️ ระบบที่เสี่ยงรวมถึงอุปกรณ์ควบคุมโรงงานน้ำ, ระบบอัตโนมัติในอาคาร, และเครื่องวัดถังน้ำมัน ➡️ หลายระบบมีช่องโหว่ระดับ CVSS 10.0 ที่สามารถถูกโจมตีได้ง่าย ➡️ มัลแวร์ใหม่ เช่น FrostyGoop และ Fuxnet ถูกออกแบบมาเพื่อเจาะ ICS โดยเฉพาะ ➡️ AI ช่วยทั้งฝั่งป้องกันและโจมตี โดยลดต้นทุนการค้นหาช่องโหว่ ➡️ การเปิดเผยระบบมักเกิดจากความสะดวก เช่น การติดตั้งเร็วและการเข้าถึงจากระยะไกล ➡️ รายงานแนะนำให้ปิดการเข้าถึงสาธารณะและปรับค่าความปลอดภัยของผู้ขาย ➡️ ระบบ ICS/OT ควบคุมมากกว่าเครื่องจักร — มันควบคุมความไว้วางใจของสังคม ✅ ข้อมูลเสริมจากภายนอก ➡️ ICS (Industrial Control Systems) คือระบบที่ใช้ควบคุมกระบวนการในโรงงานและโครงสร้างพื้นฐาน ➡️ OT (Operational Technology) คือเทคโนโลยีที่ใช้ในการควบคุมและตรวจสอบอุปกรณ์ทางกายภาพ ➡️ CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่ ➡️ FrostyGoop ใช้โปรโตคอล Modbus TCP เพื่อควบคุมอุปกรณ์ ICS โดยตรง ➡️ ประเทศที่มีอัตราการเปิดเผยสูงสุดต่อจำนวนบริษัทคืออิตาลีและสเปน ส่วนสหรัฐฯ มีจำนวนรวมสูงสุด https://www.techradar.com/pro/security/unforgivable-exposure-more-than-200-000-industrial-systems-are-needlessly-exposed-to-the-web-and-hackers-and-theres-no-absolutely-excuse
    0 Comments 0 Shares 215 Views 0 Reviews
  • “DrayTek เตือนช่องโหว่ร้ายแรงในเราเตอร์ Vigor — เสี่ยงถูกแฮกผ่าน WebUI หากไม่อัปเดตเฟิร์มแวร์”

    DrayTek ผู้ผลิตอุปกรณ์เครือข่ายชื่อดังจากไต้หวัน ได้ออกประกาศเตือนถึงช่องโหว่ความปลอดภัยร้ายแรงในเราเตอร์รุ่น Vigor ซึ่งนิยมใช้ในธุรกิจขนาดเล็กและระดับ prosumer โดยช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-10547 และเกิดจาก “ค่าตัวแปรที่ไม่ได้ถูกกำหนดค่าเริ่มต้น” ในเฟิร์มแวร์ DrayOS ที่ใช้ในอุปกรณ์เหล่านี้

    ช่องโหว่นี้สามารถถูกโจมตีได้ผ่าน WebUI (Web User Interface) โดยผู้ไม่ประสงค์ดีสามารถส่งคำสั่ง HTTP หรือ HTTPS ที่ถูกปรับแต่งมาเฉพาะเพื่อทำให้เกิดการเสียหายของหน่วยความจำ หรือแม้แต่การรันโค้ดจากระยะไกล (Remote Code Execution - RCE) ซึ่งอาจนำไปสู่การควบคุมอุปกรณ์ทั้งหมด

    แม้ DrayTek จะระบุว่าช่องโหว่นี้จะเกิดขึ้นเฉพาะเมื่อเปิดใช้งาน WebUI หรือ SSL VPN จากภายนอก และมีการตั้งค่า ACL ที่ผิดพลาด แต่ก็เตือนว่าผู้โจมตีที่อยู่ในเครือข่ายภายในก็สามารถใช้ช่องโหว่นี้ได้เช่นกัน หาก WebUI ยังเปิดใช้งานอยู่

    นักวิจัย Pierre-Yves Maes จาก ChapsVision ผู้ค้นพบช่องโหว่นี้ อธิบายว่าเป็นการใช้ค่าตัวแปรที่ไม่ได้กำหนดค่าใน stack ซึ่งสามารถนำไปสู่การเรียกใช้ฟังก์ชัน free() บนหน่วยความจำที่ไม่ได้รับอนุญาต — เทคนิคที่เรียกว่า “arbitrary free” ซึ่งสามารถนำไปสู่การรันโค้ดแปลกปลอมได้

    DrayTek ได้ออกแพตช์เพื่อแก้ไขช่องโหว่นี้แล้ว และแนะนำให้ผู้ใช้ทุกคนอัปเดตเฟิร์มแวร์ทันที โดยเฉพาะผู้ที่เปิดใช้งาน WebUI หรือ VPN จากภายนอก ทั้งนี้ยังไม่มีรายงานว่าช่องโหว่นี้ถูกใช้โจมตีจริงในขณะนี้ แต่ด้วยความนิยมของ Vigor ในกลุ่ม SMB และ prosumer ทำให้มีความเสี่ยงสูงหากไม่รีบดำเนินการ

    ข้อมูลสำคัญจากข่าว
    ช่องโหว่ CVE-2025-10547 เกิดจากค่าตัวแปรที่ไม่ได้กำหนดค่าในเฟิร์มแวร์ DrayOS
    ส่งผลให้เกิด memory corruption, system crash และอาจนำไปสู่ remote code execution
    ช่องโหว่ถูกค้นพบโดย Pierre-Yves Maes จาก ChapsVision
    การโจมตีสามารถทำได้ผ่าน WebUI ด้วยคำสั่ง HTTP/HTTPS ที่ปรับแต่ง
    ส่งผลเฉพาะเมื่อเปิด WebUI หรือ SSL VPN จากภายนอก และ ACL ตั้งค่าผิด
    ผู้โจมตีในเครือข่ายภายในก็สามารถใช้ช่องโหว่นี้ได้ หาก WebUI ยังเปิดอยู่
    DrayTek ได้ออกแพตช์แก้ไขแล้ว และแนะนำให้อัปเดตเฟิร์มแวร์ทันที
    Vigor เป็นเราเตอร์ที่นิยมในกลุ่ม SMB และ prosumer ทำให้มีความเสี่ยงสูง
    ยังไม่มีรายงานการโจมตีจริงในขณะนี้ แต่ควรดำเนินการเชิงป้องกัน

    ข้อมูลเสริมจากภายนอก
    Remote Code Execution (RCE) เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะเปิดทางให้ควบคุมอุปกรณ์จากระยะไกล
    ACL (Access Control List) คือระบบควบคุมสิทธิ์การเข้าถึง ซึ่งหากตั้งค่าผิดอาจเปิดช่องให้โจมตีได้
    WebUI เป็นอินเทอร์เฟซที่ใช้จัดการเราเตอร์ผ่านเว็บเบราว์เซอร์
    การโจมตีผ่าน WebUI มักใช้ในแคมเปญ botnet หรือการขโมยข้อมูล
    SMB มักไม่มีระบบตรวจสอบความปลอดภัยที่เข้มงวด ทำให้ตกเป็นเป้าหมายบ่อย

    https://www.techradar.com/pro/security/draytek-warns-vigor-routers-may-have-serious-security-flaws-heres-what-we-know
    🔐 “DrayTek เตือนช่องโหว่ร้ายแรงในเราเตอร์ Vigor — เสี่ยงถูกแฮกผ่าน WebUI หากไม่อัปเดตเฟิร์มแวร์” DrayTek ผู้ผลิตอุปกรณ์เครือข่ายชื่อดังจากไต้หวัน ได้ออกประกาศเตือนถึงช่องโหว่ความปลอดภัยร้ายแรงในเราเตอร์รุ่น Vigor ซึ่งนิยมใช้ในธุรกิจขนาดเล็กและระดับ prosumer โดยช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-10547 และเกิดจาก “ค่าตัวแปรที่ไม่ได้ถูกกำหนดค่าเริ่มต้น” ในเฟิร์มแวร์ DrayOS ที่ใช้ในอุปกรณ์เหล่านี้ ช่องโหว่นี้สามารถถูกโจมตีได้ผ่าน WebUI (Web User Interface) โดยผู้ไม่ประสงค์ดีสามารถส่งคำสั่ง HTTP หรือ HTTPS ที่ถูกปรับแต่งมาเฉพาะเพื่อทำให้เกิดการเสียหายของหน่วยความจำ หรือแม้แต่การรันโค้ดจากระยะไกล (Remote Code Execution - RCE) ซึ่งอาจนำไปสู่การควบคุมอุปกรณ์ทั้งหมด แม้ DrayTek จะระบุว่าช่องโหว่นี้จะเกิดขึ้นเฉพาะเมื่อเปิดใช้งาน WebUI หรือ SSL VPN จากภายนอก และมีการตั้งค่า ACL ที่ผิดพลาด แต่ก็เตือนว่าผู้โจมตีที่อยู่ในเครือข่ายภายในก็สามารถใช้ช่องโหว่นี้ได้เช่นกัน หาก WebUI ยังเปิดใช้งานอยู่ นักวิจัย Pierre-Yves Maes จาก ChapsVision ผู้ค้นพบช่องโหว่นี้ อธิบายว่าเป็นการใช้ค่าตัวแปรที่ไม่ได้กำหนดค่าใน stack ซึ่งสามารถนำไปสู่การเรียกใช้ฟังก์ชัน free() บนหน่วยความจำที่ไม่ได้รับอนุญาต — เทคนิคที่เรียกว่า “arbitrary free” ซึ่งสามารถนำไปสู่การรันโค้ดแปลกปลอมได้ DrayTek ได้ออกแพตช์เพื่อแก้ไขช่องโหว่นี้แล้ว และแนะนำให้ผู้ใช้ทุกคนอัปเดตเฟิร์มแวร์ทันที โดยเฉพาะผู้ที่เปิดใช้งาน WebUI หรือ VPN จากภายนอก ทั้งนี้ยังไม่มีรายงานว่าช่องโหว่นี้ถูกใช้โจมตีจริงในขณะนี้ แต่ด้วยความนิยมของ Vigor ในกลุ่ม SMB และ prosumer ทำให้มีความเสี่ยงสูงหากไม่รีบดำเนินการ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-10547 เกิดจากค่าตัวแปรที่ไม่ได้กำหนดค่าในเฟิร์มแวร์ DrayOS ➡️ ส่งผลให้เกิด memory corruption, system crash และอาจนำไปสู่ remote code execution ➡️ ช่องโหว่ถูกค้นพบโดย Pierre-Yves Maes จาก ChapsVision ➡️ การโจมตีสามารถทำได้ผ่าน WebUI ด้วยคำสั่ง HTTP/HTTPS ที่ปรับแต่ง ➡️ ส่งผลเฉพาะเมื่อเปิด WebUI หรือ SSL VPN จากภายนอก และ ACL ตั้งค่าผิด ➡️ ผู้โจมตีในเครือข่ายภายในก็สามารถใช้ช่องโหว่นี้ได้ หาก WebUI ยังเปิดอยู่ ➡️ DrayTek ได้ออกแพตช์แก้ไขแล้ว และแนะนำให้อัปเดตเฟิร์มแวร์ทันที ➡️ Vigor เป็นเราเตอร์ที่นิยมในกลุ่ม SMB และ prosumer ทำให้มีความเสี่ยงสูง ➡️ ยังไม่มีรายงานการโจมตีจริงในขณะนี้ แต่ควรดำเนินการเชิงป้องกัน ✅ ข้อมูลเสริมจากภายนอก ➡️ Remote Code Execution (RCE) เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะเปิดทางให้ควบคุมอุปกรณ์จากระยะไกล ➡️ ACL (Access Control List) คือระบบควบคุมสิทธิ์การเข้าถึง ซึ่งหากตั้งค่าผิดอาจเปิดช่องให้โจมตีได้ ➡️ WebUI เป็นอินเทอร์เฟซที่ใช้จัดการเราเตอร์ผ่านเว็บเบราว์เซอร์ ➡️ การโจมตีผ่าน WebUI มักใช้ในแคมเปญ botnet หรือการขโมยข้อมูล ➡️ SMB มักไม่มีระบบตรวจสอบความปลอดภัยที่เข้มงวด ทำให้ตกเป็นเป้าหมายบ่อย https://www.techradar.com/pro/security/draytek-warns-vigor-routers-may-have-serious-security-flaws-heres-what-we-know
    0 Comments 0 Shares 166 Views 0 Reviews
  • “Klopatra: มัลแวร์ Android ตัวใหม่ปลอมเป็นแอป VPN/IPTV — ขโมยเงินแม้ตอนหน้าจอดับ พร้อมหลบแอนตี้ไวรัสแบบเหนือชั้น”

    นักวิจัยจาก Cleafy ได้เปิดโปงมัลแวร์ Android ตัวใหม่ชื่อ “Klopatra” ซึ่งถูกสร้างขึ้นโดยกลุ่มแฮกเกอร์ที่พูดภาษาตุรกี และมีความสามารถเหนือกว่ามัลแวร์ทั่วไปอย่างชัดเจน โดย Klopatra ถูกปล่อยผ่านแอปปลอมชื่อ “Modpro IP TV + VPN” ที่ไม่ได้อยู่บน Google Play Store แต่ถูกแจกจ่ายผ่านเว็บไซต์อันตรายโดยตรง

    เมื่อผู้ใช้ติดตั้งแอปนี้ มัลแวร์จะขอสิทธิ์ Accessibility Services ซึ่งเปิดทางให้มันควบคุมเครื่องได้เต็มรูปแบบ เช่น อ่านหน้าจอ, จำลองการแตะ, ขโมยรหัสผ่าน, และแม้แต่ควบคุมอุปกรณ์ขณะหน้าจอดับผ่านโหมด VNC แบบ “หน้าจอดำ” ที่ผู้ใช้ไม่รู้ตัวเลยว่ามีการใช้งานอยู่

    Klopatra ยังมีความสามารถในการตรวจสอบว่าเครื่องกำลังชาร์จหรือหน้าจอดับ เพื่อเลือกช่วงเวลาที่เหมาะสมในการโจมตีโดยไม่ให้ผู้ใช้สงสัย และสามารถจำลองการแตะ, ปัด, กดค้าง เพื่อทำธุรกรรมธนาคารหรือขโมยคริปโตได้แบบเรียลไทม์

    เพื่อหลบเลี่ยงการตรวจจับ มัลแวร์ใช้เทคนิคขั้นสูง เช่น การเข้ารหัสด้วย NP Manager, การใช้ native libraries แทน Java/Kotlin, การฝัง Virbox ซึ่งเป็นระบบป้องกันโค้ดระดับเชิงพาณิชย์ และมีระบบตรวจจับ emulator, anti-debugging, และ integrity check เพื่อป้องกันนักวิจัยไม่ให้วิเคราะห์ได้ง่าย

    จนถึงตอนนี้ Klopatra ถูกพัฒนาไปแล้วกว่า 40 เวอร์ชันตั้งแต่มีการพบครั้งแรกในเดือนมีนาคม 2025 และมีผู้ติดเชื้อแล้วกว่า 3,000 รายในยุโรป โดยเฉพาะในสเปนและอิตาลี ซึ่งเป็นเป้าหมายหลักของแคมเปญนี้

    ข้อมูลสำคัญจากข่าว
    Klopatra เป็นมัลแวร์ Android ที่ปลอมตัวเป็นแอป IPTV และ VPN
    แจกจ่ายผ่านเว็บไซต์อันตราย ไม่ใช่ Google Play Store
    ขอสิทธิ์ Accessibility Services เพื่อควบคุมเครื่องแบบเต็มรูปแบบ
    ใช้โหมด VNC แบบหน้าจอดำเพื่อควบคุมเครื่องขณะผู้ใช้ไม่รู้ตัว
    ตรวจสอบสถานะการชาร์จและหน้าจอเพื่อเลือกเวลาที่เหมาะสมในการโจมตี
    ใช้ Virbox, NP Manager, native libraries และเทคนิค anti-debugging เพื่อหลบเลี่ยงการตรวจจับ
    ถูกพัฒนาไปแล้วกว่า 40 เวอร์ชันตั้งแต่เดือนมีนาคม 2025
    มีผู้ติดเชื้อแล้วกว่า 3,000 รายในยุโรป โดยเฉพาะในสเปนและอิตาลี
    กลุ่มผู้พัฒนาเป็นแฮกเกอร์ที่พูดภาษาตุรกี และมีโครงสร้าง C2 ที่ซับซ้อน

    ข้อมูลเสริมจากภายนอก
    Accessibility Services เป็นช่องทางที่มัลแวร์นิยมใช้เพื่อควบคุมอุปกรณ์ Android
    Virbox เป็นระบบป้องกันโค้ดที่ใช้ในซอฟต์แวร์เชิงพาณิชย์ เช่น เกมหรือแอปที่ต้องการป้องกันการแครก
    VNC (Virtual Network Computing) เป็นระบบควบคุมอุปกรณ์จากระยะไกลที่ใช้ในงาน IT แต่ถูกนำมาใช้ในมัลแวร์
    NP Manager เป็นเครื่องมือที่ใช้เข้ารหัส string เพื่อหลบเลี่ยงการวิเคราะห์โค้ด
    การใช้ native libraries แทน Java/Kotlin ช่วยลดการตรวจจับจากระบบวิเคราะห์มัลแวร์อัตโนมัติ

    https://www.techradar.com/pro/security/this-dangerous-new-android-malware-disguises-itself-as-a-vpn-or-iptv-app-so-be-on-your-guard
    📱💀 “Klopatra: มัลแวร์ Android ตัวใหม่ปลอมเป็นแอป VPN/IPTV — ขโมยเงินแม้ตอนหน้าจอดับ พร้อมหลบแอนตี้ไวรัสแบบเหนือชั้น” นักวิจัยจาก Cleafy ได้เปิดโปงมัลแวร์ Android ตัวใหม่ชื่อ “Klopatra” ซึ่งถูกสร้างขึ้นโดยกลุ่มแฮกเกอร์ที่พูดภาษาตุรกี และมีความสามารถเหนือกว่ามัลแวร์ทั่วไปอย่างชัดเจน โดย Klopatra ถูกปล่อยผ่านแอปปลอมชื่อ “Modpro IP TV + VPN” ที่ไม่ได้อยู่บน Google Play Store แต่ถูกแจกจ่ายผ่านเว็บไซต์อันตรายโดยตรง เมื่อผู้ใช้ติดตั้งแอปนี้ มัลแวร์จะขอสิทธิ์ Accessibility Services ซึ่งเปิดทางให้มันควบคุมเครื่องได้เต็มรูปแบบ เช่น อ่านหน้าจอ, จำลองการแตะ, ขโมยรหัสผ่าน, และแม้แต่ควบคุมอุปกรณ์ขณะหน้าจอดับผ่านโหมด VNC แบบ “หน้าจอดำ” ที่ผู้ใช้ไม่รู้ตัวเลยว่ามีการใช้งานอยู่ Klopatra ยังมีความสามารถในการตรวจสอบว่าเครื่องกำลังชาร์จหรือหน้าจอดับ เพื่อเลือกช่วงเวลาที่เหมาะสมในการโจมตีโดยไม่ให้ผู้ใช้สงสัย และสามารถจำลองการแตะ, ปัด, กดค้าง เพื่อทำธุรกรรมธนาคารหรือขโมยคริปโตได้แบบเรียลไทม์ เพื่อหลบเลี่ยงการตรวจจับ มัลแวร์ใช้เทคนิคขั้นสูง เช่น การเข้ารหัสด้วย NP Manager, การใช้ native libraries แทน Java/Kotlin, การฝัง Virbox ซึ่งเป็นระบบป้องกันโค้ดระดับเชิงพาณิชย์ และมีระบบตรวจจับ emulator, anti-debugging, และ integrity check เพื่อป้องกันนักวิจัยไม่ให้วิเคราะห์ได้ง่าย จนถึงตอนนี้ Klopatra ถูกพัฒนาไปแล้วกว่า 40 เวอร์ชันตั้งแต่มีการพบครั้งแรกในเดือนมีนาคม 2025 และมีผู้ติดเชื้อแล้วกว่า 3,000 รายในยุโรป โดยเฉพาะในสเปนและอิตาลี ซึ่งเป็นเป้าหมายหลักของแคมเปญนี้ ✅ ข้อมูลสำคัญจากข่าว ➡️ Klopatra เป็นมัลแวร์ Android ที่ปลอมตัวเป็นแอป IPTV และ VPN ➡️ แจกจ่ายผ่านเว็บไซต์อันตราย ไม่ใช่ Google Play Store ➡️ ขอสิทธิ์ Accessibility Services เพื่อควบคุมเครื่องแบบเต็มรูปแบบ ➡️ ใช้โหมด VNC แบบหน้าจอดำเพื่อควบคุมเครื่องขณะผู้ใช้ไม่รู้ตัว ➡️ ตรวจสอบสถานะการชาร์จและหน้าจอเพื่อเลือกเวลาที่เหมาะสมในการโจมตี ➡️ ใช้ Virbox, NP Manager, native libraries และเทคนิค anti-debugging เพื่อหลบเลี่ยงการตรวจจับ ➡️ ถูกพัฒนาไปแล้วกว่า 40 เวอร์ชันตั้งแต่เดือนมีนาคม 2025 ➡️ มีผู้ติดเชื้อแล้วกว่า 3,000 รายในยุโรป โดยเฉพาะในสเปนและอิตาลี ➡️ กลุ่มผู้พัฒนาเป็นแฮกเกอร์ที่พูดภาษาตุรกี และมีโครงสร้าง C2 ที่ซับซ้อน ✅ ข้อมูลเสริมจากภายนอก ➡️ Accessibility Services เป็นช่องทางที่มัลแวร์นิยมใช้เพื่อควบคุมอุปกรณ์ Android ➡️ Virbox เป็นระบบป้องกันโค้ดที่ใช้ในซอฟต์แวร์เชิงพาณิชย์ เช่น เกมหรือแอปที่ต้องการป้องกันการแครก ➡️ VNC (Virtual Network Computing) เป็นระบบควบคุมอุปกรณ์จากระยะไกลที่ใช้ในงาน IT แต่ถูกนำมาใช้ในมัลแวร์ ➡️ NP Manager เป็นเครื่องมือที่ใช้เข้ารหัส string เพื่อหลบเลี่ยงการวิเคราะห์โค้ด ➡️ การใช้ native libraries แทน Java/Kotlin ช่วยลดการตรวจจับจากระบบวิเคราะห์มัลแวร์อัตโนมัติ https://www.techradar.com/pro/security/this-dangerous-new-android-malware-disguises-itself-as-a-vpn-or-iptv-app-so-be-on-your-guard
    0 Comments 0 Shares 155 Views 0 Reviews
  • “YoLink Smart Hub ราคาแค่ $20 แต่เปิดช่องให้แฮกเกอร์เข้าบ้านคุณ — ช่องโหว่ 4 จุดที่ยังไม่มีแพตช์”

    ใครจะคิดว่าอุปกรณ์ IoT ราคาประหยัดอย่าง YoLink Smart Hub รุ่น v0382 ที่ขายเพียง $20 จะกลายเป็นประตูหลังให้แฮกเกอร์เข้าถึงบ้านคุณได้โดยตรง ล่าสุดทีมวิจัยจาก Bishop Fox ได้เปิดเผยช่องโหว่ร้ายแรง 4 จุดในอุปกรณ์นี้ ซึ่งรวมถึงการควบคุมอุปกรณ์จากระยะไกล, การขโมยข้อมูล Wi-Fi, และการรักษาสิทธิ์เข้าถึงแบบไม่หมดอายุ

    YoLink Hub ทำหน้าที่เป็นศูนย์กลางควบคุมอุปกรณ์สมาร์ทในบ้าน เช่น ล็อกประตู เซ็นเซอร์ และปลั๊กไฟ โดยใช้ชิป ESP32 และสื่อสารผ่านโปรโตคอล MQTT ร่วมกับเทคโนโลยี LoRaWAN ซึ่งแม้จะดูทันสมัย แต่กลับมีช่องโหว่ที่เปิดให้ผู้โจมตีสามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้ หากรู้ device ID ซึ่งสามารถคาดเดาได้ง่าย

    ช่องโหว่แรกคือการ “ข้ามการตรวจสอบสิทธิ์” (CVE-2025-59449 และ CVE-2025-59452) ที่ทำให้แฮกเกอร์สามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่ที่สองคือการส่งข้อมูลสำคัญ เช่น รหัส Wi-Fi แบบไม่เข้ารหัส (CVE-2025-59448) ผ่าน MQTT ทำให้ข้อมูลถูกดักจับได้ง่าย และช่องโหว่สุดท้ายคือการจัดการ session ที่ผิดพลาด (CVE-2025-59451) ซึ่งทำให้แฮกเกอร์สามารถรักษาการเข้าถึงอุปกรณ์ได้อย่างต่อเนื่อง

    ที่น่ากังวลคือ YoSmart ผู้ผลิตยังไม่ได้ออกแพตช์หรือคำแนะนำใด ๆ แม้จะได้รับรายงานช่องโหว่ล่วงหน้ากว่า 90 วัน ทำให้ผู้ใช้ต้องรับมือเอง โดย Bishop Fox แนะนำให้ถอดอุปกรณ์ออกจากระบบเครือข่ายบ้านทันที และหลีกเลี่ยงการใช้กับอุปกรณ์ที่ควบคุมการเข้าถึงทางกายภาพ เช่น ล็อกประตูหรือประตูโรงรถ

    ข้อมูลสำคัญจากข่าว
    YoLink Smart Hub รุ่น v0382 มีช่องโหว่ร้ายแรง 4 จุดที่ยังไม่มีแพตช์
    ใช้ชิป ESP32 และสื่อสารผ่าน MQTT และ LoRaWAN
    ช่องโหว่ CVE-2025-59449 และ CVE-2025-59452: ข้ามการตรวจสอบสิทธิ์
    ช่องโหว่ CVE-2025-59448: ส่งข้อมูลสำคัญแบบไม่เข้ารหัส
    ช่องโหว่ CVE-2025-59451: การจัดการ session ที่ผิดพลาด
    นักวิจัยสามารถควบคุมล็อกประตูของผู้ใช้คนอื่นได้จริง
    Device ID สามารถคาดเดาได้ง่าย ทำให้การโจมตีเป็นไปได้จริง
    YoSmart ยังไม่ตอบสนองต่อรายงานช่องโหว่ภายในกรอบเวลา 90 วัน
    Bishop Fox แนะนำให้หยุดใช้งานอุปกรณ์ทันที

    ข้อมูลเสริมจากภายนอก
    ESP32 เป็นชิปยอดนิยมในอุปกรณ์ IoT แต่ต้องมีการเสริมความปลอดภัย
    MQTT เป็นโปรโตคอล lightweight ที่นิยมใช้ใน IoT แต่ต้องเข้ารหัสเพื่อความปลอดภัย
    LoRaWAN เหมาะกับการสื่อสารระยะไกล แต่มีข้อจำกัดด้านความปลอดภัย
    CVE (Common Vulnerabilities and Exposures) เป็นระบบจัดการช่องโหว่ที่ใช้ทั่วโลก
    การจัดการ session ที่ดีต้องมีการหมดอายุและตรวจสอบสิทธิ์ซ้ำ

    https://hackread.com/20-yolink-iot-gateway-vulnerabilities-home-security/
    🔓 “YoLink Smart Hub ราคาแค่ $20 แต่เปิดช่องให้แฮกเกอร์เข้าบ้านคุณ — ช่องโหว่ 4 จุดที่ยังไม่มีแพตช์” ใครจะคิดว่าอุปกรณ์ IoT ราคาประหยัดอย่าง YoLink Smart Hub รุ่น v0382 ที่ขายเพียง $20 จะกลายเป็นประตูหลังให้แฮกเกอร์เข้าถึงบ้านคุณได้โดยตรง ล่าสุดทีมวิจัยจาก Bishop Fox ได้เปิดเผยช่องโหว่ร้ายแรง 4 จุดในอุปกรณ์นี้ ซึ่งรวมถึงการควบคุมอุปกรณ์จากระยะไกล, การขโมยข้อมูล Wi-Fi, และการรักษาสิทธิ์เข้าถึงแบบไม่หมดอายุ YoLink Hub ทำหน้าที่เป็นศูนย์กลางควบคุมอุปกรณ์สมาร์ทในบ้าน เช่น ล็อกประตู เซ็นเซอร์ และปลั๊กไฟ โดยใช้ชิป ESP32 และสื่อสารผ่านโปรโตคอล MQTT ร่วมกับเทคโนโลยี LoRaWAN ซึ่งแม้จะดูทันสมัย แต่กลับมีช่องโหว่ที่เปิดให้ผู้โจมตีสามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้ หากรู้ device ID ซึ่งสามารถคาดเดาได้ง่าย ช่องโหว่แรกคือการ “ข้ามการตรวจสอบสิทธิ์” (CVE-2025-59449 และ CVE-2025-59452) ที่ทำให้แฮกเกอร์สามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่ที่สองคือการส่งข้อมูลสำคัญ เช่น รหัส Wi-Fi แบบไม่เข้ารหัส (CVE-2025-59448) ผ่าน MQTT ทำให้ข้อมูลถูกดักจับได้ง่าย และช่องโหว่สุดท้ายคือการจัดการ session ที่ผิดพลาด (CVE-2025-59451) ซึ่งทำให้แฮกเกอร์สามารถรักษาการเข้าถึงอุปกรณ์ได้อย่างต่อเนื่อง ที่น่ากังวลคือ YoSmart ผู้ผลิตยังไม่ได้ออกแพตช์หรือคำแนะนำใด ๆ แม้จะได้รับรายงานช่องโหว่ล่วงหน้ากว่า 90 วัน ทำให้ผู้ใช้ต้องรับมือเอง โดย Bishop Fox แนะนำให้ถอดอุปกรณ์ออกจากระบบเครือข่ายบ้านทันที และหลีกเลี่ยงการใช้กับอุปกรณ์ที่ควบคุมการเข้าถึงทางกายภาพ เช่น ล็อกประตูหรือประตูโรงรถ ✅ ข้อมูลสำคัญจากข่าว ➡️ YoLink Smart Hub รุ่น v0382 มีช่องโหว่ร้ายแรง 4 จุดที่ยังไม่มีแพตช์ ➡️ ใช้ชิป ESP32 และสื่อสารผ่าน MQTT และ LoRaWAN ➡️ ช่องโหว่ CVE-2025-59449 และ CVE-2025-59452: ข้ามการตรวจสอบสิทธิ์ ➡️ ช่องโหว่ CVE-2025-59448: ส่งข้อมูลสำคัญแบบไม่เข้ารหัส ➡️ ช่องโหว่ CVE-2025-59451: การจัดการ session ที่ผิดพลาด ➡️ นักวิจัยสามารถควบคุมล็อกประตูของผู้ใช้คนอื่นได้จริง ➡️ Device ID สามารถคาดเดาได้ง่าย ทำให้การโจมตีเป็นไปได้จริง ➡️ YoSmart ยังไม่ตอบสนองต่อรายงานช่องโหว่ภายในกรอบเวลา 90 วัน ➡️ Bishop Fox แนะนำให้หยุดใช้งานอุปกรณ์ทันที ✅ ข้อมูลเสริมจากภายนอก ➡️ ESP32 เป็นชิปยอดนิยมในอุปกรณ์ IoT แต่ต้องมีการเสริมความปลอดภัย ➡️ MQTT เป็นโปรโตคอล lightweight ที่นิยมใช้ใน IoT แต่ต้องเข้ารหัสเพื่อความปลอดภัย ➡️ LoRaWAN เหมาะกับการสื่อสารระยะไกล แต่มีข้อจำกัดด้านความปลอดภัย ➡️ CVE (Common Vulnerabilities and Exposures) เป็นระบบจัดการช่องโหว่ที่ใช้ทั่วโลก ➡️ การจัดการ session ที่ดีต้องมีการหมดอายุและตรวจสอบสิทธิ์ซ้ำ https://hackread.com/20-yolink-iot-gateway-vulnerabilities-home-security/
    HACKREAD.COM
    $20 YoLink IoT Gateway Vulnerabilities Put Home Security at Risk
    Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
    0 Comments 0 Shares 130 Views 0 Reviews
  • “มัลแวร์ซ่อนใน ZIP ปลอม — แค่คลิกไฟล์ลัด ก็เปิดทางให้แฮกเกอร์ควบคุมเครื่องคุณ”

    Blackpoint Cyber ได้เปิดเผยแคมเปญฟิชชิ่งรูปแบบใหม่ที่ใช้ไฟล์ ZIP ปลอมเป็นเครื่องมือโจมตี โดยภายในไฟล์ ZIP จะมีไฟล์ลัด (.lnk) ที่ดูเหมือนเอกสารสำคัญ เช่น สแกนพาสปอร์ต, ใบรับรอง, หรือไฟล์การชำระเงิน ซึ่งออกแบบมาเพื่อหลอกผู้บริหารหรือพนักงานระดับสูงให้เปิดใช้งาน

    เมื่อเหยื่อคลิกไฟล์ลัดนั้น จะมีการเรียกใช้ PowerShell เบื้องหลังทันที โดยดาวน์โหลดไฟล์ DLL ที่ถูกปลอมชื่อให้ดูเหมือนไฟล์ PowerPoint จากเว็บไซต์ภายนอก จากนั้นใช้โปรแกรม rundll32.exe ซึ่งเป็นเครื่องมือใน Windows เองในการรันมัลแวร์ — เทคนิคนี้เรียกว่า “Living off the Land” เพราะใช้เครื่องมือที่มีอยู่ในระบบเพื่อหลบเลี่ยงการตรวจจับ

    มัลแวร์ยังมีความสามารถในการตรวจสอบว่ามีโปรแกรมแอนตี้ไวรัสอยู่หรือไม่ เช่น AVG, Avast หรือ Bitdefender โดยดูจาก process ที่กำลังทำงานอยู่ หากพบว่ามี AV ก็จะเลือก payload ที่เหมาะสมเพื่อหลบเลี่ยงการตรวจจับ เช่น BD3V.ppt หากมี AV หรือ NORVM.ppt หากไม่มี

    สุดท้าย มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อให้แฮกเกอร์สามารถควบคุมเครื่องจากระยะไกล, สอดแนมไฟล์, และส่งมัลแวร์เพิ่มเติมได้ในภายหลัง

    ข้อมูลสำคัญจากข่าว
    มัลแวร์ถูกซ่อนไว้ในไฟล์ ZIP ที่ดูเหมือนเอกสารสำคัญ เช่น พาสปอร์ตหรือใบชำระเงิน
    ภายใน ZIP มีไฟล์ลัด (.lnk) ที่เรียกใช้ PowerShell เพื่อดาวน์โหลด DLL ปลอม
    DLL ถูกปลอมชื่อให้ดูเหมือนไฟล์ PowerPoint เพื่อหลอกผู้ใช้
    ใช้ rundll32.exe ซึ่งเป็นโปรแกรมใน Windows เองในการรันมัลแวร์
    เทคนิคนี้เรียกว่า “Living off the Land” เพื่อหลบเลี่ยงการตรวจจับ
    มัลแวร์ตรวจสอบโปรแกรมแอนตี้ไวรัสก่อนเลือก payload ที่เหมาะสม
    หากพบ AV จะใช้ BD3V.ppt หากไม่พบจะใช้ NORVM.ppt
    เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อควบคุมเครื่องและส่ง payload เพิ่มเติม

    ข้อมูลเสริมจากภายนอก
    rundll32.exe เป็นโปรแกรมที่ใช้เรียก DLL ใน Windows โดยปกติใช้ในงานระบบ
    PowerShell เป็นเครื่องมือที่ทรงพลังใน Windows และมักถูกใช้ในมัลแวร์แบบ fileless
    “Living off the Land” คือการใช้เครื่องมือในระบบเพื่อทำงานอันตรายโดยไม่ต้องติดตั้งอะไรเพิ่ม
    .lnk file เป็น shortcut ที่สามารถตั้งค่าให้เรียกคำสั่งหรือโปรแกรมได้ทันที
    การปลอมชื่อไฟล์ให้ดูเหมือนเอกสารทั่วไปเป็นเทคนิค social engineering ที่ใช้กันแพร่หลาย

    https://hackread.com/malicious-zip-files-windows-shortcuts-malware/
    🧨 “มัลแวร์ซ่อนใน ZIP ปลอม — แค่คลิกไฟล์ลัด ก็เปิดทางให้แฮกเกอร์ควบคุมเครื่องคุณ” Blackpoint Cyber ได้เปิดเผยแคมเปญฟิชชิ่งรูปแบบใหม่ที่ใช้ไฟล์ ZIP ปลอมเป็นเครื่องมือโจมตี โดยภายในไฟล์ ZIP จะมีไฟล์ลัด (.lnk) ที่ดูเหมือนเอกสารสำคัญ เช่น สแกนพาสปอร์ต, ใบรับรอง, หรือไฟล์การชำระเงิน ซึ่งออกแบบมาเพื่อหลอกผู้บริหารหรือพนักงานระดับสูงให้เปิดใช้งาน เมื่อเหยื่อคลิกไฟล์ลัดนั้น จะมีการเรียกใช้ PowerShell เบื้องหลังทันที โดยดาวน์โหลดไฟล์ DLL ที่ถูกปลอมชื่อให้ดูเหมือนไฟล์ PowerPoint จากเว็บไซต์ภายนอก จากนั้นใช้โปรแกรม rundll32.exe ซึ่งเป็นเครื่องมือใน Windows เองในการรันมัลแวร์ — เทคนิคนี้เรียกว่า “Living off the Land” เพราะใช้เครื่องมือที่มีอยู่ในระบบเพื่อหลบเลี่ยงการตรวจจับ มัลแวร์ยังมีความสามารถในการตรวจสอบว่ามีโปรแกรมแอนตี้ไวรัสอยู่หรือไม่ เช่น AVG, Avast หรือ Bitdefender โดยดูจาก process ที่กำลังทำงานอยู่ หากพบว่ามี AV ก็จะเลือก payload ที่เหมาะสมเพื่อหลบเลี่ยงการตรวจจับ เช่น BD3V.ppt หากมี AV หรือ NORVM.ppt หากไม่มี สุดท้าย มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อให้แฮกเกอร์สามารถควบคุมเครื่องจากระยะไกล, สอดแนมไฟล์, และส่งมัลแวร์เพิ่มเติมได้ในภายหลัง ✅ ข้อมูลสำคัญจากข่าว ➡️ มัลแวร์ถูกซ่อนไว้ในไฟล์ ZIP ที่ดูเหมือนเอกสารสำคัญ เช่น พาสปอร์ตหรือใบชำระเงิน ➡️ ภายใน ZIP มีไฟล์ลัด (.lnk) ที่เรียกใช้ PowerShell เพื่อดาวน์โหลด DLL ปลอม ➡️ DLL ถูกปลอมชื่อให้ดูเหมือนไฟล์ PowerPoint เพื่อหลอกผู้ใช้ ➡️ ใช้ rundll32.exe ซึ่งเป็นโปรแกรมใน Windows เองในการรันมัลแวร์ ➡️ เทคนิคนี้เรียกว่า “Living off the Land” เพื่อหลบเลี่ยงการตรวจจับ ➡️ มัลแวร์ตรวจสอบโปรแกรมแอนตี้ไวรัสก่อนเลือก payload ที่เหมาะสม ➡️ หากพบ AV จะใช้ BD3V.ppt หากไม่พบจะใช้ NORVM.ppt ➡️ เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อควบคุมเครื่องและส่ง payload เพิ่มเติม ✅ ข้อมูลเสริมจากภายนอก ➡️ rundll32.exe เป็นโปรแกรมที่ใช้เรียก DLL ใน Windows โดยปกติใช้ในงานระบบ ➡️ PowerShell เป็นเครื่องมือที่ทรงพลังใน Windows และมักถูกใช้ในมัลแวร์แบบ fileless ➡️ “Living off the Land” คือการใช้เครื่องมือในระบบเพื่อทำงานอันตรายโดยไม่ต้องติดตั้งอะไรเพิ่ม ➡️ .lnk file เป็น shortcut ที่สามารถตั้งค่าให้เรียกคำสั่งหรือโปรแกรมได้ทันที ➡️ การปลอมชื่อไฟล์ให้ดูเหมือนเอกสารทั่วไปเป็นเทคนิค social engineering ที่ใช้กันแพร่หลาย https://hackread.com/malicious-zip-files-windows-shortcuts-malware/
    HACKREAD.COM
    Malicious ZIP Files Use Windows Shortcuts to Drop Malware
    Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
    0 Comments 0 Shares 123 Views 0 Reviews
  • “TOTOLINK X6000R เจอช่องโหว่ร้ายแรง! แฮกเกอร์เจาะระบบได้ทันทีโดยไม่ต้องล็อกอิน”

    นักวิจัยจาก Unit 42 ของ Palo Alto Networks เปิดเผยช่องโหว่ความปลอดภัยระดับ “วิกฤต” ในเราเตอร์ TOTOLINK X6000R ซึ่งใช้เฟิร์มแวร์เวอร์ชัน V9.4.0cu.1360_B20241207 โดยช่องโหว่นี้เปิดทางให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์จากระยะไกลได้โดยไม่ต้องยืนยันตัวตนเลย

    ช่องโหว่หลัก CVE-2025-52906 เกิดจากฟังก์ชัน setEasyMeshAgentCfg ที่ไม่ตรวจสอบค่าพารามิเตอร์ agentName อย่างเหมาะสม ทำให้แฮกเกอร์สามารถฝังคำสั่งระบบ (command injection) เข้าไปได้โดยตรง และรันด้วยสิทธิ์ root ซึ่งหมายความว่าแฮกเกอร์สามารถ:

    ดักฟังข้อมูลในเครือข่าย
    เจาะไปยังอุปกรณ์อื่นในเครือข่ายเดียวกัน
    ติดตั้งมัลแวร์แบบถาวรในเราเตอร์

    นอกจากนี้ยังมีอีกสองช่องโหว่ที่ถูกค้นพบในเฟิร์มแวร์เดียวกัน ได้แก่:

    CVE-2025-52905: ช่องโหว่ argument injection ที่เกิดจากการกรอง input ไม่สมบูรณ์ โดยไม่กรองเครื่องหมาย “-” ทำให้สามารถโจมตีแบบ DoS ได้
    CVE-2025-52907: ช่องโหว่ security bypass ที่เปิดทางให้เขียนไฟล์ระบบโดยไม่ต้องล็อกอิน เช่น แก้ไขไฟล์ /etc/passwd เพื่อสร้างผู้ใช้ใหม่ หรือเปลี่ยน boot script เพื่อฝังมัลแวร์ถาวร

    TOTOLINK ได้ออกแพตช์แก้ไขแล้วในเฟิร์มแวร์เวอร์ชัน V9.4.0cu.1498_B20250826 และแนะนำให้ผู้ใช้ทุกคนอัปเดตทันทีเพื่อป้องกันการถูกโจมตี

    ข้อมูลสำคัญจากข่าว
    TOTOLINK X6000R พบช่องโหว่ร้ายแรง 3 รายการในเฟิร์มแวร์ V9.4.0cu.1360_B20241207
    CVE-2025-52906 เป็นช่องโหว่ command injection ที่ไม่ต้องล็อกอินและรันคำสั่งด้วยสิทธิ์ root
    ช่องโหว่นี้อยู่ในฟังก์ชัน setEasyMeshAgentCfg ที่ไม่ตรวจสอบ agentName
    CVE-2025-52905 เป็น argument injection ที่เกิดจากการไม่กรองเครื่องหมาย “-”
    CVE-2025-52907 เป็นช่องโหว่ security bypass ที่เปิดทางให้เขียนไฟล์ระบบโดยไม่ต้องล็อกอิน
    TOTOLINK ออกแพตช์แก้ไขในเวอร์ชัน V9.4.0cu.1498_B20250826
    ผู้ใช้ควรอัปเดตเฟิร์มแวร์ทันทีเพื่อป้องกันการถูกโจมตี

    ข้อมูลเสริมจากภายนอก
    Command injection เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะสามารถควบคุมระบบได้เต็มรูปแบบ
    การเขียนไฟล์ระบบ เช่น /etc/passwd เป็นเทคนิคที่ใช้ในการสร้างผู้ใช้ปลอมเพื่อควบคุมอุปกรณ์
    การโจมตีแบบ DoS ผ่าน argument injection สามารถทำให้เราเตอร์ล่มหรือหยุดให้บริการ
    TOTOLINK เป็นแบรนด์ที่มีการใช้งานแพร่หลายทั่วโลก โดยเฉพาะในกลุ่มผู้ใช้ตามบ้านและ SME
    การอัปเดตเฟิร์มแวร์เป็นวิธีป้องกันที่มีประสิทธิภาพที่สุดสำหรับอุปกรณ์ IoT

    https://securityonline.info/critical-flaw-cve-2025-52906-cvss-9-3-allows-unauthenticated-rce-on-totolink-x6000r-routers/
    📡 “TOTOLINK X6000R เจอช่องโหว่ร้ายแรง! แฮกเกอร์เจาะระบบได้ทันทีโดยไม่ต้องล็อกอิน” นักวิจัยจาก Unit 42 ของ Palo Alto Networks เปิดเผยช่องโหว่ความปลอดภัยระดับ “วิกฤต” ในเราเตอร์ TOTOLINK X6000R ซึ่งใช้เฟิร์มแวร์เวอร์ชัน V9.4.0cu.1360_B20241207 โดยช่องโหว่นี้เปิดทางให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์จากระยะไกลได้โดยไม่ต้องยืนยันตัวตนเลย ช่องโหว่หลัก CVE-2025-52906 เกิดจากฟังก์ชัน setEasyMeshAgentCfg ที่ไม่ตรวจสอบค่าพารามิเตอร์ agentName อย่างเหมาะสม ทำให้แฮกเกอร์สามารถฝังคำสั่งระบบ (command injection) เข้าไปได้โดยตรง และรันด้วยสิทธิ์ root ซึ่งหมายความว่าแฮกเกอร์สามารถ: ⚠️ ดักฟังข้อมูลในเครือข่าย ⚠️ เจาะไปยังอุปกรณ์อื่นในเครือข่ายเดียวกัน ⚠️ ติดตั้งมัลแวร์แบบถาวรในเราเตอร์ นอกจากนี้ยังมีอีกสองช่องโหว่ที่ถูกค้นพบในเฟิร์มแวร์เดียวกัน ได้แก่: ⚠️ CVE-2025-52905: ช่องโหว่ argument injection ที่เกิดจากการกรอง input ไม่สมบูรณ์ โดยไม่กรองเครื่องหมาย “-” ทำให้สามารถโจมตีแบบ DoS ได้ ⚠️ CVE-2025-52907: ช่องโหว่ security bypass ที่เปิดทางให้เขียนไฟล์ระบบโดยไม่ต้องล็อกอิน เช่น แก้ไขไฟล์ /etc/passwd เพื่อสร้างผู้ใช้ใหม่ หรือเปลี่ยน boot script เพื่อฝังมัลแวร์ถาวร TOTOLINK ได้ออกแพตช์แก้ไขแล้วในเฟิร์มแวร์เวอร์ชัน V9.4.0cu.1498_B20250826 และแนะนำให้ผู้ใช้ทุกคนอัปเดตทันทีเพื่อป้องกันการถูกโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ TOTOLINK X6000R พบช่องโหว่ร้ายแรง 3 รายการในเฟิร์มแวร์ V9.4.0cu.1360_B20241207 ➡️ CVE-2025-52906 เป็นช่องโหว่ command injection ที่ไม่ต้องล็อกอินและรันคำสั่งด้วยสิทธิ์ root ➡️ ช่องโหว่นี้อยู่ในฟังก์ชัน setEasyMeshAgentCfg ที่ไม่ตรวจสอบ agentName ➡️ CVE-2025-52905 เป็น argument injection ที่เกิดจากการไม่กรองเครื่องหมาย “-” ➡️ CVE-2025-52907 เป็นช่องโหว่ security bypass ที่เปิดทางให้เขียนไฟล์ระบบโดยไม่ต้องล็อกอิน ➡️ TOTOLINK ออกแพตช์แก้ไขในเวอร์ชัน V9.4.0cu.1498_B20250826 ➡️ ผู้ใช้ควรอัปเดตเฟิร์มแวร์ทันทีเพื่อป้องกันการถูกโจมตี ✅ ข้อมูลเสริมจากภายนอก ➡️ Command injection เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะสามารถควบคุมระบบได้เต็มรูปแบบ ➡️ การเขียนไฟล์ระบบ เช่น /etc/passwd เป็นเทคนิคที่ใช้ในการสร้างผู้ใช้ปลอมเพื่อควบคุมอุปกรณ์ ➡️ การโจมตีแบบ DoS ผ่าน argument injection สามารถทำให้เราเตอร์ล่มหรือหยุดให้บริการ ➡️ TOTOLINK เป็นแบรนด์ที่มีการใช้งานแพร่หลายทั่วโลก โดยเฉพาะในกลุ่มผู้ใช้ตามบ้านและ SME ➡️ การอัปเดตเฟิร์มแวร์เป็นวิธีป้องกันที่มีประสิทธิภาพที่สุดสำหรับอุปกรณ์ IoT https://securityonline.info/critical-flaw-cve-2025-52906-cvss-9-3-allows-unauthenticated-rce-on-totolink-x6000r-routers/
    SECURITYONLINE.INFO
    Critical Flaw CVE-2025-52906 (CVSS 9.3) Allows Unauthenticated RCE on TOTOLINK X6000R Routers
    Unit 42 disclosed a Critical unauthenticated RCE flaw (CVE-2025-52906) in TOTOLINK X6000R routers, allowing remote attackers to execute arbitrary commands. Update immediately.
    0 Comments 0 Shares 145 Views 0 Reviews
  • “Detour Dog มัลแวร์ DNS สุดแสบ — ซ่อนคำสั่งใน TXT Record หลอกเว็บทั่วโลกให้กลายเป็นฐานโจมตี”

    Infoblox และ Shadowserver ร่วมกันเปิดโปงแคมเปญมัลแวร์ระดับโลกที่ใช้ชื่อว่า “Detour Dog” ซึ่งแฮกเกอร์เบื้องหลังได้ใช้เทคนิคใหม่ในการควบคุมเว็บไซต์ที่ติดมัลแวร์ผ่านระบบ DNS โดยเฉพาะการใช้ DNS TXT records เป็นช่องทางส่งคำสั่ง (Command and Control หรือ C2) แบบลับ ๆ ที่ไม่สามารถตรวจจับได้จากฝั่งผู้ใช้งานทั่วไป

    มัลแวร์นี้ฝังตัวอยู่ในเว็บไซต์หลายหมื่นแห่งทั่วโลก โดยเว็บไซต์เหล่านี้จะส่งคำขอ DNS จากฝั่งเซิร์ฟเวอร์ไปยัง name server ที่ควบคุมโดยแฮกเกอร์ ซึ่งจะตอบกลับด้วยคำสั่งที่ซ่อนอยู่ใน TXT record เช่น redirect ผู้ใช้ไปยังหน้าโฆษณาหลอกลวง หรือแม้แต่สั่งให้เว็บไซต์รันโค้ดจากเซิร์ฟเวอร์ระยะไกล

    ตั้งแต่กลางปี 2025 Detour Dog ได้พัฒนาให้สามารถติดตั้งมัลแวร์ backdoor ชื่อ StarFish ซึ่งใช้เป็นตัวนำ Strela Stealer เข้าสู่เครื่องของผู้ใช้ โดยพบว่า 69% ของเซิร์ฟเวอร์ที่ใช้ติดตั้ง StarFish อยู่ภายใต้การควบคุมของ Detour Dog

    ในเดือนสิงหาคม Shadowserver ได้ sinkhole โดเมนหลักของ Detour Dog (webdmonitor[.]io) และพบว่ามีการส่งคำขอ TXT มากกว่า 39 ล้านครั้งภายใน 48 ชั่วโมงจากเว็บไซต์ที่ติดมัลแวร์กว่า 30,000 แห่งใน 584 โดเมนระดับบน (TLD) โดยมี IP จากหน่วยงานสำคัญ เช่น กระทรวงกลาโหมสหรัฐฯ ปรากฏอยู่ในคำขอด้วย

    แม้จะถูกปิดโดเมนหลัก แต่ Detour Dog ก็สามารถตั้งโดเมนใหม่ (aeroarrows[.]io) ได้ภายในไม่กี่ชั่วโมง แสดงถึงความยืดหยุ่นและความเร็วในการฟื้นตัวของโครงสร้างมัลแวร์

    Infoblox เตือนว่า DNS ซึ่งมักถูกมองข้ามในด้านความปลอดภัย กำลังกลายเป็นช่องทางใหม่ในการกระจายมัลแวร์ และแนะนำให้องค์กรตรวจสอบ DNS TXT record อย่างละเอียด รวมถึงติดตามโดเมน redirect ที่น่าสงสัย

    ข้อมูลสำคัญจากข่าว
    Detour Dog ใช้ DNS TXT record เป็นช่องทางส่งคำสั่งควบคุมมัลแวร์ (C2)
    เว็บไซต์ที่ติดมัลแวร์จะส่งคำขอ DNS จากฝั่งเซิร์ฟเวอร์ไปยัง name server ที่ควบคุมโดยแฮกเกอร์
    คำสั่งที่ส่งกลับมาอาจเป็น redirect หรือคำสั่งให้รันโค้ดจากเซิร์ฟเวอร์ระยะไกล
    Detour Dog ใช้มัลแวร์ StarFish เป็นตัวนำ Strela Stealer เข้าสู่ระบบ
    69% ของเซิร์ฟเวอร์ที่ใช้ติดตั้ง StarFish อยู่ภายใต้การควบคุมของ Detour Dog
    Shadowserver พบคำขอ TXT มากกว่า 39 ล้านครั้งใน 48 ชั่วโมงจาก 30,000 เว็บไซต์
    Detour Dog สามารถตั้งโดเมนใหม่ได้ภายในไม่กี่ชั่วโมงหลังถูกปิด
    Infoblox เตือนให้องค์กรตรวจสอบ DNS TXT record และโดเมน redirect อย่างละเอียด

    ข้อมูลเสริมจากภายนอก
    DNS TXT record เดิมใช้สำหรับเก็บข้อมูลเสริม เช่น SPF หรือ DKIM แต่ถูกนำมาใช้ส่งคำสั่งมัลแวร์
    Strela Stealer เป็นมัลแวร์ขโมยข้อมูลที่เน้นเจาะอีเมลและเบราว์เซอร์
    การ sinkhole คือการเปลี่ยนเส้นทางโดเมนมัลแวร์ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยนักวิจัยเพื่อเก็บข้อมูล
    Passive DNS log ช่วยให้เห็นภาพรวมของการโจมตีและการกระจายคำสั่ง
    Detour Dog อาจเป็นโครงสร้างบริการมัลแวร์ที่เปิดให้กลุ่มอื่นใช้งานร่วม

    https://securityonline.info/detour-dog-stealthy-dns-malware-uses-txt-records-for-command-and-control/
    🧠 “Detour Dog มัลแวร์ DNS สุดแสบ — ซ่อนคำสั่งใน TXT Record หลอกเว็บทั่วโลกให้กลายเป็นฐานโจมตี” Infoblox และ Shadowserver ร่วมกันเปิดโปงแคมเปญมัลแวร์ระดับโลกที่ใช้ชื่อว่า “Detour Dog” ซึ่งแฮกเกอร์เบื้องหลังได้ใช้เทคนิคใหม่ในการควบคุมเว็บไซต์ที่ติดมัลแวร์ผ่านระบบ DNS โดยเฉพาะการใช้ DNS TXT records เป็นช่องทางส่งคำสั่ง (Command and Control หรือ C2) แบบลับ ๆ ที่ไม่สามารถตรวจจับได้จากฝั่งผู้ใช้งานทั่วไป มัลแวร์นี้ฝังตัวอยู่ในเว็บไซต์หลายหมื่นแห่งทั่วโลก โดยเว็บไซต์เหล่านี้จะส่งคำขอ DNS จากฝั่งเซิร์ฟเวอร์ไปยัง name server ที่ควบคุมโดยแฮกเกอร์ ซึ่งจะตอบกลับด้วยคำสั่งที่ซ่อนอยู่ใน TXT record เช่น redirect ผู้ใช้ไปยังหน้าโฆษณาหลอกลวง หรือแม้แต่สั่งให้เว็บไซต์รันโค้ดจากเซิร์ฟเวอร์ระยะไกล ตั้งแต่กลางปี 2025 Detour Dog ได้พัฒนาให้สามารถติดตั้งมัลแวร์ backdoor ชื่อ StarFish ซึ่งใช้เป็นตัวนำ Strela Stealer เข้าสู่เครื่องของผู้ใช้ โดยพบว่า 69% ของเซิร์ฟเวอร์ที่ใช้ติดตั้ง StarFish อยู่ภายใต้การควบคุมของ Detour Dog ในเดือนสิงหาคม Shadowserver ได้ sinkhole โดเมนหลักของ Detour Dog (webdmonitor[.]io) และพบว่ามีการส่งคำขอ TXT มากกว่า 39 ล้านครั้งภายใน 48 ชั่วโมงจากเว็บไซต์ที่ติดมัลแวร์กว่า 30,000 แห่งใน 584 โดเมนระดับบน (TLD) โดยมี IP จากหน่วยงานสำคัญ เช่น กระทรวงกลาโหมสหรัฐฯ ปรากฏอยู่ในคำขอด้วย แม้จะถูกปิดโดเมนหลัก แต่ Detour Dog ก็สามารถตั้งโดเมนใหม่ (aeroarrows[.]io) ได้ภายในไม่กี่ชั่วโมง แสดงถึงความยืดหยุ่นและความเร็วในการฟื้นตัวของโครงสร้างมัลแวร์ Infoblox เตือนว่า DNS ซึ่งมักถูกมองข้ามในด้านความปลอดภัย กำลังกลายเป็นช่องทางใหม่ในการกระจายมัลแวร์ และแนะนำให้องค์กรตรวจสอบ DNS TXT record อย่างละเอียด รวมถึงติดตามโดเมน redirect ที่น่าสงสัย ✅ ข้อมูลสำคัญจากข่าว ➡️ Detour Dog ใช้ DNS TXT record เป็นช่องทางส่งคำสั่งควบคุมมัลแวร์ (C2) ➡️ เว็บไซต์ที่ติดมัลแวร์จะส่งคำขอ DNS จากฝั่งเซิร์ฟเวอร์ไปยัง name server ที่ควบคุมโดยแฮกเกอร์ ➡️ คำสั่งที่ส่งกลับมาอาจเป็น redirect หรือคำสั่งให้รันโค้ดจากเซิร์ฟเวอร์ระยะไกล ➡️ Detour Dog ใช้มัลแวร์ StarFish เป็นตัวนำ Strela Stealer เข้าสู่ระบบ ➡️ 69% ของเซิร์ฟเวอร์ที่ใช้ติดตั้ง StarFish อยู่ภายใต้การควบคุมของ Detour Dog ➡️ Shadowserver พบคำขอ TXT มากกว่า 39 ล้านครั้งใน 48 ชั่วโมงจาก 30,000 เว็บไซต์ ➡️ Detour Dog สามารถตั้งโดเมนใหม่ได้ภายในไม่กี่ชั่วโมงหลังถูกปิด ➡️ Infoblox เตือนให้องค์กรตรวจสอบ DNS TXT record และโดเมน redirect อย่างละเอียด ✅ ข้อมูลเสริมจากภายนอก ➡️ DNS TXT record เดิมใช้สำหรับเก็บข้อมูลเสริม เช่น SPF หรือ DKIM แต่ถูกนำมาใช้ส่งคำสั่งมัลแวร์ ➡️ Strela Stealer เป็นมัลแวร์ขโมยข้อมูลที่เน้นเจาะอีเมลและเบราว์เซอร์ ➡️ การ sinkhole คือการเปลี่ยนเส้นทางโดเมนมัลแวร์ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยนักวิจัยเพื่อเก็บข้อมูล ➡️ Passive DNS log ช่วยให้เห็นภาพรวมของการโจมตีและการกระจายคำสั่ง ➡️ Detour Dog อาจเป็นโครงสร้างบริการมัลแวร์ที่เปิดให้กลุ่มอื่นใช้งานร่วม https://securityonline.info/detour-dog-stealthy-dns-malware-uses-txt-records-for-command-and-control/
    SECURITYONLINE.INFO
    Detour Dog: Stealthy DNS Malware Uses TXT Records for Command and Control
    The Detour Dog campaign is using DNS TXT records for stealthy C2, infecting thousands of websites and quickly shifting infrastructure to evade sinkholing efforts.
    0 Comments 0 Shares 129 Views 0 Reviews
  • “Cisco ASA/FTD ถูกเจาะทะลุ — ช่องโหว่ RCE เปิดทางยึดไฟร์วอลล์กว่า 50,000 เครื่องทั่วโลก”

    Cisco และหน่วยงานด้านความปลอดภัยไซเบอร์ของสหรัฐฯ (CISA) ออกคำเตือนด่วนถึงผู้ใช้งานไฟร์วอลล์รุ่น Adaptive Security Appliance (ASA) และ Firewall Threat Defense (FTD) หลังพบช่องโหว่ร้ายแรงสองรายการที่ถูกใช้โจมตีจริงแล้วในโลกออนไลน์ ได้แก่ CVE-2025-20333 และ CVE-2025-20362

    ช่องโหว่แรก (20333) เป็น buffer overflow ที่มีคะแนนความรุนแรงสูงถึง 9.9/10 ซึ่งเปิดทางให้แฮกเกอร์สามารถรันคำสั่งจากระยะไกลโดยไม่ต้องยืนยันตัวตน ส่วนช่องโหว่ที่สอง (20362) เป็นการขาดการตรวจสอบสิทธิ์ที่ทำให้ผู้โจมตีสามารถเข้าถึงระบบได้ง่ายขึ้น แม้จะมีคะแนนความรุนแรงต่ำกว่า (6.5/10) แต่เมื่อใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ได้เต็มรูปแบบ

    จากการตรวจสอบโดย Shadowserver พบว่ามีอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่องทั่วโลก โดยประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ (19,610 เครื่อง) ตามด้วยสหราชอาณาจักรและเยอรมนี

    Cisco ได้ออกแพตช์แก้ไขแล้ว และเน้นย้ำว่า “ไม่มีวิธีแก้ชั่วคราว” สำหรับช่องโหว่นี้ ผู้ใช้ต้องอัปเดตซอฟต์แวร์ทันทีเพื่อป้องกันการถูกโจมตี โดยเฉพาะองค์กรที่ใช้ VPN ผ่าน Web Interface ซึ่งเป็นจุดที่แฮกเกอร์ใช้โจมตีมากที่สุด

    CISA ได้ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลสหรัฐฯ ตรวจสอบและส่งไฟล์หน่วยความจำของอุปกรณ์ให้วิเคราะห์ภายใน 24 ชั่วโมง พร้อมแนะนำให้ทุกองค์กรทั้งภาครัฐและเอกชนดำเนินการตามแนวทางเดียวกัน

    ข้อมูลสำคัญจากข่าว
    ช่องโหว่ CVE-2025-20333 และ CVE-2025-20362 ถูกใช้โจมตีจริงแล้วในโลกออนไลน์
    ช่องโหว่แรกเป็น buffer overflow (คะแนน 9.9/10) ส่วนช่องโหว่ที่สองเป็น missing authorization (คะแนน 6.5/10)
    ใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ Cisco ASA/FTD ได้เต็มรูปแบบ
    Shadowserver พบอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่อง
    ประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ สหราชอาณาจักร และเยอรมนี
    Cisco ออกแพตช์แล้ว และยืนยันว่าไม่มีวิธีแก้ชั่วคราว ต้องอัปเดตเท่านั้น
    CISA ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลดำเนินการตรวจสอบทันที
    ช่องโหว่ส่งผลต่อการใช้งาน VPN ผ่าน Web Interface เป็นหลัก

    https://www.techradar.com/pro/security/around-50-000-cisco-firewalls-are-vulnerable-to-attack-so-patch-now
    🔥 “Cisco ASA/FTD ถูกเจาะทะลุ — ช่องโหว่ RCE เปิดทางยึดไฟร์วอลล์กว่า 50,000 เครื่องทั่วโลก” Cisco และหน่วยงานด้านความปลอดภัยไซเบอร์ของสหรัฐฯ (CISA) ออกคำเตือนด่วนถึงผู้ใช้งานไฟร์วอลล์รุ่น Adaptive Security Appliance (ASA) และ Firewall Threat Defense (FTD) หลังพบช่องโหว่ร้ายแรงสองรายการที่ถูกใช้โจมตีจริงแล้วในโลกออนไลน์ ได้แก่ CVE-2025-20333 และ CVE-2025-20362 ช่องโหว่แรก (20333) เป็น buffer overflow ที่มีคะแนนความรุนแรงสูงถึง 9.9/10 ซึ่งเปิดทางให้แฮกเกอร์สามารถรันคำสั่งจากระยะไกลโดยไม่ต้องยืนยันตัวตน ส่วนช่องโหว่ที่สอง (20362) เป็นการขาดการตรวจสอบสิทธิ์ที่ทำให้ผู้โจมตีสามารถเข้าถึงระบบได้ง่ายขึ้น แม้จะมีคะแนนความรุนแรงต่ำกว่า (6.5/10) แต่เมื่อใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ได้เต็มรูปแบบ จากการตรวจสอบโดย Shadowserver พบว่ามีอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่องทั่วโลก โดยประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ (19,610 เครื่อง) ตามด้วยสหราชอาณาจักรและเยอรมนี Cisco ได้ออกแพตช์แก้ไขแล้ว และเน้นย้ำว่า “ไม่มีวิธีแก้ชั่วคราว” สำหรับช่องโหว่นี้ ผู้ใช้ต้องอัปเดตซอฟต์แวร์ทันทีเพื่อป้องกันการถูกโจมตี โดยเฉพาะองค์กรที่ใช้ VPN ผ่าน Web Interface ซึ่งเป็นจุดที่แฮกเกอร์ใช้โจมตีมากที่สุด CISA ได้ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลสหรัฐฯ ตรวจสอบและส่งไฟล์หน่วยความจำของอุปกรณ์ให้วิเคราะห์ภายใน 24 ชั่วโมง พร้อมแนะนำให้ทุกองค์กรทั้งภาครัฐและเอกชนดำเนินการตามแนวทางเดียวกัน ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-20333 และ CVE-2025-20362 ถูกใช้โจมตีจริงแล้วในโลกออนไลน์ ➡️ ช่องโหว่แรกเป็น buffer overflow (คะแนน 9.9/10) ส่วนช่องโหว่ที่สองเป็น missing authorization (คะแนน 6.5/10) ➡️ ใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ Cisco ASA/FTD ได้เต็มรูปแบบ ➡️ Shadowserver พบอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่อง ➡️ ประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ สหราชอาณาจักร และเยอรมนี ➡️ Cisco ออกแพตช์แล้ว และยืนยันว่าไม่มีวิธีแก้ชั่วคราว ต้องอัปเดตเท่านั้น ➡️ CISA ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลดำเนินการตรวจสอบทันที ➡️ ช่องโหว่ส่งผลต่อการใช้งาน VPN ผ่าน Web Interface เป็นหลัก https://www.techradar.com/pro/security/around-50-000-cisco-firewalls-are-vulnerable-to-attack-so-patch-now
    WWW.TECHRADAR.COM
    Around 50,000 Cisco firewalls are vulnerable to attack, so patch now
    Hackers are already targeting Cisco firewalls, experts warn
    0 Comments 0 Shares 162 Views 0 Reviews
  • “Western Digital อุดช่องโหว่ร้ายแรงใน My Cloud NAS — เสี่ยงโดนยึดเครื่องเต็มรูปแบบผ่าน HTTP POST”

    Western Digital (WD) ได้ออกแพตช์อัปเดตความปลอดภัยครั้งสำคัญสำหรับอุปกรณ์ NAS ตระกูล My Cloud หลังพบช่องโหว่ระดับ “วิกฤต” ที่เปิดทางให้แฮกเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่นี้ถูกระบุด้วยรหัส CVE-2025-30247 และได้รับคะแนนความรุนแรง 9.3/10 ซึ่งถือว่าอยู่ในระดับสูงสุดของการประเมินความเสี่ยง

    ช่องโหว่นี้เกิดจากการ “OS command injection” ในส่วนของ user interface ของ My Cloud โดยผู้โจมตีสามารถส่ง HTTP POST request ที่ถูกปรับแต่งมาอย่างเฉพาะเจาะจงเพื่อสั่งให้ระบบรันคำสั่งในระดับระบบปฏิบัติการ ซึ่งหมายความว่าแฮกเกอร์สามารถเข้าถึงไฟล์ทั้งหมดในเครื่อง หรือใช้ NAS เป็นฐานโจมตีอุปกรณ์อื่นในเครือข่ายได้ทันที

    WD ได้ออกแพตช์เวอร์ชัน 5.31.108 เพื่อแก้ไขปัญหานี้ โดยแนะนำให้ผู้ใช้ตรวจสอบว่าอุปกรณ์ของตนได้รับการอัปเดตแล้วหรือยัง แม้ระบบจะตั้งค่าให้จัดการอัปเดตอัตโนมัติ แต่ WD ก็ยังเน้นให้ผู้ใช้ตรวจสอบด้วยตนเองเพื่อความมั่นใจ

    สำหรับอุปกรณ์ที่หมดอายุการสนับสนุน (end-of-life) เช่น My Cloud DL4100 และ DL2100 จะไม่ได้รับแพตช์นี้ ทำให้ผู้ใช้ต้องตัดสินใจว่าจะเปลี่ยนไปใช้รุ่นใหม่ หรือถอดอุปกรณ์ออกจากระบบออนไลน์เพื่อป้องกันการโจมตี

    ข้อมูลสำคัญจากข่าว
    ช่องโหว่ CVE-2025-30247 เป็น OS command injection ใน My Cloud NAS
    ผู้โจมตีสามารถส่ง HTTP POST request เพื่อรันคำสั่งในระดับระบบปฏิบัติการ
    ช่องโหว่นี้เปิดทางให้เกิด remote code execution (RCE) โดยไม่ต้องยืนยันตัวตน
    WD ออกแพตช์เวอร์ชัน 5.31.108 เพื่อแก้ไขช่องโหว่นี้
    ระบบอัปเดตอัตโนมัติเปิดใช้งานโดยค่าเริ่มต้น แต่ WD แนะนำให้ตรวจสอบด้วยตนเอง
    อุปกรณ์ที่ได้รับผลกระทบ ได้แก่ PR2100, PR4100, EX4100, EX2 Ultra, Mirror Gen 2, EX2100 และ WDBCTLxxxxxx-10
    อุปกรณ์ DL4100 และ DL2100 ไม่ได้รับการอัปเดต เพราะหมดอายุการสนับสนุน
    WD แนะนำให้ผู้ใช้ถอดอุปกรณ์ออกจากระบบออนไลน์หากยังไม่ได้อัปเดต

    ข้อมูลเสริมจากภายนอก
    ช่องโหว่ลักษณะนี้เคยเกิดขึ้นกับ WD ในปี 2023 และถูกใช้โจมตีจริงในบางกรณี
    NAS เป็นอุปกรณ์ที่มักเปิดพอร์ตไว้เพื่อใช้งานจากระยะไกล ทำให้เป็นเป้าหมายง่ายสำหรับแฮกเกอร์
    การโจมตีแบบ RCE สามารถนำไปสู่การขโมยข้อมูล การติดตั้ง ransomware หรือการโจมตีเครือข่ายภายใน
    WMI (Windows Management Instrumentation) เป็นเครื่องมือที่แฮกเกอร์นิยมใช้ในการควบคุมระบบ Windows จากระยะไกล
    การอัปเดต firmware เป็นวิธีป้องกันที่มีประสิทธิภาพที่สุดสำหรับอุปกรณ์ IoT และ NAS

    https://www.techradar.com/pro/security/wd-patches-nas-security-flaw-which-could-have-allowed-full-takeover
    🛡️ “Western Digital อุดช่องโหว่ร้ายแรงใน My Cloud NAS — เสี่ยงโดนยึดเครื่องเต็มรูปแบบผ่าน HTTP POST” Western Digital (WD) ได้ออกแพตช์อัปเดตความปลอดภัยครั้งสำคัญสำหรับอุปกรณ์ NAS ตระกูล My Cloud หลังพบช่องโหว่ระดับ “วิกฤต” ที่เปิดทางให้แฮกเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่นี้ถูกระบุด้วยรหัส CVE-2025-30247 และได้รับคะแนนความรุนแรง 9.3/10 ซึ่งถือว่าอยู่ในระดับสูงสุดของการประเมินความเสี่ยง ช่องโหว่นี้เกิดจากการ “OS command injection” ในส่วนของ user interface ของ My Cloud โดยผู้โจมตีสามารถส่ง HTTP POST request ที่ถูกปรับแต่งมาอย่างเฉพาะเจาะจงเพื่อสั่งให้ระบบรันคำสั่งในระดับระบบปฏิบัติการ ซึ่งหมายความว่าแฮกเกอร์สามารถเข้าถึงไฟล์ทั้งหมดในเครื่อง หรือใช้ NAS เป็นฐานโจมตีอุปกรณ์อื่นในเครือข่ายได้ทันที WD ได้ออกแพตช์เวอร์ชัน 5.31.108 เพื่อแก้ไขปัญหานี้ โดยแนะนำให้ผู้ใช้ตรวจสอบว่าอุปกรณ์ของตนได้รับการอัปเดตแล้วหรือยัง แม้ระบบจะตั้งค่าให้จัดการอัปเดตอัตโนมัติ แต่ WD ก็ยังเน้นให้ผู้ใช้ตรวจสอบด้วยตนเองเพื่อความมั่นใจ สำหรับอุปกรณ์ที่หมดอายุการสนับสนุน (end-of-life) เช่น My Cloud DL4100 และ DL2100 จะไม่ได้รับแพตช์นี้ ทำให้ผู้ใช้ต้องตัดสินใจว่าจะเปลี่ยนไปใช้รุ่นใหม่ หรือถอดอุปกรณ์ออกจากระบบออนไลน์เพื่อป้องกันการโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-30247 เป็น OS command injection ใน My Cloud NAS ➡️ ผู้โจมตีสามารถส่ง HTTP POST request เพื่อรันคำสั่งในระดับระบบปฏิบัติการ ➡️ ช่องโหว่นี้เปิดทางให้เกิด remote code execution (RCE) โดยไม่ต้องยืนยันตัวตน ➡️ WD ออกแพตช์เวอร์ชัน 5.31.108 เพื่อแก้ไขช่องโหว่นี้ ➡️ ระบบอัปเดตอัตโนมัติเปิดใช้งานโดยค่าเริ่มต้น แต่ WD แนะนำให้ตรวจสอบด้วยตนเอง ➡️ อุปกรณ์ที่ได้รับผลกระทบ ได้แก่ PR2100, PR4100, EX4100, EX2 Ultra, Mirror Gen 2, EX2100 และ WDBCTLxxxxxx-10 ➡️ อุปกรณ์ DL4100 และ DL2100 ไม่ได้รับการอัปเดต เพราะหมดอายุการสนับสนุน ➡️ WD แนะนำให้ผู้ใช้ถอดอุปกรณ์ออกจากระบบออนไลน์หากยังไม่ได้อัปเดต ✅ ข้อมูลเสริมจากภายนอก ➡️ ช่องโหว่ลักษณะนี้เคยเกิดขึ้นกับ WD ในปี 2023 และถูกใช้โจมตีจริงในบางกรณี ➡️ NAS เป็นอุปกรณ์ที่มักเปิดพอร์ตไว้เพื่อใช้งานจากระยะไกล ทำให้เป็นเป้าหมายง่ายสำหรับแฮกเกอร์ ➡️ การโจมตีแบบ RCE สามารถนำไปสู่การขโมยข้อมูล การติดตั้ง ransomware หรือการโจมตีเครือข่ายภายใน ➡️ WMI (Windows Management Instrumentation) เป็นเครื่องมือที่แฮกเกอร์นิยมใช้ในการควบคุมระบบ Windows จากระยะไกล ➡️ การอัปเดต firmware เป็นวิธีป้องกันที่มีประสิทธิภาพที่สุดสำหรับอุปกรณ์ IoT และ NAS https://www.techradar.com/pro/security/wd-patches-nas-security-flaw-which-could-have-allowed-full-takeover
    0 Comments 0 Shares 148 Views 0 Reviews
  • “พล.อ.อ.เสกสรร” ประเดิมตำแหน่ง ผบ.ทอ.ตรวจเยี่ยมกองบิน 3 สระแก้ว เผย แม้ที่ผ่านมาได้รับคำชมจาก ผบ.ทบ. แต่ไม่ควรชะล่าใจ มองจากนี้อาจถูกโจมตีด้วยโดรนขนาดเล็ก-อาวุธระยะไกลยิงเข้าใส่ ลั่นจะทำให้ดีที่สุด ให้การรบร่วม 2 เหล่าทัพ 3 เหล่าทัพ ให้มีประสิทธิภาพสูงสุด

    อ่านต่อ..https://news1live.com/detail/9680000093782

    #News1live #News1 #SondhiX #Sondhitalk #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire
    “พล.อ.อ.เสกสรร” ประเดิมตำแหน่ง ผบ.ทอ.ตรวจเยี่ยมกองบิน 3 สระแก้ว เผย แม้ที่ผ่านมาได้รับคำชมจาก ผบ.ทบ. แต่ไม่ควรชะล่าใจ มองจากนี้อาจถูกโจมตีด้วยโดรนขนาดเล็ก-อาวุธระยะไกลยิงเข้าใส่ ลั่นจะทำให้ดีที่สุด ให้การรบร่วม 2 เหล่าทัพ 3 เหล่าทัพ ให้มีประสิทธิภาพสูงสุด อ่านต่อ..https://news1live.com/detail/9680000093782 #News1live #News1 #SondhiX #Sondhitalk #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire
    Like
    2
    0 Comments 0 Shares 271 Views 0 Reviews
  • “OpenSSL แพตช์ช่องโหว่ 3 รายการ — เสี่ยง RCE, Side-Channel และ Crash จาก IPv6 ‘no_proxy’”

    OpenSSL ซึ่งเป็นไลบรารีเข้ารหัสที่ใช้กันอย่างแพร่หลายทั่วโลก ได้ออกแพตช์อัปเดตเมื่อวันที่ 30 กันยายน 2025 เพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการที่ส่งผลกระทบต่อทุกเวอร์ชันหลัก ตั้งแต่ 1.0.2 ถึง 3.5 โดยมีระดับความรุนแรงตั้งแต่ Low ถึง Moderate แต่มีผลกระทบที่อาจร้ายแรงในบางบริบท

    ช่องโหว่แรก (CVE-2025-9230) เป็นการอ่านและเขียนข้อมูลนอกขอบเขต (Out-of-Bounds Read & Write) ในกระบวนการถอดรหัส CMS ที่ใช้การเข้ารหัสแบบรหัสผ่าน (PWRI) ซึ่งอาจนำไปสู่การ crash หรือแม้แต่การรันโค้ดจากผู้โจมตีได้ แม้โอกาสในการโจมตีจะต่ำ เพราะ CMS แบบ PWRI ใช้น้อยมากในโลกจริง แต่ช่องโหว่นี้ยังคงถูกจัดว่า “Moderate” และส่งผลต่อทุกเวอร์ชันหลักของ OpenSSL

    ช่องโหว่ที่สอง (CVE-2025-9231) เป็นการโจมตีแบบ Timing Side-Channel บนแพลตฟอร์ม ARM64 ที่ใช้ SM2 algorithm ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถวัดเวลาและกู้คืน private key ได้จากระยะไกลในบางกรณี โดยเฉพาะเมื่อมีการใช้ provider แบบ custom ที่รองรับ SM2

    ช่องโหว่สุดท้าย (CVE-2025-9232) เป็นการอ่านข้อมูลนอกขอบเขตใน HTTP client API เมื่อมีการตั้งค่า no_proxy และใช้ URL ที่มี IPv6 ซึ่งอาจทำให้แอปพลิเคชัน crash ได้ แม้จะมีโอกาสโจมตีต่ำ แต่ก็ส่งผลต่อระบบที่ใช้ OCSP และ CMP ที่อิง HTTP client ของ OpenSSL

    OpenSSL ได้ออกแพตช์สำหรับเวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm โดยแนะนำให้ผู้ใช้ทุกคนอัปเดตทันทีเพื่อป้องกันความเสี่ยง แม้ FIPS module จะไม่ได้รับผลกระทบ แต่โค้ดที่อยู่ภายนอกยังคงเสี่ยงต่อการโจมตี

    ข้อมูลสำคัญจากข่าว
    OpenSSL ออกแพตช์แก้ไขช่องโหว่ 3 รายการเมื่อวันที่ 30 กันยายน 2025
    CVE-2025-9230: Out-of-Bounds Read & Write ในการถอดรหัส CMS แบบ PWRI
    CVE-2025-9231: Timing Side-Channel ใน SM2 บน ARM64 อาจกู้คืน private key ได้
    CVE-2025-9232: Out-of-Bounds Read ใน HTTP client เมื่อใช้ no_proxy กับ IPv6
    ช่องโหว่ทั้งหมดส่งผลต่อเวอร์ชัน 1.0.2 ถึง 3.5 ของ OpenSSL
    แพตช์ใหม่ได้แก่เวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm
    FIPS module ไม่ได้รับผลกระทบ เพราะโค้ดที่มีช่องโหว่อยู่ภายนอก boundary

    ข้อมูลเสริมจากภายนอก
    SM2 เป็นอัลกอริธึมเข้ารหัสที่ใช้ในประเทศจีน และไม่เป็นมาตรฐาน TLS ทั่วไป
    Timing Side-Channel เป็นเทคนิคที่ใช้วัดเวลาการประมวลผลเพื่อกู้ข้อมูลลับ
    CMS (Cryptographic Message Syntax) ใช้ในระบบอีเมลและเอกสารที่เข้ารหัส
    no_proxy เป็น environment variable ที่ใช้ควบคุมการ bypass proxy ใน HTTP client
    OCSP และ CMP เป็นโปรโตคอลที่ใช้ตรวจสอบใบรับรองดิจิทัลในระบบ PKI

    https://securityonline.info/openssl-patches-three-flaws-timing-side-channel-rce-risk-and-memory-corruption-affect-all-versions/
    🔐 “OpenSSL แพตช์ช่องโหว่ 3 รายการ — เสี่ยง RCE, Side-Channel และ Crash จาก IPv6 ‘no_proxy’” OpenSSL ซึ่งเป็นไลบรารีเข้ารหัสที่ใช้กันอย่างแพร่หลายทั่วโลก ได้ออกแพตช์อัปเดตเมื่อวันที่ 30 กันยายน 2025 เพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการที่ส่งผลกระทบต่อทุกเวอร์ชันหลัก ตั้งแต่ 1.0.2 ถึง 3.5 โดยมีระดับความรุนแรงตั้งแต่ Low ถึง Moderate แต่มีผลกระทบที่อาจร้ายแรงในบางบริบท ช่องโหว่แรก (CVE-2025-9230) เป็นการอ่านและเขียนข้อมูลนอกขอบเขต (Out-of-Bounds Read & Write) ในกระบวนการถอดรหัส CMS ที่ใช้การเข้ารหัสแบบรหัสผ่าน (PWRI) ซึ่งอาจนำไปสู่การ crash หรือแม้แต่การรันโค้ดจากผู้โจมตีได้ แม้โอกาสในการโจมตีจะต่ำ เพราะ CMS แบบ PWRI ใช้น้อยมากในโลกจริง แต่ช่องโหว่นี้ยังคงถูกจัดว่า “Moderate” และส่งผลต่อทุกเวอร์ชันหลักของ OpenSSL ช่องโหว่ที่สอง (CVE-2025-9231) เป็นการโจมตีแบบ Timing Side-Channel บนแพลตฟอร์ม ARM64 ที่ใช้ SM2 algorithm ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถวัดเวลาและกู้คืน private key ได้จากระยะไกลในบางกรณี โดยเฉพาะเมื่อมีการใช้ provider แบบ custom ที่รองรับ SM2 ช่องโหว่สุดท้าย (CVE-2025-9232) เป็นการอ่านข้อมูลนอกขอบเขตใน HTTP client API เมื่อมีการตั้งค่า no_proxy และใช้ URL ที่มี IPv6 ซึ่งอาจทำให้แอปพลิเคชัน crash ได้ แม้จะมีโอกาสโจมตีต่ำ แต่ก็ส่งผลต่อระบบที่ใช้ OCSP และ CMP ที่อิง HTTP client ของ OpenSSL OpenSSL ได้ออกแพตช์สำหรับเวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm โดยแนะนำให้ผู้ใช้ทุกคนอัปเดตทันทีเพื่อป้องกันความเสี่ยง แม้ FIPS module จะไม่ได้รับผลกระทบ แต่โค้ดที่อยู่ภายนอกยังคงเสี่ยงต่อการโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ OpenSSL ออกแพตช์แก้ไขช่องโหว่ 3 รายการเมื่อวันที่ 30 กันยายน 2025 ➡️ CVE-2025-9230: Out-of-Bounds Read & Write ในการถอดรหัส CMS แบบ PWRI ➡️ CVE-2025-9231: Timing Side-Channel ใน SM2 บน ARM64 อาจกู้คืน private key ได้ ➡️ CVE-2025-9232: Out-of-Bounds Read ใน HTTP client เมื่อใช้ no_proxy กับ IPv6 ➡️ ช่องโหว่ทั้งหมดส่งผลต่อเวอร์ชัน 1.0.2 ถึง 3.5 ของ OpenSSL ➡️ แพตช์ใหม่ได้แก่เวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm ➡️ FIPS module ไม่ได้รับผลกระทบ เพราะโค้ดที่มีช่องโหว่อยู่ภายนอก boundary ✅ ข้อมูลเสริมจากภายนอก ➡️ SM2 เป็นอัลกอริธึมเข้ารหัสที่ใช้ในประเทศจีน และไม่เป็นมาตรฐาน TLS ทั่วไป ➡️ Timing Side-Channel เป็นเทคนิคที่ใช้วัดเวลาการประมวลผลเพื่อกู้ข้อมูลลับ ➡️ CMS (Cryptographic Message Syntax) ใช้ในระบบอีเมลและเอกสารที่เข้ารหัส ➡️ no_proxy เป็น environment variable ที่ใช้ควบคุมการ bypass proxy ใน HTTP client ➡️ OCSP และ CMP เป็นโปรโตคอลที่ใช้ตรวจสอบใบรับรองดิจิทัลในระบบ PKI https://securityonline.info/openssl-patches-three-flaws-timing-side-channel-rce-risk-and-memory-corruption-affect-all-versions/
    SECURITYONLINE.INFO
    OpenSSL Patches Three Flaws: Timing Side-Channel RCE Risk and Memory Corruption Affect All Versions
    OpenSSL patches three flaws, including CVE-2025-9230 (RCE/DoS risk) and a SM2 timing side-channel (CVE-2025-9231) that could allow private key recovery on ARM64.
    0 Comments 0 Shares 144 Views 0 Reviews
  • “ช่องโหว่ RCE ร้ายแรงใน Apache Fory’s Python Module — เมื่อการ deserialize กลายเป็นประตูหลังให้แฮกเกอร์”

    Apache Fory ซึ่งเป็นเฟรมเวิร์ก serialization แบบ multi-language ที่เน้นประสิทธิภาพสูง ได้เปิดเผยช่องโหว่ร้ายแรงในโมดูล Python ที่ชื่อว่า “pyfory” โดยช่องโหว่นี้ถูกระบุในรหัส CVE-2025-61622 และมีระดับความรุนแรง “Critical” ด้วยคะแนน CVSS สูงสุดถึง 9.8

    ช่องโหว่นี้เกิดจากการใช้ fallback serializer ที่เรียกว่า “pickle” ซึ่งเป็นกลไกใน Python สำหรับการแปลงข้อมูลให้สามารถจัดเก็บและส่งต่อได้ แต่หากนำไปใช้กับข้อมูลที่ไม่ได้รับการตรวจสอบหรือมาจากแหล่งที่ไม่เชื่อถือ ก็สามารถเปิดช่องให้แฮกเกอร์ส่งข้อมูลที่ถูกออกแบบมาเพื่อเรียกใช้ pickle.loads() ซึ่งจะนำไปสู่การรันโค้ดอันตรายจากระยะไกล (Remote Code Execution)

    ช่องโหว่นี้ส่งผลกระทบต่อ pyfory ตั้งแต่เวอร์ชัน 0.5.0 ถึง 0.12.2 โดยเฉพาะในแอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองหรือป้องกันอย่างเหมาะสม

    ทีม Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 ซึ่งได้ลบ fallback pickle serializer ออกไปโดยสิ้นเชิง เพื่อปิดช่องทางการโจมตีนี้ และแนะนำให้ผู้ใช้อัปเดตทันทีโดยไม่มีวิธีแก้ไขชั่วคราว (workaround)

    ข้อมูลสำคัญจากข่าว
    ช่องโหว่ CVE-2025-61622 เป็น Remote Code Execution (RCE) ในโมดูล pyfory ของ Apache Fory
    เกิดจากการใช้ fallback serializer แบบ pickle โดยไม่มีการป้องกัน
    ผู้โจมตีสามารถส่งข้อมูลที่บังคับให้ระบบใช้ pickle.loads() ซึ่งเปิดทางให้รันโค้ดอันตราย
    ส่งผลกระทบต่อเวอร์ชัน 0.5.0 ถึง 0.12.2 ของ pyfory
    แอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองจะเสี่ยงสูง
    Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 โดยลบ pickle fallback ออกไป
    ไม่มี workaround ชั่วคราว ต้องอัปเดตแพตช์ทันที

    ข้อมูลเสริมจากภายนอก
    pickle ใน Python เป็นเครื่องมือ serialization ที่ทรงพลังแต่มีความเสี่ยงสูง
    การใช้ pickle กับข้อมูลที่ไม่ได้รับการตรวจสอบถือเป็นแนวทางที่ไม่ปลอดภัย
    ช่องโหว่ลักษณะนี้เคยถูกใช้ในมัลแวร์และการโจมตีแบบ supply chain
    Apache Fory เป็นเฟรมเวิร์กที่ใช้ในระบบ distributed และ AI pipeline หลายแห่ง
    การลบ fallback serializer เป็นแนวทางที่ปลอดภัยที่สุดในการป้องกัน RCE

    https://securityonline.info/critical-rce-flaw-in-apache-forys-python-module-cve-2025-61622/
    🐍 “ช่องโหว่ RCE ร้ายแรงใน Apache Fory’s Python Module — เมื่อการ deserialize กลายเป็นประตูหลังให้แฮกเกอร์” Apache Fory ซึ่งเป็นเฟรมเวิร์ก serialization แบบ multi-language ที่เน้นประสิทธิภาพสูง ได้เปิดเผยช่องโหว่ร้ายแรงในโมดูล Python ที่ชื่อว่า “pyfory” โดยช่องโหว่นี้ถูกระบุในรหัส CVE-2025-61622 และมีระดับความรุนแรง “Critical” ด้วยคะแนน CVSS สูงสุดถึง 9.8 ช่องโหว่นี้เกิดจากการใช้ fallback serializer ที่เรียกว่า “pickle” ซึ่งเป็นกลไกใน Python สำหรับการแปลงข้อมูลให้สามารถจัดเก็บและส่งต่อได้ แต่หากนำไปใช้กับข้อมูลที่ไม่ได้รับการตรวจสอบหรือมาจากแหล่งที่ไม่เชื่อถือ ก็สามารถเปิดช่องให้แฮกเกอร์ส่งข้อมูลที่ถูกออกแบบมาเพื่อเรียกใช้ pickle.loads() ซึ่งจะนำไปสู่การรันโค้ดอันตรายจากระยะไกล (Remote Code Execution) ช่องโหว่นี้ส่งผลกระทบต่อ pyfory ตั้งแต่เวอร์ชัน 0.5.0 ถึง 0.12.2 โดยเฉพาะในแอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองหรือป้องกันอย่างเหมาะสม ทีม Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 ซึ่งได้ลบ fallback pickle serializer ออกไปโดยสิ้นเชิง เพื่อปิดช่องทางการโจมตีนี้ และแนะนำให้ผู้ใช้อัปเดตทันทีโดยไม่มีวิธีแก้ไขชั่วคราว (workaround) ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-61622 เป็น Remote Code Execution (RCE) ในโมดูล pyfory ของ Apache Fory ➡️ เกิดจากการใช้ fallback serializer แบบ pickle โดยไม่มีการป้องกัน ➡️ ผู้โจมตีสามารถส่งข้อมูลที่บังคับให้ระบบใช้ pickle.loads() ซึ่งเปิดทางให้รันโค้ดอันตราย ➡️ ส่งผลกระทบต่อเวอร์ชัน 0.5.0 ถึง 0.12.2 ของ pyfory ➡️ แอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองจะเสี่ยงสูง ➡️ Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 โดยลบ pickle fallback ออกไป ➡️ ไม่มี workaround ชั่วคราว ต้องอัปเดตแพตช์ทันที ✅ ข้อมูลเสริมจากภายนอก ➡️ pickle ใน Python เป็นเครื่องมือ serialization ที่ทรงพลังแต่มีความเสี่ยงสูง ➡️ การใช้ pickle กับข้อมูลที่ไม่ได้รับการตรวจสอบถือเป็นแนวทางที่ไม่ปลอดภัย ➡️ ช่องโหว่ลักษณะนี้เคยถูกใช้ในมัลแวร์และการโจมตีแบบ supply chain ➡️ Apache Fory เป็นเฟรมเวิร์กที่ใช้ในระบบ distributed และ AI pipeline หลายแห่ง ➡️ การลบ fallback serializer เป็นแนวทางที่ปลอดภัยที่สุดในการป้องกัน RCE https://securityonline.info/critical-rce-flaw-in-apache-forys-python-module-cve-2025-61622/
    SECURITYONLINE.INFO
    Critical RCE Flaw in Apache Fory’s Python Module (CVE-2025-61622)
    Apache Fory has a critical RCE vulnerability (CVE-2025-61622) in its pyfory module. An attacker can exploit an unguarded pickle fallback to execute arbitrary code.
    0 Comments 0 Shares 133 Views 0 Reviews
  • “Snapdragon Guardian: ระบบจัดการพีซีผ่านเครือข่ายเซลลูลาร์ — ควบคุมได้แม้เครื่องดับ อินเทล vPro ต้องมีหนาว”

    Qualcomm เปิดตัวเทคโนโลยีใหม่ในชื่อ “Snapdragon Guardian” ซึ่งเป็นแพลตฟอร์มจัดการและรักษาความปลอดภัยสำหรับพีซีที่ออกแบบมาเพื่อเป็นคู่แข่งโดยตรงกับ Intel vPro โดยความโดดเด่นของ Guardian คือความสามารถในการควบคุมอุปกรณ์ได้แม้ในขณะที่เครื่องปิดอยู่ ไม่เชื่อมต่อ Wi-Fi หรือแม้แต่บูตไม่ขึ้น — ทั้งหมดนี้เป็นไปได้ด้วยการฝังโมเด็ม 4G, 5G และ Wi-Fi 7 ไว้ในตัวชิปโดยตรง2

    Guardian จะเปิดตัวพร้อมกับ Snapdragon X2 Elite และ X2 Elite Extreme ซึ่งเป็นชิปโน้ตบุ๊กรุ่นใหม่ที่เน้นการประมวลผล AI และการเชื่อมต่อแบบ always-on โดยระบบนี้ผสานฮาร์ดแวร์ เฟิร์มแวร์ และบริการคลาวด์เข้าด้วยกัน ทำให้สามารถติดตาม, อัปเดต, ล็อก หรือแม้แต่ล้างข้อมูลในเครื่องได้จากระยะไกลผ่านแดชบอร์ดบนเว็บหรือแอปมือถือ2

    นอกจากการจัดการอุปกรณ์ในองค์กร Guardian ยังเหมาะกับผู้ใช้ทั่วไปที่ต้องการระบบป้องกันการโจรกรรมหรือการเข้าถึงโดยไม่ได้รับอนุญาต โดยสามารถตั้ง geofencing, ติดตามตำแหน่ง และดำเนินการแก้ไขจากระยะไกลได้ทันที

    อย่างไรก็ตาม ความสามารถในการเข้าถึงอุปกรณ์แม้ในขณะปิดเครื่องก็ทำให้เกิดคำถามด้านความเป็นส่วนตัวและการควบคุมว่า “ใคร” ควรมีสิทธิ์เข้าถึง และ “เมื่อไร” ควรอนุญาตให้ใช้งานฟีเจอร์เหล่านี้

    ข้อมูลสำคัญจากข่าว
    Snapdragon Guardian เป็นแพลตฟอร์มจัดการพีซีที่ทำงานได้แม้เครื่องปิดหรือไม่เชื่อมต่อ Wi-Fi
    ใช้โมเด็ม 4G, 5G และ Wi-Fi 7 ฝังในตัวชิปเพื่อเชื่อมต่อแบบ always-on
    ผสานฮาร์ดแวร์ เฟิร์มแวร์ และคลาวด์เพื่อจัดการอุปกรณ์แบบ out-of-band
    รองรับการติดตาม, ล็อก, ล้างข้อมูล และอัปเดตจากระยะไกล
    ใช้งานผ่านแดชบอร์ดบนเว็บและแอปมือถือ
    รองรับ geofencing และการติดตามตำแหน่งแบบเรียลไทม์
    ใช้งานได้ทั้งในองค์กรขนาดใหญ่, SMB และผู้ใช้ทั่วไป
    เปิดตัวพร้อมกับ Snapdragon X2 Elite และ Extreme ในปี 2026
    Qualcomm ระบุว่า Guardian เข้ากันได้กับระบบจัดการ IT ที่มีอยู่แล้ว

    ข้อมูลเสริมจากภายนอก
    Intel vPro ใช้การจัดการแบบ out-of-band ผ่าน LAN แต่ไม่รองรับ cellular
    อุปกรณ์ที่มี Guardian สามารถจัดการได้แม้ถูกขโมยหรืออยู่ต่างประเทศ
    92% ของการโจมตี ransomware เริ่มจากอุปกรณ์ที่ไม่ได้รับการจัดการ
    Qualcomm กำลังขยายตลาดจากมือถือไปสู่พีซี, รถยนต์ และอุปกรณ์ IoT
    Guardian อาจกลายเป็นมาตรฐานใหม่สำหรับการจัดการ endpoint ในยุค AI

    https://www.techradar.com/pro/security/qualcomm-has-a-rival-to-intels-popular-vpro-platform-management-system-called-guardian-and-it-can-even-work-without-wi-fi-but-i-dont-know-whether-it-is-such-a-good-thing
    📡 “Snapdragon Guardian: ระบบจัดการพีซีผ่านเครือข่ายเซลลูลาร์ — ควบคุมได้แม้เครื่องดับ อินเทล vPro ต้องมีหนาว” Qualcomm เปิดตัวเทคโนโลยีใหม่ในชื่อ “Snapdragon Guardian” ซึ่งเป็นแพลตฟอร์มจัดการและรักษาความปลอดภัยสำหรับพีซีที่ออกแบบมาเพื่อเป็นคู่แข่งโดยตรงกับ Intel vPro โดยความโดดเด่นของ Guardian คือความสามารถในการควบคุมอุปกรณ์ได้แม้ในขณะที่เครื่องปิดอยู่ ไม่เชื่อมต่อ Wi-Fi หรือแม้แต่บูตไม่ขึ้น — ทั้งหมดนี้เป็นไปได้ด้วยการฝังโมเด็ม 4G, 5G และ Wi-Fi 7 ไว้ในตัวชิปโดยตรง2 Guardian จะเปิดตัวพร้อมกับ Snapdragon X2 Elite และ X2 Elite Extreme ซึ่งเป็นชิปโน้ตบุ๊กรุ่นใหม่ที่เน้นการประมวลผล AI และการเชื่อมต่อแบบ always-on โดยระบบนี้ผสานฮาร์ดแวร์ เฟิร์มแวร์ และบริการคลาวด์เข้าด้วยกัน ทำให้สามารถติดตาม, อัปเดต, ล็อก หรือแม้แต่ล้างข้อมูลในเครื่องได้จากระยะไกลผ่านแดชบอร์ดบนเว็บหรือแอปมือถือ2 นอกจากการจัดการอุปกรณ์ในองค์กร Guardian ยังเหมาะกับผู้ใช้ทั่วไปที่ต้องการระบบป้องกันการโจรกรรมหรือการเข้าถึงโดยไม่ได้รับอนุญาต โดยสามารถตั้ง geofencing, ติดตามตำแหน่ง และดำเนินการแก้ไขจากระยะไกลได้ทันที อย่างไรก็ตาม ความสามารถในการเข้าถึงอุปกรณ์แม้ในขณะปิดเครื่องก็ทำให้เกิดคำถามด้านความเป็นส่วนตัวและการควบคุมว่า “ใคร” ควรมีสิทธิ์เข้าถึง และ “เมื่อไร” ควรอนุญาตให้ใช้งานฟีเจอร์เหล่านี้ ✅ ข้อมูลสำคัญจากข่าว ➡️ Snapdragon Guardian เป็นแพลตฟอร์มจัดการพีซีที่ทำงานได้แม้เครื่องปิดหรือไม่เชื่อมต่อ Wi-Fi ➡️ ใช้โมเด็ม 4G, 5G และ Wi-Fi 7 ฝังในตัวชิปเพื่อเชื่อมต่อแบบ always-on ➡️ ผสานฮาร์ดแวร์ เฟิร์มแวร์ และคลาวด์เพื่อจัดการอุปกรณ์แบบ out-of-band ➡️ รองรับการติดตาม, ล็อก, ล้างข้อมูล และอัปเดตจากระยะไกล ➡️ ใช้งานผ่านแดชบอร์ดบนเว็บและแอปมือถือ ➡️ รองรับ geofencing และการติดตามตำแหน่งแบบเรียลไทม์ ➡️ ใช้งานได้ทั้งในองค์กรขนาดใหญ่, SMB และผู้ใช้ทั่วไป ➡️ เปิดตัวพร้อมกับ Snapdragon X2 Elite และ Extreme ในปี 2026 ➡️ Qualcomm ระบุว่า Guardian เข้ากันได้กับระบบจัดการ IT ที่มีอยู่แล้ว ✅ ข้อมูลเสริมจากภายนอก ➡️ Intel vPro ใช้การจัดการแบบ out-of-band ผ่าน LAN แต่ไม่รองรับ cellular ➡️ อุปกรณ์ที่มี Guardian สามารถจัดการได้แม้ถูกขโมยหรืออยู่ต่างประเทศ ➡️ 92% ของการโจมตี ransomware เริ่มจากอุปกรณ์ที่ไม่ได้รับการจัดการ ➡️ Qualcomm กำลังขยายตลาดจากมือถือไปสู่พีซี, รถยนต์ และอุปกรณ์ IoT ➡️ Guardian อาจกลายเป็นมาตรฐานใหม่สำหรับการจัดการ endpoint ในยุค AI https://www.techradar.com/pro/security/qualcomm-has-a-rival-to-intels-popular-vpro-platform-management-system-called-guardian-and-it-can-even-work-without-wi-fi-but-i-dont-know-whether-it-is-such-a-good-thing
    0 Comments 0 Shares 181 Views 0 Reviews
  • “Ghost Shark: เรือดำน้ำไร้คนขับแห่งอนาคตของออสเตรเลีย — เมื่อ AI ใต้น้ำกลายเป็นอาวุธยุทธศาสตร์ระดับชาติ”

    กองทัพเรือออสเตรเลียได้เปิดตัวโครงการ Ghost Shark อย่างเป็นทางการในเดือนกันยายน 2025 โดยเป็นการลงทุนครั้งใหญ่กว่า 1.7 พันล้านดอลลาร์ออสเตรเลีย (ประมาณ 1.12 พันล้านดอลลาร์สหรัฐ) เพื่อจัดซื้อเรือดำน้ำไร้คนขับแบบ XL-AUV (Extra-Large Autonomous Undersea Vehicle) จากบริษัท Anduril Industries ซึ่งจะผลิตภายในประเทศโดย Anduril Australia ร่วมกับบริษัทในเครือกว่า 40 แห่ง

    Ghost Shark ถูกออกแบบมาเพื่อภารกิจด้านข่าวกรอง การลาดตระเวน และการโจมตีแบบลับ โดยมีความสามารถในการปฏิบัติการระยะไกลโดยไม่ต้องใช้ลูกเรือ และสามารถปล่อยจากชายฝั่งหรือเรือรบได้โดยตรง ตัวเรือยังสามารถขนส่งผ่านเครื่องบิน C-17A Globemaster III ได้ในตู้คอนเทนเนอร์มาตรฐาน ทำให้สามารถนำไปใช้งานได้ทั่วโลก

    แม้รายละเอียดทางเทคนิคจะยังถูกเก็บเป็นความลับ แต่มีการคาดการณ์ว่า Ghost Shark อาจสามารถติดตั้งตอร์ปิโด Mark 48 ซึ่งเป็นอาวุธหนักที่กองทัพเรือออสเตรเลียใช้อยู่ และอาจมีระบบ AI “Lattice” ที่ช่วยให้เรือสามารถควบคุมโดรนอื่น ๆ ได้เอง

    โครงการนี้เริ่มต้นจากการลงทุนพัฒนาเบื้องต้นราว 140 ล้านดอลลาร์ออสเตรเลีย และใช้เวลาเพียง 3 ปีจากแนวคิดสู่การผลิตจริง โดยมีการส่งมอบต้นแบบแล้ว 3 ลำ และเตรียมเข้าสู่การผลิตเต็มรูปแบบในปีหน้า

    Ghost Shark ไม่เพียงแต่จะเสริมกำลังเรือดำน้ำแบบมีลูกเรือเท่านั้น แต่ยังเป็นส่วนหนึ่งของยุทธศาสตร์ป้องกันประเทศที่เน้นการใช้เทคโนโลยีอัตโนมัติ เพื่อสร้างความได้เปรียบเชิงยุทธศาสตร์ในภูมิภาคอินโดแปซิฟิก และอาจกลายเป็นสินค้าส่งออกด้านความมั่นคงในอนาคต

    ข้อมูลสำคัญจากข่าว
    รัฐบาลออสเตรเลียลงทุน 1.7 พันล้านดอลลาร์ออสเตรเลียในโครงการ Ghost Shark
    Ghost Shark เป็นเรือดำน้ำไร้คนขับแบบ XL-AUV ที่พัฒนาโดย Anduril Industries
    ผลิตภายในประเทศโดย Anduril Australia ร่วมกับบริษัทในเครือกว่า 40 แห่ง
    เรือสามารถปล่อยจากชายฝั่งหรือเรือรบ และขนส่งผ่านเครื่องบิน C-17A ได้
    มีความสามารถด้านข่าวกรอง การลาดตระเวน และการโจมตีแบบลับ
    อาจติดตั้งตอร์ปิโด Mark 48 และใช้ระบบ AI “Lattice”
    ส่งมอบต้นแบบแล้ว 3 ลำ และเตรียมผลิตเต็มรูปแบบในปี 2026
    โครงการนี้สร้างงานใหม่กว่า 150 ตำแหน่ง และสนับสนุนงานเดิมอีก 120 ตำแหน่ง
    เป็นส่วนหนึ่งของยุทธศาสตร์ป้องกันประเทศตามแผน National Defence Strategy 2024

    ข้อมูลเสริมจากภายนอก
    XL-AUV เป็นเทคโนโลยีที่กำลังได้รับความสนใจจากหลายประเทศ เช่น สหรัฐฯ และญี่ปุ่น
    ระบบ AI ใต้น้ำช่วยให้เรือสามารถตัดสินใจได้เองในภารกิจที่ซับซ้อน
    การใช้เรือไร้คนขับช่วยลดความเสี่ยงต่อชีวิตทหารในภารกิจอันตราย
    Ghost Shark อาจกลายเป็นต้นแบบของการพัฒนาเรือดำน้ำอัตโนมัติในอนาคต
    การขนส่งผ่าน C-17A ทำให้สามารถ deploy ได้รวดเร็วในสถานการณ์ฉุกเฉิน

    https://www.slashgear.com/1975958/royal-australian-navy-ghost-shark-autonomous-submarine/
    🦈 “Ghost Shark: เรือดำน้ำไร้คนขับแห่งอนาคตของออสเตรเลีย — เมื่อ AI ใต้น้ำกลายเป็นอาวุธยุทธศาสตร์ระดับชาติ” กองทัพเรือออสเตรเลียได้เปิดตัวโครงการ Ghost Shark อย่างเป็นทางการในเดือนกันยายน 2025 โดยเป็นการลงทุนครั้งใหญ่กว่า 1.7 พันล้านดอลลาร์ออสเตรเลีย (ประมาณ 1.12 พันล้านดอลลาร์สหรัฐ) เพื่อจัดซื้อเรือดำน้ำไร้คนขับแบบ XL-AUV (Extra-Large Autonomous Undersea Vehicle) จากบริษัท Anduril Industries ซึ่งจะผลิตภายในประเทศโดย Anduril Australia ร่วมกับบริษัทในเครือกว่า 40 แห่ง Ghost Shark ถูกออกแบบมาเพื่อภารกิจด้านข่าวกรอง การลาดตระเวน และการโจมตีแบบลับ โดยมีความสามารถในการปฏิบัติการระยะไกลโดยไม่ต้องใช้ลูกเรือ และสามารถปล่อยจากชายฝั่งหรือเรือรบได้โดยตรง ตัวเรือยังสามารถขนส่งผ่านเครื่องบิน C-17A Globemaster III ได้ในตู้คอนเทนเนอร์มาตรฐาน ทำให้สามารถนำไปใช้งานได้ทั่วโลก แม้รายละเอียดทางเทคนิคจะยังถูกเก็บเป็นความลับ แต่มีการคาดการณ์ว่า Ghost Shark อาจสามารถติดตั้งตอร์ปิโด Mark 48 ซึ่งเป็นอาวุธหนักที่กองทัพเรือออสเตรเลียใช้อยู่ และอาจมีระบบ AI “Lattice” ที่ช่วยให้เรือสามารถควบคุมโดรนอื่น ๆ ได้เอง โครงการนี้เริ่มต้นจากการลงทุนพัฒนาเบื้องต้นราว 140 ล้านดอลลาร์ออสเตรเลีย และใช้เวลาเพียง 3 ปีจากแนวคิดสู่การผลิตจริง โดยมีการส่งมอบต้นแบบแล้ว 3 ลำ และเตรียมเข้าสู่การผลิตเต็มรูปแบบในปีหน้า Ghost Shark ไม่เพียงแต่จะเสริมกำลังเรือดำน้ำแบบมีลูกเรือเท่านั้น แต่ยังเป็นส่วนหนึ่งของยุทธศาสตร์ป้องกันประเทศที่เน้นการใช้เทคโนโลยีอัตโนมัติ เพื่อสร้างความได้เปรียบเชิงยุทธศาสตร์ในภูมิภาคอินโดแปซิฟิก และอาจกลายเป็นสินค้าส่งออกด้านความมั่นคงในอนาคต ✅ ข้อมูลสำคัญจากข่าว ➡️ รัฐบาลออสเตรเลียลงทุน 1.7 พันล้านดอลลาร์ออสเตรเลียในโครงการ Ghost Shark ➡️ Ghost Shark เป็นเรือดำน้ำไร้คนขับแบบ XL-AUV ที่พัฒนาโดย Anduril Industries ➡️ ผลิตภายในประเทศโดย Anduril Australia ร่วมกับบริษัทในเครือกว่า 40 แห่ง ➡️ เรือสามารถปล่อยจากชายฝั่งหรือเรือรบ และขนส่งผ่านเครื่องบิน C-17A ได้ ➡️ มีความสามารถด้านข่าวกรอง การลาดตระเวน และการโจมตีแบบลับ ➡️ อาจติดตั้งตอร์ปิโด Mark 48 และใช้ระบบ AI “Lattice” ➡️ ส่งมอบต้นแบบแล้ว 3 ลำ และเตรียมผลิตเต็มรูปแบบในปี 2026 ➡️ โครงการนี้สร้างงานใหม่กว่า 150 ตำแหน่ง และสนับสนุนงานเดิมอีก 120 ตำแหน่ง ➡️ เป็นส่วนหนึ่งของยุทธศาสตร์ป้องกันประเทศตามแผน National Defence Strategy 2024 ✅ ข้อมูลเสริมจากภายนอก ➡️ XL-AUV เป็นเทคโนโลยีที่กำลังได้รับความสนใจจากหลายประเทศ เช่น สหรัฐฯ และญี่ปุ่น ➡️ ระบบ AI ใต้น้ำช่วยให้เรือสามารถตัดสินใจได้เองในภารกิจที่ซับซ้อน ➡️ การใช้เรือไร้คนขับช่วยลดความเสี่ยงต่อชีวิตทหารในภารกิจอันตราย ➡️ Ghost Shark อาจกลายเป็นต้นแบบของการพัฒนาเรือดำน้ำอัตโนมัติในอนาคต ➡️ การขนส่งผ่าน C-17A ทำให้สามารถ deploy ได้รวดเร็วในสถานการณ์ฉุกเฉิน https://www.slashgear.com/1975958/royal-australian-navy-ghost-shark-autonomous-submarine/
    WWW.SLASHGEAR.COM
    The Royal Australian Navy Has A Billion-Dollar Ghost Shark Submarine Fleet On The Way - SlashGear
    The Australian government has signed a five-year contract with Anduril Industries worth $1.12 billion to build an undisclosed number of Ghost Shark XL-AUVs.
    0 Comments 0 Shares 202 Views 0 Reviews
  • “Flexxon เปิดตัว SSD ฝัง AI ป้องกันแรนซัมแวร์และการงัดแงะ — เมื่อความปลอดภัยเริ่มต้นที่ฮาร์ดแวร์”

    บริษัท Flexxon จากสิงคโปร์ได้เปิดตัว X-Phy SSD รุ่นใหม่ที่ฝังระบบปัญญาประดิษฐ์ไว้ในระดับเฟิร์มแวร์ เพื่อป้องกันภัยไซเบอร์ทั้งจากระยะไกลและการโจมตีทางกายภาพ โดย SSD รุ่นนี้ไม่ใช่แค่ที่เก็บข้อมูลธรรมดา แต่เป็น “แนวป้องกันสุดท้าย” สำหรับองค์กรที่ต้องการความปลอดภัยระดับสูง เช่น หน่วยงานรัฐบาล โรงงานอุตสาหกรรม และสถานพยาบาล

    X-Phy ใช้ AI Quantum Engine ที่ฝังอยู่ในตัวควบคุม SSD เพื่อเฝ้าระวังภัยแบบเรียลไทม์ เช่น การโจมตีด้วยแรนซัมแวร์ การโคลนข้อมูล การรบกวนจากคลื่นแม่เหล็กไฟฟ้า และแม้แต่การเปลี่ยนแปลงอุณหภูมิที่อาจบ่งบอกถึงการงัดแงะ หากตรวจพบสิ่งผิดปกติ SSD จะล็อกตัวเองทันที และแจ้งเตือนผู้ใช้ผ่านระบบ authentication หรือในกรณีร้ายแรงสามารถลบข้อมูลทั้งหมดเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

    X-Phy มีให้เลือก 3 รุ่น ได้แก่ Lite, Essential และ Premium โดยแต่ละรุ่นมีระดับการป้องกันที่แตกต่างกัน พร้อมระบบ subscription รายปี เริ่มต้นที่ $249 ไปจนถึง $489 ต่อปี แม้ความเร็วในการอ่าน/เขียนจะต่ำกว่ารุ่น NVMe ทั่วไป แต่จุดเด่นของมันคือ “ความปลอดภัยระดับฮาร์ดแวร์” ที่ไม่พึ่งพาซอฟต์แวร์ภายนอก

    ข้อมูลสำคัญจากข่าว
    Flexxon เปิดตัว SSD ฝัง AI รุ่น X-Phy เพื่อป้องกันภัยไซเบอร์ระดับฮาร์ดแวร์
    ใช้ AI Quantum Engine ฝังในเฟิร์มแวร์เพื่อเฝ้าระวังภัยแบบเรียลไทม์
    ตรวจจับแรนซัมแวร์ การโคลนข้อมูล การรบกวนคลื่นแม่เหล็ก และอุณหภูมิผิดปกติ
    หากพบภัยคุกคาม SSD จะล็อกตัวเองและแจ้งเตือนผู้ใช้ทันที
    มีระบบ authentication เพื่อปลดล็อก หรือสามารถลบข้อมูลอัตโนมัติในกรณีร้ายแรง
    มีให้เลือก 3 รุ่น: Lite ($249), Essential ($359), Premium ($489) ต่อปี
    ความเร็วอ่าน/เขียนสูงสุด 1,700MB/s และ 1,200MB/s ตามลำดับ
    เหมาะกับองค์กรที่ต้องการความปลอดภัยสูง เช่น รัฐบาล อุตสาหกรรม และการแพทย์
    มีการฝังเซ็นเซอร์ตรวจจับการงัดแงะและระบบลายเซ็นดิจิทัลในเฟิร์มแวร์

    ข้อมูลเสริมจากภายนอก
    แรนซัมแวร์ยังคงเป็นภัยไซเบอร์อันดับต้น ๆ ที่สร้างความเสียหายหลายพันล้านดอลลาร์ต่อปี
    SSD ทั่วไปไม่มีระบบป้องกันภัยในระดับเฟิร์มแวร์ ทำให้เสี่ยงต่อการโจมตีแบบลึก
    การฝัง AI ในระดับ low-level programming ช่วยลดการใช้หน่วยความจำและเพิ่มความเร็วในการตอบสนอง
    ระบบ “Zero Trust” ที่ไม่เชื่อถือใครโดยอัตโนมัติ กำลังกลายเป็นมาตรฐานใหม่ในโลกไซเบอร์
    องค์กรกว่า 77% ยังไม่มีแผนรับมือภัยไซเบอร์ที่ชัดเจน ทำให้การป้องกันระดับฮาร์ดแวร์มีความสำคัญมากขึ้น

    https://www.techradar.com/pro/this-secure-ssd-subscription-service-may-well-be-the-perfect-protection-against-physical-tampering-and-a-ransomware-attack-but-its-neither-cheap-nor-fast
    🛡️ “Flexxon เปิดตัว SSD ฝัง AI ป้องกันแรนซัมแวร์และการงัดแงะ — เมื่อความปลอดภัยเริ่มต้นที่ฮาร์ดแวร์” บริษัท Flexxon จากสิงคโปร์ได้เปิดตัว X-Phy SSD รุ่นใหม่ที่ฝังระบบปัญญาประดิษฐ์ไว้ในระดับเฟิร์มแวร์ เพื่อป้องกันภัยไซเบอร์ทั้งจากระยะไกลและการโจมตีทางกายภาพ โดย SSD รุ่นนี้ไม่ใช่แค่ที่เก็บข้อมูลธรรมดา แต่เป็น “แนวป้องกันสุดท้าย” สำหรับองค์กรที่ต้องการความปลอดภัยระดับสูง เช่น หน่วยงานรัฐบาล โรงงานอุตสาหกรรม และสถานพยาบาล X-Phy ใช้ AI Quantum Engine ที่ฝังอยู่ในตัวควบคุม SSD เพื่อเฝ้าระวังภัยแบบเรียลไทม์ เช่น การโจมตีด้วยแรนซัมแวร์ การโคลนข้อมูล การรบกวนจากคลื่นแม่เหล็กไฟฟ้า และแม้แต่การเปลี่ยนแปลงอุณหภูมิที่อาจบ่งบอกถึงการงัดแงะ หากตรวจพบสิ่งผิดปกติ SSD จะล็อกตัวเองทันที และแจ้งเตือนผู้ใช้ผ่านระบบ authentication หรือในกรณีร้ายแรงสามารถลบข้อมูลทั้งหมดเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต X-Phy มีให้เลือก 3 รุ่น ได้แก่ Lite, Essential และ Premium โดยแต่ละรุ่นมีระดับการป้องกันที่แตกต่างกัน พร้อมระบบ subscription รายปี เริ่มต้นที่ $249 ไปจนถึง $489 ต่อปี แม้ความเร็วในการอ่าน/เขียนจะต่ำกว่ารุ่น NVMe ทั่วไป แต่จุดเด่นของมันคือ “ความปลอดภัยระดับฮาร์ดแวร์” ที่ไม่พึ่งพาซอฟต์แวร์ภายนอก ✅ ข้อมูลสำคัญจากข่าว ➡️ Flexxon เปิดตัว SSD ฝัง AI รุ่น X-Phy เพื่อป้องกันภัยไซเบอร์ระดับฮาร์ดแวร์ ➡️ ใช้ AI Quantum Engine ฝังในเฟิร์มแวร์เพื่อเฝ้าระวังภัยแบบเรียลไทม์ ➡️ ตรวจจับแรนซัมแวร์ การโคลนข้อมูล การรบกวนคลื่นแม่เหล็ก และอุณหภูมิผิดปกติ ➡️ หากพบภัยคุกคาม SSD จะล็อกตัวเองและแจ้งเตือนผู้ใช้ทันที ➡️ มีระบบ authentication เพื่อปลดล็อก หรือสามารถลบข้อมูลอัตโนมัติในกรณีร้ายแรง ➡️ มีให้เลือก 3 รุ่น: Lite ($249), Essential ($359), Premium ($489) ต่อปี ➡️ ความเร็วอ่าน/เขียนสูงสุด 1,700MB/s และ 1,200MB/s ตามลำดับ ➡️ เหมาะกับองค์กรที่ต้องการความปลอดภัยสูง เช่น รัฐบาล อุตสาหกรรม และการแพทย์ ➡️ มีการฝังเซ็นเซอร์ตรวจจับการงัดแงะและระบบลายเซ็นดิจิทัลในเฟิร์มแวร์ ✅ ข้อมูลเสริมจากภายนอก ➡️ แรนซัมแวร์ยังคงเป็นภัยไซเบอร์อันดับต้น ๆ ที่สร้างความเสียหายหลายพันล้านดอลลาร์ต่อปี ➡️ SSD ทั่วไปไม่มีระบบป้องกันภัยในระดับเฟิร์มแวร์ ทำให้เสี่ยงต่อการโจมตีแบบลึก ➡️ การฝัง AI ในระดับ low-level programming ช่วยลดการใช้หน่วยความจำและเพิ่มความเร็วในการตอบสนอง ➡️ ระบบ “Zero Trust” ที่ไม่เชื่อถือใครโดยอัตโนมัติ กำลังกลายเป็นมาตรฐานใหม่ในโลกไซเบอร์ ➡️ องค์กรกว่า 77% ยังไม่มีแผนรับมือภัยไซเบอร์ที่ชัดเจน ทำให้การป้องกันระดับฮาร์ดแวร์มีความสำคัญมากขึ้น https://www.techradar.com/pro/this-secure-ssd-subscription-service-may-well-be-the-perfect-protection-against-physical-tampering-and-a-ransomware-attack-but-its-neither-cheap-nor-fast
    WWW.TECHRADAR.COM
    New AI powered SSD combines 1TB storage with ransomware and tamper protections
    X-Phy Guard Solution is available in Lite, Essential, or Premium subs
    0 Comments 0 Shares 173 Views 0 Reviews
  • “TradingView Premium ปลอมระบาดผ่าน Google Ads และ YouTube — แฝงโทรจันขโมยข้อมูลและควบคุมเครื่องเหยื่อ”

    Bitdefender Labs ได้เปิดเผยแคมเปญโฆษณาอันตรายที่กำลังระบาดหนักในปี 2025 โดยแฮกเกอร์ใช้ชื่อ “TradingView Premium” เป็นเหยื่อล่อผ่าน Google Ads และ YouTube เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ที่แฝงมัลแวร์โทรจันชื่อว่า Trojan.Agent.GOSL ซึ่งสามารถควบคุมเครื่องจากระยะไกล ขโมยรหัสผ่าน ข้อมูลส่วนตัว และกระเป๋าคริปโตได้ทันที2

    แคมเปญนี้เริ่มจากการยึดบัญชีโฆษณาของบริษัทดีไซน์ในนอร์เวย์ และช่อง YouTube ที่ได้รับเครื่องหมายยืนยัน (verified) จากนั้นแฮกเกอร์ลบเนื้อหาเดิมทั้งหมด แล้วรีแบรนด์ให้เหมือนช่องทางการของ TradingView ทั้งโลโก้ แบนเนอร์ และเพลย์ลิสต์ เพื่อสร้างความน่าเชื่อถือสูงสุด

    วิดีโอที่ใช้หลอกลวงจะถูกตั้งเป็น “unlisted” เพื่อหลบการตรวจสอบจากระบบของ YouTube และจะถูกโปรโมตผ่านโฆษณาเท่านั้น เช่นคลิปชื่อ “Free TradingView Premium – Secret Method They Don’t Want You to Know” ที่มียอดวิวทะลุ 182,000 ภายในไม่กี่วัน แม้จะไม่มีเนื้อหาจริงจาก TradingView เลย

    เมื่อเหยื่อคลิกดาวน์โหลดจากลิงก์ใต้คลิป จะได้ไฟล์ .exe ที่เป็นมัลแวร์เต็มรูปแบบ ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์ โปรแกรมเทรด และกระเป๋าคริปโต รวมถึงควบคุมเครื่องเพื่อขุดเหรียญโดยไม่ให้เจ้าของรู้ตัว

    ข้อมูลสำคัญจากข่าว
    แฮกเกอร์ใช้ชื่อ TradingView Premium หลอกผู้ใช้ผ่าน Google Ads และ YouTube
    ยึดบัญชีโฆษณาและช่อง YouTube ที่ได้รับเครื่องหมายยืนยัน แล้วรีแบรนด์ให้เหมือนของจริง
    ใช้วิดีโอแบบ unlisted เพื่อหลบการตรวจสอบจากระบบของ YouTube
    วิดีโอปลอมมีชื่อเช่น “Free TradingView Premium – Secret Method…” และมียอดวิวสูงผิดปกติ
    ลิงก์ใต้คลิปนำไปสู่ไฟล์มัลแวร์ Trojan.Agent.GOSL ที่สามารถควบคุมเครื่องเหยื่อได้
    มัลแวร์สามารถขโมยรหัสผ่าน ข้อมูลส่วนตัว และกระเป๋าคริปโตได้ทันที
    Bitdefender ติดตามแคมเปญนี้มานานกว่า 1 ปี และพบว่ามีการใช้โดเมนปลอมกว่า 500 แห่ง
    แคมเปญนี้เคยระบาดผ่าน Facebook Ads มาก่อน และขยายมาสู่ Google และ YouTube1

    ข้อมูลเสริมจากภายนอก
    TradingView Premium เป็นบริการวิเคราะห์กราฟเทรดที่มีค่าใช้จ่ายจริง ไม่แจกฟรี
    การใช้ช่อง YouTube ที่ได้รับเครื่องหมายยืนยันเป็นช่องทางหลอกลวงกำลังเพิ่มขึ้น
    วิดีโอแบบ unlisted มักใช้ในแคมเปญหลอกลวง เพราะไม่ถูกค้นเจอหรือรายงานง่าย
    Trojan.Agent.GOSL เป็นมัลแวร์ที่สามารถฝังตัวในระบบโดยไม่ทิ้งไฟล์ให้ตรวจจับ
    การขุดคริปโตแบบลับ ๆ ทำให้เครื่องช้า ร้อน และเสื่อมสภาพเร็วขึ้น

    คำเตือนและข้อจำกัด
    วิดีโอที่มีคำว่า “ฟรี” หรือ “วิธีลับ” มักเป็นกลลวงที่แฝงมัลแวร์
    ช่อง YouTube ที่ดูเหมือนของจริง อาจถูกยึดและใช้หลอกลวงโดยแฮกเกอร์
    การดาวน์โหลดไฟล์จากลิงก์ใต้คลิปที่ไม่ใช่ช่องทางทางการมีความเสี่ยงสูง
    Trojan.Agent.GOSL สามารถควบคุมเครื่องและขโมยข้อมูลโดยไม่ให้ผู้ใช้รู้ตัว
    การคลิกโฆษณาโดยไม่ตรวจสอบแหล่งที่มา อาจนำไปสู่การติดมัลแวร์ทันที

    https://hackread.com/tradingview-scam-expands-to-google-youtube/
    🛑 “TradingView Premium ปลอมระบาดผ่าน Google Ads และ YouTube — แฝงโทรจันขโมยข้อมูลและควบคุมเครื่องเหยื่อ” Bitdefender Labs ได้เปิดเผยแคมเปญโฆษณาอันตรายที่กำลังระบาดหนักในปี 2025 โดยแฮกเกอร์ใช้ชื่อ “TradingView Premium” เป็นเหยื่อล่อผ่าน Google Ads และ YouTube เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ที่แฝงมัลแวร์โทรจันชื่อว่า Trojan.Agent.GOSL ซึ่งสามารถควบคุมเครื่องจากระยะไกล ขโมยรหัสผ่าน ข้อมูลส่วนตัว และกระเป๋าคริปโตได้ทันที2 แคมเปญนี้เริ่มจากการยึดบัญชีโฆษณาของบริษัทดีไซน์ในนอร์เวย์ และช่อง YouTube ที่ได้รับเครื่องหมายยืนยัน (verified) จากนั้นแฮกเกอร์ลบเนื้อหาเดิมทั้งหมด แล้วรีแบรนด์ให้เหมือนช่องทางการของ TradingView ทั้งโลโก้ แบนเนอร์ และเพลย์ลิสต์ เพื่อสร้างความน่าเชื่อถือสูงสุด วิดีโอที่ใช้หลอกลวงจะถูกตั้งเป็น “unlisted” เพื่อหลบการตรวจสอบจากระบบของ YouTube และจะถูกโปรโมตผ่านโฆษณาเท่านั้น เช่นคลิปชื่อ “Free TradingView Premium – Secret Method They Don’t Want You to Know” ที่มียอดวิวทะลุ 182,000 ภายในไม่กี่วัน แม้จะไม่มีเนื้อหาจริงจาก TradingView เลย เมื่อเหยื่อคลิกดาวน์โหลดจากลิงก์ใต้คลิป จะได้ไฟล์ .exe ที่เป็นมัลแวร์เต็มรูปแบบ ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์ โปรแกรมเทรด และกระเป๋าคริปโต รวมถึงควบคุมเครื่องเพื่อขุดเหรียญโดยไม่ให้เจ้าของรู้ตัว ✅ ข้อมูลสำคัญจากข่าว ➡️ แฮกเกอร์ใช้ชื่อ TradingView Premium หลอกผู้ใช้ผ่าน Google Ads และ YouTube ➡️ ยึดบัญชีโฆษณาและช่อง YouTube ที่ได้รับเครื่องหมายยืนยัน แล้วรีแบรนด์ให้เหมือนของจริง ➡️ ใช้วิดีโอแบบ unlisted เพื่อหลบการตรวจสอบจากระบบของ YouTube ➡️ วิดีโอปลอมมีชื่อเช่น “Free TradingView Premium – Secret Method…” และมียอดวิวสูงผิดปกติ ➡️ ลิงก์ใต้คลิปนำไปสู่ไฟล์มัลแวร์ Trojan.Agent.GOSL ที่สามารถควบคุมเครื่องเหยื่อได้ ➡️ มัลแวร์สามารถขโมยรหัสผ่าน ข้อมูลส่วนตัว และกระเป๋าคริปโตได้ทันที ➡️ Bitdefender ติดตามแคมเปญนี้มานานกว่า 1 ปี และพบว่ามีการใช้โดเมนปลอมกว่า 500 แห่ง ➡️ แคมเปญนี้เคยระบาดผ่าน Facebook Ads มาก่อน และขยายมาสู่ Google และ YouTube1 ✅ ข้อมูลเสริมจากภายนอก ➡️ TradingView Premium เป็นบริการวิเคราะห์กราฟเทรดที่มีค่าใช้จ่ายจริง ไม่แจกฟรี ➡️ การใช้ช่อง YouTube ที่ได้รับเครื่องหมายยืนยันเป็นช่องทางหลอกลวงกำลังเพิ่มขึ้น ➡️ วิดีโอแบบ unlisted มักใช้ในแคมเปญหลอกลวง เพราะไม่ถูกค้นเจอหรือรายงานง่าย ➡️ Trojan.Agent.GOSL เป็นมัลแวร์ที่สามารถฝังตัวในระบบโดยไม่ทิ้งไฟล์ให้ตรวจจับ ➡️ การขุดคริปโตแบบลับ ๆ ทำให้เครื่องช้า ร้อน และเสื่อมสภาพเร็วขึ้น ‼️ คำเตือนและข้อจำกัด ⛔ วิดีโอที่มีคำว่า “ฟรี” หรือ “วิธีลับ” มักเป็นกลลวงที่แฝงมัลแวร์ ⛔ ช่อง YouTube ที่ดูเหมือนของจริง อาจถูกยึดและใช้หลอกลวงโดยแฮกเกอร์ ⛔ การดาวน์โหลดไฟล์จากลิงก์ใต้คลิปที่ไม่ใช่ช่องทางทางการมีความเสี่ยงสูง ⛔ Trojan.Agent.GOSL สามารถควบคุมเครื่องและขโมยข้อมูลโดยไม่ให้ผู้ใช้รู้ตัว ⛔ การคลิกโฆษณาโดยไม่ตรวจสอบแหล่งที่มา อาจนำไปสู่การติดมัลแวร์ทันที https://hackread.com/tradingview-scam-expands-to-google-youtube/
    HACKREAD.COM
    Google Ads Used to Spread Trojan Disguised as TradingView Premium
    Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
    0 Comments 0 Shares 205 Views 0 Reviews
  • “แฮกเกอร์ปลอมเป็นตำรวจยูเครน ส่งไฟล์ SVG หลอกลวง — เปิดทางขโมยข้อมูลและขุดคริปโตแบบไร้ร่องรอย”

    ในเดือนกันยายน 2025 นักวิจัยจาก FortiGuard Labs ได้เปิดโปงแคมเปญฟิชชิ่งระดับความรุนแรงสูง ที่แฮกเกอร์ใช้เทคนิคปลอมตัวเป็น “สำนักงานตำรวจแห่งชาติยูเครน” ส่งอีเมลหลอกลวงไปยังองค์กรต่าง ๆ ที่ใช้ระบบ Windows โดยมีเป้าหมายเพื่อฝังมัลแวร์สองตัวคือ Amatera Stealer และ PureMiner

    อีเมลปลอมเหล่านี้แนบไฟล์ SVG ซึ่งเป็นไฟล์ภาพแบบข้อความที่สามารถฝังโค้ดอันตรายได้ เมื่อเหยื่อเปิดไฟล์ จะเห็นหน้าจอปลอมที่แสดงข้อความว่า “กำลังโหลดเอกสาร…” จากนั้นระบบจะดาวน์โหลดไฟล์ ZIP ที่มีรหัสผ่านแสดงไว้เพื่อให้ดูน่าเชื่อถือ ภายใน ZIP มีไฟล์ CHM (Compiled HTML Help) ซึ่งเป็นตัวเปิดมัลแวร์ผ่านสคริปต์ CountLoader

    CountLoader จะเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเพื่อส่งข้อมูลระบบเบื้องต้น และโหลดมัลแวร์เข้าสู่หน่วยความจำโดยตรง ทำให้ตรวจจับได้ยาก เพราะไม่มีไฟล์ให้สแกนแบบปกติ

    มัลแวร์ตัวแรกคือ Amatera Stealer ซึ่งจะขโมยข้อมูลจากเบราว์เซอร์ (Chrome, Firefox), แอปแชต (Telegram, Discord), โปรแกรม FTP (FileZilla), Remote Access (AnyDesk), และกระเป๋าคริปโตยอดนิยม เช่น BitcoinCore, Exodus, Electrum โดยสามารถค้นหาไฟล์ลึกถึง 5 ชั้นในโฟลเดอร์

    อีกตัวคือ PureMiner ซึ่งจะเก็บข้อมูลฮาร์ดแวร์ เช่น การ์ดจอ แล้วใช้ทรัพยากรของเครื่องเหยื่อในการขุดคริปโตแบบลับ ๆ ทั้ง CPU และ GPU โดยไม่ให้เจ้าของเครื่องรู้ตัว

    การโจมตีนี้ถูกจัดอยู่ในระดับ “High Severity” เพราะสามารถควบคุมเครื่องจากระยะไกล ขโมยข้อมูล และใช้ทรัพยากรโดยไม่ได้รับอนุญาต

    ข้อมูลสำคัญจากข่าว
    แฮกเกอร์ปลอมเป็นตำรวจยูเครน ส่งอีเมลหลอกลวงพร้อมไฟล์ SVG
    ไฟล์ SVG ถูกใช้เป็นช่องทางฝังโค้ดอันตรายแบบ text-based
    เมื่อเปิดไฟล์ จะดาวน์โหลด ZIP ที่มีไฟล์ CHM เป็นตัวเปิดมัลแวร์
    ใช้ CountLoader เพื่อโหลดมัลแวร์เข้าสู่หน่วยความจำโดยตรง (fileless)
    Amatera Stealer ขโมยข้อมูลจากเบราว์เซอร์ แอปแชต โปรแกรม FTP และกระเป๋าคริปโต
    PureMiner ใช้ทรัพยากรเครื่องเหยื่อในการขุดคริปโตแบบลับ ๆ
    การโจมตีนี้มีความรุนแรงสูง เพราะรวมทั้งการขโมยข้อมูลและการใช้ทรัพยากร
    Fortinet พบว่าแคมเปญนี้ไม่ได้ระบุชัดว่าเป็นฝีมือของกลุ่มใด

    ข้อมูลเสริมจากภายนอก
    SVG เป็นไฟล์ภาพที่สามารถฝัง JavaScript และทำงานเหมือน HTML ได้
    การโจมตีแบบ fileless ทำให้มัลแวร์ไม่ทิ้งร่องรอยในระบบไฟล์
    Amatera Stealer เป็นเวอร์ชันใหม่ของ ACR Stealer ที่ถูกพัฒนาให้หลบการตรวจจับได้ดีขึ้น
    PureMiner ใช้เทคนิค DLL sideloading เพื่อหลบการตรวจสอบจากระบบป้องกัน
    การใช้ไฟล์ SVG ในแคมเปญฟิชชิ่งเพิ่มขึ้นกว่า 40% ในปี 2025

    https://hackread.com/fake-ukraine-police-notices-amatera-stealer-pureminer/
    🚨 “แฮกเกอร์ปลอมเป็นตำรวจยูเครน ส่งไฟล์ SVG หลอกลวง — เปิดทางขโมยข้อมูลและขุดคริปโตแบบไร้ร่องรอย” ในเดือนกันยายน 2025 นักวิจัยจาก FortiGuard Labs ได้เปิดโปงแคมเปญฟิชชิ่งระดับความรุนแรงสูง ที่แฮกเกอร์ใช้เทคนิคปลอมตัวเป็น “สำนักงานตำรวจแห่งชาติยูเครน” ส่งอีเมลหลอกลวงไปยังองค์กรต่าง ๆ ที่ใช้ระบบ Windows โดยมีเป้าหมายเพื่อฝังมัลแวร์สองตัวคือ Amatera Stealer และ PureMiner อีเมลปลอมเหล่านี้แนบไฟล์ SVG ซึ่งเป็นไฟล์ภาพแบบข้อความที่สามารถฝังโค้ดอันตรายได้ เมื่อเหยื่อเปิดไฟล์ จะเห็นหน้าจอปลอมที่แสดงข้อความว่า “กำลังโหลดเอกสาร…” จากนั้นระบบจะดาวน์โหลดไฟล์ ZIP ที่มีรหัสผ่านแสดงไว้เพื่อให้ดูน่าเชื่อถือ ภายใน ZIP มีไฟล์ CHM (Compiled HTML Help) ซึ่งเป็นตัวเปิดมัลแวร์ผ่านสคริปต์ CountLoader CountLoader จะเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเพื่อส่งข้อมูลระบบเบื้องต้น และโหลดมัลแวร์เข้าสู่หน่วยความจำโดยตรง ทำให้ตรวจจับได้ยาก เพราะไม่มีไฟล์ให้สแกนแบบปกติ มัลแวร์ตัวแรกคือ Amatera Stealer ซึ่งจะขโมยข้อมูลจากเบราว์เซอร์ (Chrome, Firefox), แอปแชต (Telegram, Discord), โปรแกรม FTP (FileZilla), Remote Access (AnyDesk), และกระเป๋าคริปโตยอดนิยม เช่น BitcoinCore, Exodus, Electrum โดยสามารถค้นหาไฟล์ลึกถึง 5 ชั้นในโฟลเดอร์ อีกตัวคือ PureMiner ซึ่งจะเก็บข้อมูลฮาร์ดแวร์ เช่น การ์ดจอ แล้วใช้ทรัพยากรของเครื่องเหยื่อในการขุดคริปโตแบบลับ ๆ ทั้ง CPU และ GPU โดยไม่ให้เจ้าของเครื่องรู้ตัว การโจมตีนี้ถูกจัดอยู่ในระดับ “High Severity” เพราะสามารถควบคุมเครื่องจากระยะไกล ขโมยข้อมูล และใช้ทรัพยากรโดยไม่ได้รับอนุญาต ✅ ข้อมูลสำคัญจากข่าว ➡️ แฮกเกอร์ปลอมเป็นตำรวจยูเครน ส่งอีเมลหลอกลวงพร้อมไฟล์ SVG ➡️ ไฟล์ SVG ถูกใช้เป็นช่องทางฝังโค้ดอันตรายแบบ text-based ➡️ เมื่อเปิดไฟล์ จะดาวน์โหลด ZIP ที่มีไฟล์ CHM เป็นตัวเปิดมัลแวร์ ➡️ ใช้ CountLoader เพื่อโหลดมัลแวร์เข้าสู่หน่วยความจำโดยตรง (fileless) ➡️ Amatera Stealer ขโมยข้อมูลจากเบราว์เซอร์ แอปแชต โปรแกรม FTP และกระเป๋าคริปโต ➡️ PureMiner ใช้ทรัพยากรเครื่องเหยื่อในการขุดคริปโตแบบลับ ๆ ➡️ การโจมตีนี้มีความรุนแรงสูง เพราะรวมทั้งการขโมยข้อมูลและการใช้ทรัพยากร ➡️ Fortinet พบว่าแคมเปญนี้ไม่ได้ระบุชัดว่าเป็นฝีมือของกลุ่มใด ✅ ข้อมูลเสริมจากภายนอก ➡️ SVG เป็นไฟล์ภาพที่สามารถฝัง JavaScript และทำงานเหมือน HTML ได้ ➡️ การโจมตีแบบ fileless ทำให้มัลแวร์ไม่ทิ้งร่องรอยในระบบไฟล์ ➡️ Amatera Stealer เป็นเวอร์ชันใหม่ของ ACR Stealer ที่ถูกพัฒนาให้หลบการตรวจจับได้ดีขึ้น ➡️ PureMiner ใช้เทคนิค DLL sideloading เพื่อหลบการตรวจสอบจากระบบป้องกัน ➡️ การใช้ไฟล์ SVG ในแคมเปญฟิชชิ่งเพิ่มขึ้นกว่า 40% ในปี 2025 https://hackread.com/fake-ukraine-police-notices-amatera-stealer-pureminer/
    HACKREAD.COM
    Fake Ukraine Police Notices Spread New Amatera Stealer and PureMiner
    Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
    0 Comments 0 Shares 216 Views 0 Reviews
  • “Supermicro เจอมัลแวร์ฝังลึกใน BMC — แฮกเกอร์สามารถควบคุมเซิร์ฟเวอร์ได้แบบลบไม่ออก แม้จะอัปเดตเฟิร์มแวร์แล้ว”

    นักวิจัยด้านความปลอดภัยจาก Binarly ได้เปิดเผยช่องโหว่ใหม่ใน Baseboard Management Controller (BMC) ของเมนบอร์ด Supermicro ซึ่งสามารถถูกโจมตีด้วยมัลแวร์ที่ “ลบไม่ออก” แม้จะมีการอัปเดตเฟิร์มแวร์แล้วก็ตาม โดยช่องโหว่นี้เกิดจากข้อบกพร่องในกระบวนการตรวจสอบความถูกต้องของเฟิร์มแวร์ที่อัปโหลดเข้าไปใน BMC

    BMC เป็นไมโครคอนโทรลเลอร์ที่ฝังอยู่ในเมนบอร์ดเซิร์ฟเวอร์ ทำหน้าที่ควบคุมระบบจากระยะไกลแม้เครื่องจะปิดอยู่ ซึ่งเป็นจุดที่แฮกเกอร์สามารถใช้เจาะระบบได้โดยไม่ต้องผ่าน CPU หรือ OS หลัก

    ช่องโหว่ที่ถูกค้นพบใหม่มีสองรายการ ได้แก่ CVE-2025-7937 และ CVE-2025-6198 โดย CVE-2025-7937 เป็นการ “ย้อนกลับ” ช่องโหว่เดิมที่เคยถูกแพตช์ไปแล้วในปี 2024 (CVE-2024-10237) ส่วน CVE-2025-6198 เป็นช่องโหว่ใหม่ที่ใช้เทคนิคต่างออกไป แต่ให้ผลลัพธ์คล้ายกัน คือสามารถฝังเฟิร์มแวร์อันตรายที่ผ่านการตรวจสอบได้อย่างแนบเนียน

    มัลแวร์ที่ฝังเข้าไปสามารถควบคุมทั้ง BMC และระบบปฏิบัติการหลักได้อย่างถาวร โดยไม่สามารถตรวจจับหรือกำจัดได้ง่าย ๆ เนื่องจากมันสามารถ “ผ่าน” ขั้นตอนการตรวจสอบลายเซ็นดิจิทัลได้อย่างสมบูรณ์

    Binarly แนะนำให้ผู้ผลิตและผู้ใช้งานเซิร์ฟเวอร์ใช้ระบบ Root of Trust (RoT) ที่มีการตรวจสอบจากฮาร์ดแวร์ และเพิ่มความเข้มงวดในการตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ เพื่อป้องกันการโจมตีในระดับลึกเช่นนี้

    ข้อมูลสำคัญจากข่าว
    พบช่องโหว่ใหม่ใน BMC ของเมนบอร์ด Supermicro ที่เปิดทางให้มัลแวร์ฝังตัวแบบลบไม่ออก
    ช่องโหว่เกิดจากข้อบกพร่องในกระบวนการตรวจสอบลายเซ็นดิจิทัลของเฟิร์มแวร์
    ช่องโหว่ CVE-2025-7937 เป็นการย้อนกลับช่องโหว่เดิมที่เคยถูกแพตช์
    ช่องโหว่ CVE-2025-6198 เป็นช่องโหว่ใหม่ที่ใช้เทคนิคต่างออกไป
    มัลแวร์สามารถควบคุมทั้ง BMC และระบบปฏิบัติการหลักได้อย่างถาวร
    เฟิร์มแวร์อันตรายสามารถผ่านการตรวจสอบลายเซ็นได้อย่างแนบเนียน
    Binarly แนะนำให้ใช้ Root of Trust ที่ตรวจสอบจากฮาร์ดแวร์
    ควรเพิ่มความเข้มงวดในการตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ก่อนอัปเดต

    ข้อมูลเสริมจากภายนอก
    BMC เป็นจุดสำคัญในการบริหารจัดการเซิร์ฟเวอร์จากระยะไกล
    การโจมตีผ่าน BMC สามารถหลบเลี่ยงการตรวจจับจากระบบปฏิบัติการหลักได้
    Root of Trust เป็นแนวทางที่ใช้ในระบบความปลอดภัยระดับสูง เช่น TPM และ Secure Boot
    ช่องโหว่ใน BMC มีแนวโน้มเพิ่มขึ้นตามการใช้งานเซิร์ฟเวอร์ในระบบ cloud และ edge
    การโจมตีระดับเฟิร์มแวร์มักใช้ในกลุ่ม APT ที่มีเป้าหมายเชิงยุทธศาสตร์

    https://www.techradar.com/pro/security/supermicro-motherboards-can-be-infected-with-unremovable-new-malware
    🛡️ “Supermicro เจอมัลแวร์ฝังลึกใน BMC — แฮกเกอร์สามารถควบคุมเซิร์ฟเวอร์ได้แบบลบไม่ออก แม้จะอัปเดตเฟิร์มแวร์แล้ว” นักวิจัยด้านความปลอดภัยจาก Binarly ได้เปิดเผยช่องโหว่ใหม่ใน Baseboard Management Controller (BMC) ของเมนบอร์ด Supermicro ซึ่งสามารถถูกโจมตีด้วยมัลแวร์ที่ “ลบไม่ออก” แม้จะมีการอัปเดตเฟิร์มแวร์แล้วก็ตาม โดยช่องโหว่นี้เกิดจากข้อบกพร่องในกระบวนการตรวจสอบความถูกต้องของเฟิร์มแวร์ที่อัปโหลดเข้าไปใน BMC BMC เป็นไมโครคอนโทรลเลอร์ที่ฝังอยู่ในเมนบอร์ดเซิร์ฟเวอร์ ทำหน้าที่ควบคุมระบบจากระยะไกลแม้เครื่องจะปิดอยู่ ซึ่งเป็นจุดที่แฮกเกอร์สามารถใช้เจาะระบบได้โดยไม่ต้องผ่าน CPU หรือ OS หลัก ช่องโหว่ที่ถูกค้นพบใหม่มีสองรายการ ได้แก่ CVE-2025-7937 และ CVE-2025-6198 โดย CVE-2025-7937 เป็นการ “ย้อนกลับ” ช่องโหว่เดิมที่เคยถูกแพตช์ไปแล้วในปี 2024 (CVE-2024-10237) ส่วน CVE-2025-6198 เป็นช่องโหว่ใหม่ที่ใช้เทคนิคต่างออกไป แต่ให้ผลลัพธ์คล้ายกัน คือสามารถฝังเฟิร์มแวร์อันตรายที่ผ่านการตรวจสอบได้อย่างแนบเนียน มัลแวร์ที่ฝังเข้าไปสามารถควบคุมทั้ง BMC และระบบปฏิบัติการหลักได้อย่างถาวร โดยไม่สามารถตรวจจับหรือกำจัดได้ง่าย ๆ เนื่องจากมันสามารถ “ผ่าน” ขั้นตอนการตรวจสอบลายเซ็นดิจิทัลได้อย่างสมบูรณ์ Binarly แนะนำให้ผู้ผลิตและผู้ใช้งานเซิร์ฟเวอร์ใช้ระบบ Root of Trust (RoT) ที่มีการตรวจสอบจากฮาร์ดแวร์ และเพิ่มความเข้มงวดในการตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ เพื่อป้องกันการโจมตีในระดับลึกเช่นนี้ ✅ ข้อมูลสำคัญจากข่าว ➡️ พบช่องโหว่ใหม่ใน BMC ของเมนบอร์ด Supermicro ที่เปิดทางให้มัลแวร์ฝังตัวแบบลบไม่ออก ➡️ ช่องโหว่เกิดจากข้อบกพร่องในกระบวนการตรวจสอบลายเซ็นดิจิทัลของเฟิร์มแวร์ ➡️ ช่องโหว่ CVE-2025-7937 เป็นการย้อนกลับช่องโหว่เดิมที่เคยถูกแพตช์ ➡️ ช่องโหว่ CVE-2025-6198 เป็นช่องโหว่ใหม่ที่ใช้เทคนิคต่างออกไป ➡️ มัลแวร์สามารถควบคุมทั้ง BMC และระบบปฏิบัติการหลักได้อย่างถาวร ➡️ เฟิร์มแวร์อันตรายสามารถผ่านการตรวจสอบลายเซ็นได้อย่างแนบเนียน ➡️ Binarly แนะนำให้ใช้ Root of Trust ที่ตรวจสอบจากฮาร์ดแวร์ ➡️ ควรเพิ่มความเข้มงวดในการตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ก่อนอัปเดต ✅ ข้อมูลเสริมจากภายนอก ➡️ BMC เป็นจุดสำคัญในการบริหารจัดการเซิร์ฟเวอร์จากระยะไกล ➡️ การโจมตีผ่าน BMC สามารถหลบเลี่ยงการตรวจจับจากระบบปฏิบัติการหลักได้ ➡️ Root of Trust เป็นแนวทางที่ใช้ในระบบความปลอดภัยระดับสูง เช่น TPM และ Secure Boot ➡️ ช่องโหว่ใน BMC มีแนวโน้มเพิ่มขึ้นตามการใช้งานเซิร์ฟเวอร์ในระบบ cloud และ edge ➡️ การโจมตีระดับเฟิร์มแวร์มักใช้ในกลุ่ม APT ที่มีเป้าหมายเชิงยุทธศาสตร์ https://www.techradar.com/pro/security/supermicro-motherboards-can-be-infected-with-unremovable-new-malware
    0 Comments 0 Shares 146 Views 0 Reviews
More Results