🛡️ “Oracle รีบออกแพตช์อุดช่องโหว่ Zero-Day หลังถูกโจมตีจริง — แฮกเกอร์ใช้ช่องโหว่ RCE ยึดระบบองค์กร” Oracle ต้องออกแพตช์ฉุกเฉินในต้นเดือนตุลาคม 2025 เพื่ออุดช่องโหว่ร้ายแรงในระบบ E-Business Suite หลังพบว่าถูกโจมตีจริงโดยกลุ่มแรนซัมแวร์ชื่อดังอย่าง Cl0p และ FIN11 ซึ่งใช้ช่องโหว่แบบ Zero-Day ที่ยังไม่มีใครรู้มาก่อนในการเจาะระบบขององค์กรต่าง ๆ ในสหรัฐฯ ช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-61882 โดยมีคะแนนความรุนแรงสูงถึง 9.8/10 และสามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการยืนยันตัวตนใด ๆ แฮกเกอร์สามารถเข้าถึงระบบผ่าน HTTP และยึดการควบคุม Oracle Concurrent Processing ได้ทันที การโจมตีเริ่มต้นจากการส่งอีเมลข่มขู่ไปยังผู้บริหารองค์กร โดยอ้างว่าขโมยข้อมูลสำคัญจากระบบ Oracle EBS ไปแล้ว ซึ่งตอนแรกยังไม่แน่ชัดว่าเป็นเรื่องจริงหรือไม่ แต่เมื่อ Oracle ออกแพตช์ฉุกเฉินและยืนยันว่ามีการโจมตีเกิดขึ้นจริง ก็ทำให้สถานการณ์ชัดเจนขึ้น กลุ่มแฮกเกอร์ใช้บัญชีอีเมลที่ถูกแฮกจำนวนมากในการส่งอีเมลข่มขู่ และมีหลักฐานเชื่อมโยงกับบัญชีที่เคยใช้โดย FIN11 รวมถึงมีการพบข้อมูลติดต่อที่เคยปรากฏบนเว็บไซต์ของ Cl0p ทำให้เชื่อได้ว่าทั้งสองกลุ่มอาจร่วมมือกันหรือแชร์ทรัพยากรในการโจมตีครั้งนี้ Oracle ได้เผยแพร่ Indicators of Compromise (IoCs) เพื่อให้ลูกค้าตรวจสอบว่าระบบของตนถูกเจาะหรือไม่ และเตือนว่าแม้จะติดตั้งแพตช์แล้ว ก็ยังควรตรวจสอบย้อนหลัง เพราะการโจมตีอาจเกิดขึ้นก่อนหน้านั้นแล้ว ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-61882 เป็น Zero-Day ที่ถูกใช้โจมตี Oracle E-Business Suite ➡️ ช่องโหว่นี้มีคะแนนความรุนแรง 9.8/10 และไม่ต้องยืนยันตัวตนในการโจมตี ➡️ แฮกเกอร์สามารถเข้าถึงระบบผ่าน HTTP และยึด Oracle Concurrent Processing ได้ ➡️ กลุ่ม Cl0p และ FIN11 ถูกระบุว่าอยู่เบื้องหลังการโจมตี ➡️ เริ่มจากการส่งอีเมลข่มขู่ผู้บริหารองค์กรในสหรัฐฯ ➡️ Oracle ออกแพตช์ฉุกเฉินและเผยแพร่ IoCs ให้ลูกค้าตรวจสอบระบบ ➡️ มีการใช้บัญชีอีเมลที่ถูกแฮกจำนวนมากในการส่งอีเมลข่มขู่ ➡️ พบข้อมูลติดต่อที่เคยอยู่บนเว็บไซต์ของ Cl0p ในอีเมลที่ส่งถึงเหยื่อ ➡️ Oracle แนะนำให้ตรวจสอบย้อนหลังแม้จะติดตั้งแพตช์แล้ว ✅ ข้อมูลเสริมจากภายนอก ➡️ Cl0p เคยใช้ช่องโหว่ Zero-Day ในการโจมตี MOVEit และ Fortra มาก่อน ➡️ FIN11 เป็นกลุ่มแฮกเกอร์ที่มีแรงจูงใจทางการเงินและมีประวัติการใช้แรนซัมแวร์ ➡️ ช่องโหว่ใน Oracle EBS เคยถูกใช้โจมตีในปี 2022 โดยกลุ่มไม่ทราบชื่อ ➡️ การโจมตีแบบ Zero-Day มักเกิดก่อนที่ผู้ผลิตจะรู้และออกแพตช์ ➡️ การใช้ XSLT ร่วมกับ JavaScript และ ScriptEngine เป็นเทคนิคที่ใช้ใน exploit ล่าสุด https://www.techradar.com/pro/security/oracle-forced-to-rush-out-patch-for-zero-day-exploited-in-attacks

🧠 “FinalSpark เปิดห้องแล็บในสวิตเซอร์แลนด์ พัฒนาคอมพิวเตอร์จากสมองมนุษย์จิ๋ว — เมื่อชีววิทยากลายเป็นฮาร์ดแวร์แห่งอนาคต” BBC ได้เปิดเผยรายงานพิเศษจากห้องแล็บของ FinalSpark บริษัทสตาร์ทอัพในสวิตเซอร์แลนด์ที่กำลังพัฒนา “biocomputer” หรือคอมพิวเตอร์ที่ใช้สมองมนุษย์ขนาดจิ๋วเป็นหน่วยประมวลผล โดยใช้เทคโนโลยีที่เรียกว่า “wetware” ซึ่งต่างจากฮาร์ดแวร์ทั่วไปตรงที่ใช้เซลล์ประสาทจริง ๆ ในการทำงาน นักวิจัยของ FinalSpark ได้สร้าง “organoids” หรือสมองจิ๋วจากเซลล์ผิวหนังที่ถูกเปลี่ยนเป็นเซลล์ต้นกำเนิด (stem cells) แล้วนำไปเพาะเลี้ยงให้กลายเป็นกลุ่มเซลล์ประสาทที่มีโครงสร้างคล้ายสมองมนุษย์ โดยวางไว้บนแผงอิเล็กโทรดที่สามารถส่งสัญญาณไฟฟ้าเข้าไป และตรวจจับการตอบสนองของเซลล์ได้แบบ EEG แม้จะยังอยู่ในช่วงเริ่มต้น แต่ระบบนี้สามารถตอบสนองต่อคำสั่งง่าย ๆ เช่นการกดปุ่มบนคีย์บอร์ด แล้วดูการตอบสนองของสมองจิ๋วผ่านกราฟไฟฟ้า ซึ่งบางครั้งมีการตอบสนองแบบ “ระเบิดพลัง” ก่อนที่เซลล์จะตายลงในเวลาไม่กี่วินาที นักวิจัยยืนยันว่า organoids เหล่านี้ไม่ใช่สมองที่มีจิตสำนึก แต่เป็นเพียงโครงสร้างเซลล์ที่ใช้ในการทดลอง โดยมีอายุการใช้งานประมาณ 4 เดือน และยังไม่สามารถเลียนแบบระบบหล่อเลี้ยงด้วยเลือดแบบสมองจริงได้ FinalSpark เปิดให้เข้าถึงระบบ bioprocessor แบบออนไลน์ตลอด 24 ชั่วโมง โดยคิดค่าบริการเริ่มต้นที่ $500 ต่อเดือน เพื่อให้นักวิจัยทั่วโลกสามารถทดลองและพัฒนาเทคโนโลยี biocomputing ได้จากระยะไกล ✅ ข้อมูลสำคัญจากข่าว ➡️ FinalSpark พัฒนาคอมพิวเตอร์จากสมองมนุษย์จิ๋วในห้องแล็บสวิตเซอร์แลนด์ ➡️ ใช้ organoids ที่สร้างจากเซลล์ผิวหนังเปลี่ยนเป็น stem cells แล้วเพาะเลี้ยงเป็นเซลล์ประสาท ➡️ วาง organoids บนแผงอิเล็กโทรดเพื่อส่งสัญญาณและตรวจจับการตอบสนอง ➡️ ระบบสามารถตอบสนองต่อคำสั่งง่าย ๆ เช่นการกดปุ่มบนคีย์บอร์ด ➡️ อายุการใช้งานของ organoids อยู่ที่ประมาณ 4 เดือน ➡️ FinalSpark เปิดให้เข้าถึง bioprocessor แบบออนไลน์ในราคาเริ่มต้น $500/เดือน ➡️ นักวิจัยสามารถทดลองผ่านระบบระยะไกลได้ตลอด 24 ชั่วโมง ➡️ นักวิทยาศาสตร์ยืนยันว่า organoids ไม่มีจิตสำนึกหรือความรู้สึก ✅ ข้อมูลเสริมจากภายนอก ➡️ Biocomputing เป็นแนวคิดที่ใช้ระบบชีวภาพแทนชิปซิลิคอนในการประมวลผล ➡️ สมองมนุษย์ใช้พลังงานเพียง 20 วัตต์ในการควบคุมเซลล์ประสาทกว่า 86 พันล้านเซลล์ ➡️ Bioprocessor ของ FinalSpark ใช้พลังงานน้อยกว่าคอมพิวเตอร์ทั่วไปถึงล้านเท่า ➡️ นักวิจัยจาก Johns Hopkins และ Imperial College ก็พัฒนา organoids เพื่อศึกษาการเรียนรู้ ➡️ ระบบ wetware อาจช่วยลดการใช้พลังงานของอุตสาหกรรม AI ที่กำลังเติบโตอย่างรวดเร็ว https://www.tomshardware.com/pc-components/cpus/swiss-lab-where-researchers-are-working-to-create-computers-powered-by-mini-human-brains-revealed-in-new-report-mini-brain-organoids-revealed-developers-say-we-shouldnt-be-scared-of-them

🔥 “ไฟไหม้ศูนย์ข้อมูล NIRS ทำลายระบบคลาวด์ G-Drive ของรัฐบาลเกาหลีใต้ — ข้อมูลข้าราชการกว่า 750,000 คนสูญหายถาวร” เมื่อวันที่ 27 กันยายน 2025 เกิดเหตุไฟไหม้ครั้งใหญ่ที่ศูนย์ข้อมูลของ National Information Resources Service (NIRS) ณ เมืองแทจอน ประเทศเกาหลีใต้ ซึ่งส่งผลให้ระบบคลาวด์ G-Drive ที่ใช้เก็บเอกสารงานของข้าราชการกว่า 750,000 คนถูกทำลายทั้งหมด โดยไม่มีการสำรองข้อมูลภายนอก ทำให้ข้อมูลสูญหายอย่างถาวร G-Drive เป็นระบบที่รัฐบาลเกาหลีใต้ใช้มาตั้งแต่ปี 2018 เพื่อให้ข้าราชการจัดเก็บเอกสารงานในคลาวด์แทนการเก็บไว้ในเครื่องคอมพิวเตอร์ส่วนตัว โดยให้พื้นที่เก็บข้อมูลประมาณ 30GB ต่อคน และมีการบังคับใช้ในหลายหน่วยงาน โดยเฉพาะกระทรวงบริหารบุคคลที่ได้รับผลกระทบหนักที่สุดจากเหตุการณ์นี้ ไฟไหม้ครั้งนี้ทำลายระบบสำคัญถึง 96 ระบบ รวมถึง G-Drive ซึ่งมีโครงสร้างแบบ “ความจุสูงแต่ประสิทธิภาพต่ำ” ทำให้ไม่สามารถสำรองข้อมูลภายนอกได้ และแม้จะมีการสำรองข้อมูลภายในศูนย์ข้อมูลเดียวกัน แต่ก็ถูกไฟเผาเสียหายทั้งหมด ขณะนี้หน่วยงานต่าง ๆ กำลังพยายามกู้คืนข้อมูลจากแหล่งอื่น เช่น ไฟล์ที่เก็บไว้ในเครื่องส่วนตัว อีเมล เอกสารทางราชการ และระบบ Onnara ซึ่งใช้เก็บเอกสารที่ผ่านการอนุมัติอย่างเป็นทางการ โดยหวังว่าจะสามารถกู้คืนข้อมูลบางส่วนได้เมื่อระบบ Onnara กลับมาใช้งานได้ เหตุการณ์นี้สร้างความเสียหายอย่างหนักต่อการดำเนินงานของภาครัฐ และจุดกระแสวิพากษ์วิจารณ์เรื่องการจัดการข้อมูลของรัฐบาลอย่างรุนแรง โดยเฉพาะการออกแบบระบบที่ไม่มีการสำรองข้อมูลภายนอกสำหรับระบบสำคัญเช่น G-Drive ✅ ข้อมูลสำคัญจากข่าว ➡️ เกิดไฟไหม้ที่ศูนย์ข้อมูล NIRS เมืองแทจอน เมื่อวันที่ 27 กันยายน 2025 ➡️ ระบบ G-Drive ถูกทำลายทั้งหมด ไม่มีการสำรองข้อมูลภายนอก ➡️ ข้อมูลของข้าราชการกว่า 750,000 คนสูญหายถาวร ➡️ G-Drive ให้พื้นที่เก็บข้อมูล 30GB ต่อคน และใช้แทนการเก็บในเครื่องส่วนตัว ➡️ กระทรวงบริหารบุคคลได้รับผลกระทบหนักที่สุด ➡️ ระบบสำคัญ 96 ระบบถูกทำลายจากเหตุไฟไหม้ ➡️ ข้อมูลบางส่วนอาจกู้คืนได้จากระบบ Onnara และไฟล์ในเครื่องส่วนตัว ➡️ ระบบ G-Drive มีโครงสร้างแบบความจุสูงแต่ประสิทธิภาพต่ำ ทำให้ไม่สามารถสำรองข้อมูลภายนอกได้ ✅ ข้อมูลเสริมจากภายนอก ➡️ G-Drive ถูกออกแบบมาเพื่อให้ข้าราชการทำงานจากระยะไกลและแชร์เอกสารได้สะดวก ➡️ ข้อมูลใน G-Drive มีขนาดรวมกว่า 858TB เทียบเท่ากระดาษ A4 กว่า 274.6 พันล้านแผ่น ➡️ เหตุไฟไหม้เกิดจากแบตเตอรี่ลิเธียมระเบิดระหว่างการเปลี่ยนในห้องเซิร์ฟเวอร์ ➡️ รัฐบาลเกาหลีใต้ตั้งศูนย์บัญชาการฟื้นฟูระบบที่เมืองแทกูเพื่อย้ายระบบที่เสียหาย ➡️ มีการฟื้นฟูระบบออนไลน์แล้ว 15.6% และตั้งบริการทดแทนสำหรับระบบที่ยังไม่ฟื้น https://koreajoongangdaily.joins.com/news/2025-10-01/national/socialAffairs/NIRS-fire-destroys-governments-cloud-storage-system-no-backups-available/2412936

🛠️ “QNAP อุดช่องโหว่ร้ายแรงใน NetBak Replicator และ Qsync Central — เสี่ยงรันโค้ดจากระยะไกลและ SQL Injection” QNAP ผู้ผลิตระบบ NAS ที่ได้รับความนิยมในองค์กรและผู้ใช้ทั่วไป ได้ออกประกาศด้านความปลอดภัยล่าสุดเมื่อเดือนตุลาคม 2025 โดยระบุว่ามีช่องโหว่ร้ายแรงหลายรายการในซอฟต์แวร์สองตัว ได้แก่ NetBak Replicator และ Qsync Central ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกล หรือโจมตีระบบผ่านช่องโหว่ SQL Injection ได้ ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2025-57714 ใน NetBak Replicator ซึ่งมีคะแนน CVSS สูงถึง 8.5 โดยเกิดจากการกำหนด path ที่ไม่ปลอดภัยใน Windows ทำให้ผู้โจมตีสามารถแทรกไฟล์ .exe อันตรายไว้ในตำแหน่งที่ระบบจะเรียกใช้โดยอัตโนมัติเมื่อเปิดโปรแกรม ส่งผลให้สามารถรันโค้ดโดยไม่ต้องมีสิทธิ์ระดับสูง ในส่วนของ Qsync Central ซึ่งเป็นเครื่องมือซิงก์ไฟล์ข้าม NAS หลายเครื่อง พบช่องโหว่รวม 5 รายการ ได้แก่: 🐛 การจัดสรรทรัพยากรโดยไม่มีการควบคุม (CVE-2025-44012) 🐛 NULL pointer dereference ที่อาจทำให้ระบบล่ม (CVE-2025-47210) 🐛 การใช้ทรัพยากรเกินขอบเขต (CVE-2025-52867) 🐛 ช่องโหว่ SQL Injection สองรายการ (CVE-2025-53595 และ CVE-2025-54153) ซึ่งมีคะแนน CVSS สูงถึง 8.6 และสามารถใช้รันโค้ดหรือขโมยข้อมูลได้ หากระบบเปิดให้เข้าถึงจากอินเทอร์เน็ต QNAP ได้ออกแพตช์แก้ไขแล้วใน NetBak Replicator เวอร์ชัน 4.5.15.0807 และ Qsync Central เวอร์ชัน 5.0.0.2 โดยแนะนำให้ผู้ใช้เข้าสู่ระบบ QTS หรือ QuTS hero แล้วอัปเดตผ่าน App Center ทันที พร้อมคำแนะนำเพิ่มเติมให้จำกัดสิทธิ์บัญชีผู้ใช้ และหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-57714 ใน NetBak Replicator มีคะแนน CVSS 8.5 ➡️ เกิดจาก path ที่ไม่ปลอดภัยใน Windows ทำให้สามารถรันไฟล์อันตรายได้ ➡️ ช่องโหว่ถูกแก้ไขในเวอร์ชัน 4.5.15.0807 ➡️ Qsync Central มีช่องโหว่รวม 5 รายการที่กระทบต่อความเสถียรและความปลอดภัย ➡️ ช่องโหว่ SQL Injection ใน Qsync Central มีคะแนน CVSS สูงถึง 8.6 ➡️ ช่องโหว่ทั้งหมดถูกแก้ไขในเวอร์ชัน 5.0.0.2 ➡️ QNAP แนะนำให้อัปเดตผ่าน App Center และตรวจสอบสิทธิ์บัญชีผู้ใช้ ➡️ คำแนะนำเพิ่มเติมคือหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก ✅ ข้อมูลเสริมจากภายนอก ➡️ NetBak Replicator เป็นเครื่องมือสำรองข้อมูลจาก Windows ไปยัง NAS ➡️ Qsync Central ใช้สำหรับซิงก์ไฟล์ข้ามอุปกรณ์ NAS หลายตัว ➡️ ช่องโหว่ SQL Injection เป็นหนึ่งในวิธีโจมตีที่ใช้กันมากที่สุดในระบบฐานข้อมูล ➡️ การจัดการ path ใน Windows ต้องระวังการใช้เครื่องหมายคำพูดเพื่อป้องกันการ hijack ➡️ CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่จาก 0–10 https://securityonline.info/qnap-fixes-high-severity-flaws-netbak-replicator-rce-and-sql-injection-in-qsync-central/

🔥 “Redis เจอช่องโหว่ร้ายแรง CVE-2025-49844 — แฮกเกอร์สามารถรันโค้ดจากระยะไกลผ่าน Lua Script ได้ทันที” Redis ฐานข้อมูลแบบ in-memory ที่นิยมใช้ทั่วโลกในงาน real-time analytics, caching และ message brokering กำลังเผชิญกับช่องโหว่ร้ายแรงระดับ CVSS 10.0 ที่ถูกระบุว่า CVE-2025-49844 โดยช่องโหว่นี้เกิดจากการจัดการหน่วยความจำผิดพลาดใน Lua scripting engine ซึ่งเป็นฟีเจอร์ที่นักพัฒนานิยมใช้เพื่อเพิ่มความสามารถให้ Redis ช่องโหว่นี้เปิดทางให้ผู้โจมตีที่มีสิทธิ์เข้าถึง Redis สามารถใช้ Lua script ที่ออกแบบมาเฉพาะ เพื่อควบคุม garbage collector และทำให้เกิด “use-after-free” ซึ่งหมายถึงการเรียกใช้หน่วยความจำที่ถูกปล่อยไปแล้ว ส่งผลให้สามารถรันโค้ดอันตรายภายใน Redis server ได้ทันที — อาจนำไปสู่การเข้าถึงข้อมูลทั้งหมดในระบบ และขยายการโจมตีไปยังเซิร์ฟเวอร์อื่นที่เชื่อมต่ออยู่ นอกจาก CVE-2025-49844 ยังมีช่องโหว่อื่นที่เกี่ยวข้องกับ Lua scripting ได้แก่ CVE-2025-46817 (integer overflow), CVE-2025-46818 (privilege escalation ระหว่างผู้ใช้), และ CVE-2025-46819 (out-of-bounds read) ซึ่งทั้งหมดสามารถนำไปสู่การรันโค้ดหรือทำให้ Redis crash ได้ Redis ได้ออกแพตช์แก้ไขในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2 พร้อมคำแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที หรือใช้วิธีชั่วคราวโดยการบล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน Access Control Lists (ACLs) ✅ ข้อมูลสำคัญจากข่าว ➡️ CVE-2025-49844 เป็นช่องโหว่ use-after-free ใน Lua scripting engine ของ Redis ➡️ ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้ หากมีสิทธิ์เข้าถึง Redis ➡️ ช่องโหว่นี้มีระดับความรุนแรง CVSS 10.0 ซึ่งถือว่าสูงสุด ➡️ Redis ได้ออกแพตช์ในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2 ➡️ ช่องโหว่อื่นที่เกี่ยวข้อง ได้แก่ CVE-2025-46817, CVE-2025-46818, CVE-2025-46819 ➡️ แนะนำให้บล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน ACLs ➡️ ช่องโหว่ทั้งหมดเกิดจากการจัดการหน่วยความจำและสิทธิ์ใน Lua scripting ➡️ Redis Cloud ได้รับการอัปเดตแล้วโดยไม่ต้องดำเนินการเพิ่มเติมจากผู้ใช้ ✅ ข้อมูลเสริมจากภายนอก ➡️ Lua scripting เป็นฟีเจอร์ที่ช่วยให้ Redis ทำงานแบบ custom logic ได้ ➡️ use-after-free เป็นเทคนิคที่นิยมใช้ในการโจมตีหน่วยความจำเพื่อรันโค้ด ➡️ Redis ถูกใช้ในระบบขนาดใหญ่ เช่น ธนาคาร, e-commerce และระบบ IoT ➡️ ACLs เป็นเครื่องมือที่ช่วยจำกัดสิทธิ์การใช้งานคำสั่งใน Redis ➡️ CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่ https://securityonline.info/critical-flaw-cve-2025-49844-cvss-10-0-allows-remote-code-execution-in-redis/

🛡️ “CVE-2025-27237 — ช่องโหว่ Zabbix Agent บน Windows เปิดทางให้ผู้ใช้สิทธิ์ต่ำยกระดับสิทธิ์ผ่าน DLL Injection” Zabbix ซึ่งเป็นระบบมอนิเตอร์ที่นิยมใช้ในองค์กรทั่วโลก กำลังเผชิญกับช่องโหว่ใหม่ที่ถูกระบุว่า CVE-2025-27237 โดยช่องโหว่นี้เกิดขึ้นใน Zabbix Agent และ Agent 2 บนระบบปฏิบัติการ Windows ซึ่งเปิดช่องให้ผู้ใช้ที่มีสิทธิ์ต่ำสามารถยกระดับสิทธิ์ได้ผ่านการโจมตีแบบ DLL Injection โดยอาศัยการแก้ไขไฟล์คอนฟิกของ OpenSSL ปัญหาหลักอยู่ที่ตำแหน่งของไฟล์คอนฟิก OpenSSL ซึ่งถูกโหลดจากไดเรกทอรีที่ผู้ใช้สิทธิ์ต่ำสามารถเขียนได้ หากผู้โจมตีสามารถเข้าถึงเครื่องในระดับ local ได้ ก็สามารถแก้ไขไฟล์คอนฟิกให้เรียกใช้ DLL ที่เป็นอันตราย เมื่อ Zabbix Agent หรือระบบรีสตาร์ต DLL นั้นจะถูกโหลดและรันโดยอัตโนมัติ ส่งผลให้เกิดการยกระดับสิทธิ์หรือสร้างความคงอยู่ในระบบ แม้ช่องโหว่นี้จะไม่สามารถโจมตีจากระยะไกลได้ แต่ถือเป็นโอกาสสำคัญสำหรับการโจมตีหลังจากระบบถูกบุกรุกแล้ว (post-exploitation) โดยเฉพาะในองค์กรที่ใช้ Zabbix Agent บน Windows อย่างแพร่หลาย Zabbix ได้ออกแพตช์แก้ไขในทุกเวอร์ชันที่ได้รับผลกระทบ โดยมีการปรับปรุงสิทธิ์ของไฟล์คอนฟิกให้ไม่สามารถเขียนได้โดยผู้ใช้ทั่วไป พร้อมแนะนำให้ผู้ดูแลระบบอัปเดตทันที และตรวจสอบสิทธิ์ของไฟล์ในระบบที่ใช้งานอยู่ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-27237 เกิดใน Zabbix Agent และ Agent 2 บน Windows ➡️ ผู้ใช้สิทธิ์ต่ำสามารถแก้ไขไฟล์คอนฟิก OpenSSL เพื่อเรียก DLL อันตราย ➡️ DLL จะถูกโหลดเมื่อ Zabbix Agent หรือระบบรีสตาร์ต ทำให้เกิด privilege escalation ➡️ ช่องโหว่นี้ไม่สามารถโจมตีจากระยะไกลได้ แต่ใช้ได้ใน post-exploitation ➡️ Zabbix ได้ออกแพตช์ในเวอร์ชัน 6.0.41, 7.0.18, 7.2.12 และ 7.4.2 ➡️ แพตช์มีการปรับสิทธิ์ไฟล์คอนฟิกให้ปลอดภัยจากการเขียนโดยผู้ใช้ทั่วไป ➡️ แนะนำให้ผู้ดูแลระบบอัปเดตทันทีและตรวจสอบสิทธิ์ไฟล์ในระบบ ✅ ข้อมูลเสริมจากภายนอก ➡️ DLL Injection เป็นเทคนิคที่นิยมใช้ในการโจมตีเพื่อยกระดับสิทธิ์หรือฝังมัลแวร์ ➡️ OpenSSL เป็นไลบรารีที่ใช้ในการเข้ารหัสข้อมูล ซึ่งมีความสำคัญต่อความปลอดภัย ➡️ ช่องโหว่แบบ local privilege escalation มักถูกใช้ร่วมกับช่องโหว่อื่นในการโจมตีแบบหลายขั้นตอน ➡️ การตั้งค่าความปลอดภัยของไฟล์คอนฟิกเป็นแนวทางพื้นฐานในการป้องกันการโจมตี ➡️ Zabbix เป็นระบบมอนิเตอร์ที่ใช้ในองค์กรขนาดใหญ่ เช่น ธนาคาร โรงงาน และศูนย์ข้อมูล https://securityonline.info/cve-2025-27237-zabbix-agent-flaw-allows-local-privilege-escalation-via-openssl-dll-injection/

ประธานาธิบดี วลาดิมีร์ ปูติน แห่งรัสเซียออกมาเตือนว่า หากสหรัฐฯ จัดหาขีปนาวุธโทมาฮอว์กให้ยูเครนใช้โจมตีเป้าหมายระยะไกลในรัสเซียจะส่งผลให้ความสัมพันธ์ระหว่างมอสโกกับวอชิงตัน "ถูกทำลาย" ลง . อ่านเพิ่มเติม..https://sondhitalk.com/detail/9680000095281 #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire

🌐 “ระบบอุตสาหกรรมกว่า 200,000 จุดเสี่ยงถูกแฮก — รายงานชี้ความประมาทและความสะดวกกลายเป็นภัยไซเบอร์ระดับชาติ” หลังจากหลายปีที่มีความพยายามลดความเสี่ยงด้านไซเบอร์ในระบบควบคุมอุตสาหกรรม (ICS/OT) รายงานล่าสุดจาก Bitsight กลับพบว่าแนวโน้มการเปิดเผยระบบต่ออินเทอร์เน็ตกลับมาเพิ่มขึ้นอีกครั้ง โดยในปี 2024 จำนวนอุปกรณ์ที่เข้าถึงได้จากสาธารณะเพิ่มขึ้นจาก 160,000 เป็น 180,000 จุด หรือเพิ่มขึ้น 12% และคาดว่าจะทะลุ 200,000 จุดภายในสิ้นปี 2025 ระบบเหล่านี้รวมถึงอุปกรณ์ควบคุมโรงงานน้ำ, ระบบอัตโนมัติในอาคาร, และเครื่องวัดระดับถังน้ำมันที่ไม่มีระบบยืนยันตัวตน ซึ่งหลายตัวมีช่องโหว่ระดับ CVSS 10.0 ที่สามารถถูกโจมตีได้ง่าย โดยมัลแวร์ใหม่อย่าง FrostyGoop และ Fuxnet ถูกออกแบบมาเพื่อเจาะระบบ ICS โดยเฉพาะ Pedro Umbelino นักวิจัยจาก Bitsight เตือนว่า “นี่ไม่ใช่แค่ความผิดพลาด — แต่มันคือความเสี่ยงเชิงระบบที่ไม่อาจให้อภัยได้” เพราะการเปิดระบบเหล่านี้ต่ออินเทอร์เน็ตมักเกิดจากความสะดวก เช่น การติดตั้งเร็ว, การเข้าถึงจากระยะไกล, หรือการเชื่อมต่อทุกอย่างไว้ในระบบเดียว โดยไม่ได้คำนึงถึงความปลอดภัย AI ก็มีบทบาททั้งด้านดีและร้าย — ฝั่งผู้ป้องกันใช้ machine learning เพื่อสแกนและตรวจจับความผิดปกติในระบบ แต่ฝั่งผู้โจมตีก็ใช้ LLM เพื่อสร้างมัลแวร์และหาช่องโหว่ได้เร็วขึ้น โดยไม่ต้องใช้ทรัพยากรสูง เช่น GPU farm อีกต่อไป รายงานแนะนำให้ผู้ดูแลระบบ ICS/OT ดำเนินการทันที เช่น ปิดการเข้าถึงจากสาธารณะ, กำหนดค่าเริ่มต้นของผู้ขายให้ปลอดภัยขึ้น, และร่วมมือกับผู้ให้บริการอินเทอร์เน็ตในการตรวจสอบอย่างต่อเนื่อง เพราะระบบเหล่านี้ไม่ได้แค่ควบคุมเครื่องจักร — แต่ควบคุม “ความไว้วางใจ” ของสังคม ✅ ข้อมูลสำคัญจากข่าว ➡️ จำนวนระบบ ICS/OT ที่เปิดเผยต่ออินเทอร์เน็ตเพิ่มขึ้น 12% ในปี 2024 ➡️ คาดว่าจะทะลุ 200,000 จุดภายในสิ้นปี 2025 หากไม่มีการแก้ไข ➡️ ระบบที่เสี่ยงรวมถึงอุปกรณ์ควบคุมโรงงานน้ำ, ระบบอัตโนมัติในอาคาร, และเครื่องวัดถังน้ำมัน ➡️ หลายระบบมีช่องโหว่ระดับ CVSS 10.0 ที่สามารถถูกโจมตีได้ง่าย ➡️ มัลแวร์ใหม่ เช่น FrostyGoop และ Fuxnet ถูกออกแบบมาเพื่อเจาะ ICS โดยเฉพาะ ➡️ AI ช่วยทั้งฝั่งป้องกันและโจมตี โดยลดต้นทุนการค้นหาช่องโหว่ ➡️ การเปิดเผยระบบมักเกิดจากความสะดวก เช่น การติดตั้งเร็วและการเข้าถึงจากระยะไกล ➡️ รายงานแนะนำให้ปิดการเข้าถึงสาธารณะและปรับค่าความปลอดภัยของผู้ขาย ➡️ ระบบ ICS/OT ควบคุมมากกว่าเครื่องจักร — มันควบคุมความไว้วางใจของสังคม ✅ ข้อมูลเสริมจากภายนอก ➡️ ICS (Industrial Control Systems) คือระบบที่ใช้ควบคุมกระบวนการในโรงงานและโครงสร้างพื้นฐาน ➡️ OT (Operational Technology) คือเทคโนโลยีที่ใช้ในการควบคุมและตรวจสอบอุปกรณ์ทางกายภาพ ➡️ CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่ ➡️ FrostyGoop ใช้โปรโตคอล Modbus TCP เพื่อควบคุมอุปกรณ์ ICS โดยตรง ➡️ ประเทศที่มีอัตราการเปิดเผยสูงสุดต่อจำนวนบริษัทคืออิตาลีและสเปน ส่วนสหรัฐฯ มีจำนวนรวมสูงสุด https://www.techradar.com/pro/security/unforgivable-exposure-more-than-200-000-industrial-systems-are-needlessly-exposed-to-the-web-and-hackers-and-theres-no-absolutely-excuse

🔐 “DrayTek เตือนช่องโหว่ร้ายแรงในเราเตอร์ Vigor — เสี่ยงถูกแฮกผ่าน WebUI หากไม่อัปเดตเฟิร์มแวร์” DrayTek ผู้ผลิตอุปกรณ์เครือข่ายชื่อดังจากไต้หวัน ได้ออกประกาศเตือนถึงช่องโหว่ความปลอดภัยร้ายแรงในเราเตอร์รุ่น Vigor ซึ่งนิยมใช้ในธุรกิจขนาดเล็กและระดับ prosumer โดยช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-10547 และเกิดจาก “ค่าตัวแปรที่ไม่ได้ถูกกำหนดค่าเริ่มต้น” ในเฟิร์มแวร์ DrayOS ที่ใช้ในอุปกรณ์เหล่านี้ ช่องโหว่นี้สามารถถูกโจมตีได้ผ่าน WebUI (Web User Interface) โดยผู้ไม่ประสงค์ดีสามารถส่งคำสั่ง HTTP หรือ HTTPS ที่ถูกปรับแต่งมาเฉพาะเพื่อทำให้เกิดการเสียหายของหน่วยความจำ หรือแม้แต่การรันโค้ดจากระยะไกล (Remote Code Execution - RCE) ซึ่งอาจนำไปสู่การควบคุมอุปกรณ์ทั้งหมด แม้ DrayTek จะระบุว่าช่องโหว่นี้จะเกิดขึ้นเฉพาะเมื่อเปิดใช้งาน WebUI หรือ SSL VPN จากภายนอก และมีการตั้งค่า ACL ที่ผิดพลาด แต่ก็เตือนว่าผู้โจมตีที่อยู่ในเครือข่ายภายในก็สามารถใช้ช่องโหว่นี้ได้เช่นกัน หาก WebUI ยังเปิดใช้งานอยู่ นักวิจัย Pierre-Yves Maes จาก ChapsVision ผู้ค้นพบช่องโหว่นี้ อธิบายว่าเป็นการใช้ค่าตัวแปรที่ไม่ได้กำหนดค่าใน stack ซึ่งสามารถนำไปสู่การเรียกใช้ฟังก์ชัน free() บนหน่วยความจำที่ไม่ได้รับอนุญาต — เทคนิคที่เรียกว่า “arbitrary free” ซึ่งสามารถนำไปสู่การรันโค้ดแปลกปลอมได้ DrayTek ได้ออกแพตช์เพื่อแก้ไขช่องโหว่นี้แล้ว และแนะนำให้ผู้ใช้ทุกคนอัปเดตเฟิร์มแวร์ทันที โดยเฉพาะผู้ที่เปิดใช้งาน WebUI หรือ VPN จากภายนอก ทั้งนี้ยังไม่มีรายงานว่าช่องโหว่นี้ถูกใช้โจมตีจริงในขณะนี้ แต่ด้วยความนิยมของ Vigor ในกลุ่ม SMB และ prosumer ทำให้มีความเสี่ยงสูงหากไม่รีบดำเนินการ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-10547 เกิดจากค่าตัวแปรที่ไม่ได้กำหนดค่าในเฟิร์มแวร์ DrayOS ➡️ ส่งผลให้เกิด memory corruption, system crash และอาจนำไปสู่ remote code execution ➡️ ช่องโหว่ถูกค้นพบโดย Pierre-Yves Maes จาก ChapsVision ➡️ การโจมตีสามารถทำได้ผ่าน WebUI ด้วยคำสั่ง HTTP/HTTPS ที่ปรับแต่ง ➡️ ส่งผลเฉพาะเมื่อเปิด WebUI หรือ SSL VPN จากภายนอก และ ACL ตั้งค่าผิด ➡️ ผู้โจมตีในเครือข่ายภายในก็สามารถใช้ช่องโหว่นี้ได้ หาก WebUI ยังเปิดอยู่ ➡️ DrayTek ได้ออกแพตช์แก้ไขแล้ว และแนะนำให้อัปเดตเฟิร์มแวร์ทันที ➡️ Vigor เป็นเราเตอร์ที่นิยมในกลุ่ม SMB และ prosumer ทำให้มีความเสี่ยงสูง ➡️ ยังไม่มีรายงานการโจมตีจริงในขณะนี้ แต่ควรดำเนินการเชิงป้องกัน ✅ ข้อมูลเสริมจากภายนอก ➡️ Remote Code Execution (RCE) เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะเปิดทางให้ควบคุมอุปกรณ์จากระยะไกล ➡️ ACL (Access Control List) คือระบบควบคุมสิทธิ์การเข้าถึง ซึ่งหากตั้งค่าผิดอาจเปิดช่องให้โจมตีได้ ➡️ WebUI เป็นอินเทอร์เฟซที่ใช้จัดการเราเตอร์ผ่านเว็บเบราว์เซอร์ ➡️ การโจมตีผ่าน WebUI มักใช้ในแคมเปญ botnet หรือการขโมยข้อมูล ➡️ SMB มักไม่มีระบบตรวจสอบความปลอดภัยที่เข้มงวด ทำให้ตกเป็นเป้าหมายบ่อย https://www.techradar.com/pro/security/draytek-warns-vigor-routers-may-have-serious-security-flaws-heres-what-we-know

📱💀 “Klopatra: มัลแวร์ Android ตัวใหม่ปลอมเป็นแอป VPN/IPTV — ขโมยเงินแม้ตอนหน้าจอดับ พร้อมหลบแอนตี้ไวรัสแบบเหนือชั้น” นักวิจัยจาก Cleafy ได้เปิดโปงมัลแวร์ Android ตัวใหม่ชื่อ “Klopatra” ซึ่งถูกสร้างขึ้นโดยกลุ่มแฮกเกอร์ที่พูดภาษาตุรกี และมีความสามารถเหนือกว่ามัลแวร์ทั่วไปอย่างชัดเจน โดย Klopatra ถูกปล่อยผ่านแอปปลอมชื่อ “Modpro IP TV + VPN” ที่ไม่ได้อยู่บน Google Play Store แต่ถูกแจกจ่ายผ่านเว็บไซต์อันตรายโดยตรง เมื่อผู้ใช้ติดตั้งแอปนี้ มัลแวร์จะขอสิทธิ์ Accessibility Services ซึ่งเปิดทางให้มันควบคุมเครื่องได้เต็มรูปแบบ เช่น อ่านหน้าจอ, จำลองการแตะ, ขโมยรหัสผ่าน, และแม้แต่ควบคุมอุปกรณ์ขณะหน้าจอดับผ่านโหมด VNC แบบ “หน้าจอดำ” ที่ผู้ใช้ไม่รู้ตัวเลยว่ามีการใช้งานอยู่ Klopatra ยังมีความสามารถในการตรวจสอบว่าเครื่องกำลังชาร์จหรือหน้าจอดับ เพื่อเลือกช่วงเวลาที่เหมาะสมในการโจมตีโดยไม่ให้ผู้ใช้สงสัย และสามารถจำลองการแตะ, ปัด, กดค้าง เพื่อทำธุรกรรมธนาคารหรือขโมยคริปโตได้แบบเรียลไทม์ เพื่อหลบเลี่ยงการตรวจจับ มัลแวร์ใช้เทคนิคขั้นสูง เช่น การเข้ารหัสด้วย NP Manager, การใช้ native libraries แทน Java/Kotlin, การฝัง Virbox ซึ่งเป็นระบบป้องกันโค้ดระดับเชิงพาณิชย์ และมีระบบตรวจจับ emulator, anti-debugging, และ integrity check เพื่อป้องกันนักวิจัยไม่ให้วิเคราะห์ได้ง่าย จนถึงตอนนี้ Klopatra ถูกพัฒนาไปแล้วกว่า 40 เวอร์ชันตั้งแต่มีการพบครั้งแรกในเดือนมีนาคม 2025 และมีผู้ติดเชื้อแล้วกว่า 3,000 รายในยุโรป โดยเฉพาะในสเปนและอิตาลี ซึ่งเป็นเป้าหมายหลักของแคมเปญนี้ ✅ ข้อมูลสำคัญจากข่าว ➡️ Klopatra เป็นมัลแวร์ Android ที่ปลอมตัวเป็นแอป IPTV และ VPN ➡️ แจกจ่ายผ่านเว็บไซต์อันตราย ไม่ใช่ Google Play Store ➡️ ขอสิทธิ์ Accessibility Services เพื่อควบคุมเครื่องแบบเต็มรูปแบบ ➡️ ใช้โหมด VNC แบบหน้าจอดำเพื่อควบคุมเครื่องขณะผู้ใช้ไม่รู้ตัว ➡️ ตรวจสอบสถานะการชาร์จและหน้าจอเพื่อเลือกเวลาที่เหมาะสมในการโจมตี ➡️ ใช้ Virbox, NP Manager, native libraries และเทคนิค anti-debugging เพื่อหลบเลี่ยงการตรวจจับ ➡️ ถูกพัฒนาไปแล้วกว่า 40 เวอร์ชันตั้งแต่เดือนมีนาคม 2025 ➡️ มีผู้ติดเชื้อแล้วกว่า 3,000 รายในยุโรป โดยเฉพาะในสเปนและอิตาลี ➡️ กลุ่มผู้พัฒนาเป็นแฮกเกอร์ที่พูดภาษาตุรกี และมีโครงสร้าง C2 ที่ซับซ้อน ✅ ข้อมูลเสริมจากภายนอก ➡️ Accessibility Services เป็นช่องทางที่มัลแวร์นิยมใช้เพื่อควบคุมอุปกรณ์ Android ➡️ Virbox เป็นระบบป้องกันโค้ดที่ใช้ในซอฟต์แวร์เชิงพาณิชย์ เช่น เกมหรือแอปที่ต้องการป้องกันการแครก ➡️ VNC (Virtual Network Computing) เป็นระบบควบคุมอุปกรณ์จากระยะไกลที่ใช้ในงาน IT แต่ถูกนำมาใช้ในมัลแวร์ ➡️ NP Manager เป็นเครื่องมือที่ใช้เข้ารหัส string เพื่อหลบเลี่ยงการวิเคราะห์โค้ด ➡️ การใช้ native libraries แทน Java/Kotlin ช่วยลดการตรวจจับจากระบบวิเคราะห์มัลแวร์อัตโนมัติ https://www.techradar.com/pro/security/this-dangerous-new-android-malware-disguises-itself-as-a-vpn-or-iptv-app-so-be-on-your-guard

🔓 “YoLink Smart Hub ราคาแค่ $20 แต่เปิดช่องให้แฮกเกอร์เข้าบ้านคุณ — ช่องโหว่ 4 จุดที่ยังไม่มีแพตช์” ใครจะคิดว่าอุปกรณ์ IoT ราคาประหยัดอย่าง YoLink Smart Hub รุ่น v0382 ที่ขายเพียง $20 จะกลายเป็นประตูหลังให้แฮกเกอร์เข้าถึงบ้านคุณได้โดยตรง ล่าสุดทีมวิจัยจาก Bishop Fox ได้เปิดเผยช่องโหว่ร้ายแรง 4 จุดในอุปกรณ์นี้ ซึ่งรวมถึงการควบคุมอุปกรณ์จากระยะไกล, การขโมยข้อมูล Wi-Fi, และการรักษาสิทธิ์เข้าถึงแบบไม่หมดอายุ YoLink Hub ทำหน้าที่เป็นศูนย์กลางควบคุมอุปกรณ์สมาร์ทในบ้าน เช่น ล็อกประตู เซ็นเซอร์ และปลั๊กไฟ โดยใช้ชิป ESP32 และสื่อสารผ่านโปรโตคอล MQTT ร่วมกับเทคโนโลยี LoRaWAN ซึ่งแม้จะดูทันสมัย แต่กลับมีช่องโหว่ที่เปิดให้ผู้โจมตีสามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้ หากรู้ device ID ซึ่งสามารถคาดเดาได้ง่าย ช่องโหว่แรกคือการ “ข้ามการตรวจสอบสิทธิ์” (CVE-2025-59449 และ CVE-2025-59452) ที่ทำให้แฮกเกอร์สามารถควบคุมอุปกรณ์ของผู้ใช้คนอื่นได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่ที่สองคือการส่งข้อมูลสำคัญ เช่น รหัส Wi-Fi แบบไม่เข้ารหัส (CVE-2025-59448) ผ่าน MQTT ทำให้ข้อมูลถูกดักจับได้ง่าย และช่องโหว่สุดท้ายคือการจัดการ session ที่ผิดพลาด (CVE-2025-59451) ซึ่งทำให้แฮกเกอร์สามารถรักษาการเข้าถึงอุปกรณ์ได้อย่างต่อเนื่อง ที่น่ากังวลคือ YoSmart ผู้ผลิตยังไม่ได้ออกแพตช์หรือคำแนะนำใด ๆ แม้จะได้รับรายงานช่องโหว่ล่วงหน้ากว่า 90 วัน ทำให้ผู้ใช้ต้องรับมือเอง โดย Bishop Fox แนะนำให้ถอดอุปกรณ์ออกจากระบบเครือข่ายบ้านทันที และหลีกเลี่ยงการใช้กับอุปกรณ์ที่ควบคุมการเข้าถึงทางกายภาพ เช่น ล็อกประตูหรือประตูโรงรถ ✅ ข้อมูลสำคัญจากข่าว ➡️ YoLink Smart Hub รุ่น v0382 มีช่องโหว่ร้ายแรง 4 จุดที่ยังไม่มีแพตช์ ➡️ ใช้ชิป ESP32 และสื่อสารผ่าน MQTT และ LoRaWAN ➡️ ช่องโหว่ CVE-2025-59449 และ CVE-2025-59452: ข้ามการตรวจสอบสิทธิ์ ➡️ ช่องโหว่ CVE-2025-59448: ส่งข้อมูลสำคัญแบบไม่เข้ารหัส ➡️ ช่องโหว่ CVE-2025-59451: การจัดการ session ที่ผิดพลาด ➡️ นักวิจัยสามารถควบคุมล็อกประตูของผู้ใช้คนอื่นได้จริง ➡️ Device ID สามารถคาดเดาได้ง่าย ทำให้การโจมตีเป็นไปได้จริง ➡️ YoSmart ยังไม่ตอบสนองต่อรายงานช่องโหว่ภายในกรอบเวลา 90 วัน ➡️ Bishop Fox แนะนำให้หยุดใช้งานอุปกรณ์ทันที ✅ ข้อมูลเสริมจากภายนอก ➡️ ESP32 เป็นชิปยอดนิยมในอุปกรณ์ IoT แต่ต้องมีการเสริมความปลอดภัย ➡️ MQTT เป็นโปรโตคอล lightweight ที่นิยมใช้ใน IoT แต่ต้องเข้ารหัสเพื่อความปลอดภัย ➡️ LoRaWAN เหมาะกับการสื่อสารระยะไกล แต่มีข้อจำกัดด้านความปลอดภัย ➡️ CVE (Common Vulnerabilities and Exposures) เป็นระบบจัดการช่องโหว่ที่ใช้ทั่วโลก ➡️ การจัดการ session ที่ดีต้องมีการหมดอายุและตรวจสอบสิทธิ์ซ้ำ https://hackread.com/20-yolink-iot-gateway-vulnerabilities-home-security/

🧨 “มัลแวร์ซ่อนใน ZIP ปลอม — แค่คลิกไฟล์ลัด ก็เปิดทางให้แฮกเกอร์ควบคุมเครื่องคุณ” Blackpoint Cyber ได้เปิดเผยแคมเปญฟิชชิ่งรูปแบบใหม่ที่ใช้ไฟล์ ZIP ปลอมเป็นเครื่องมือโจมตี โดยภายในไฟล์ ZIP จะมีไฟล์ลัด (.lnk) ที่ดูเหมือนเอกสารสำคัญ เช่น สแกนพาสปอร์ต, ใบรับรอง, หรือไฟล์การชำระเงิน ซึ่งออกแบบมาเพื่อหลอกผู้บริหารหรือพนักงานระดับสูงให้เปิดใช้งาน เมื่อเหยื่อคลิกไฟล์ลัดนั้น จะมีการเรียกใช้ PowerShell เบื้องหลังทันที โดยดาวน์โหลดไฟล์ DLL ที่ถูกปลอมชื่อให้ดูเหมือนไฟล์ PowerPoint จากเว็บไซต์ภายนอก จากนั้นใช้โปรแกรม rundll32.exe ซึ่งเป็นเครื่องมือใน Windows เองในการรันมัลแวร์ — เทคนิคนี้เรียกว่า “Living off the Land” เพราะใช้เครื่องมือที่มีอยู่ในระบบเพื่อหลบเลี่ยงการตรวจจับ มัลแวร์ยังมีความสามารถในการตรวจสอบว่ามีโปรแกรมแอนตี้ไวรัสอยู่หรือไม่ เช่น AVG, Avast หรือ Bitdefender โดยดูจาก process ที่กำลังทำงานอยู่ หากพบว่ามี AV ก็จะเลือก payload ที่เหมาะสมเพื่อหลบเลี่ยงการตรวจจับ เช่น BD3V.ppt หากมี AV หรือ NORVM.ppt หากไม่มี สุดท้าย มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อให้แฮกเกอร์สามารถควบคุมเครื่องจากระยะไกล, สอดแนมไฟล์, และส่งมัลแวร์เพิ่มเติมได้ในภายหลัง ✅ ข้อมูลสำคัญจากข่าว ➡️ มัลแวร์ถูกซ่อนไว้ในไฟล์ ZIP ที่ดูเหมือนเอกสารสำคัญ เช่น พาสปอร์ตหรือใบชำระเงิน ➡️ ภายใน ZIP มีไฟล์ลัด (.lnk) ที่เรียกใช้ PowerShell เพื่อดาวน์โหลด DLL ปลอม ➡️ DLL ถูกปลอมชื่อให้ดูเหมือนไฟล์ PowerPoint เพื่อหลอกผู้ใช้ ➡️ ใช้ rundll32.exe ซึ่งเป็นโปรแกรมใน Windows เองในการรันมัลแวร์ ➡️ เทคนิคนี้เรียกว่า “Living off the Land” เพื่อหลบเลี่ยงการตรวจจับ ➡️ มัลแวร์ตรวจสอบโปรแกรมแอนตี้ไวรัสก่อนเลือก payload ที่เหมาะสม ➡️ หากพบ AV จะใช้ BD3V.ppt หากไม่พบจะใช้ NORVM.ppt ➡️ เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อควบคุมเครื่องและส่ง payload เพิ่มเติม ✅ ข้อมูลเสริมจากภายนอก ➡️ rundll32.exe เป็นโปรแกรมที่ใช้เรียก DLL ใน Windows โดยปกติใช้ในงานระบบ ➡️ PowerShell เป็นเครื่องมือที่ทรงพลังใน Windows และมักถูกใช้ในมัลแวร์แบบ fileless ➡️ “Living off the Land” คือการใช้เครื่องมือในระบบเพื่อทำงานอันตรายโดยไม่ต้องติดตั้งอะไรเพิ่ม ➡️ .lnk file เป็น shortcut ที่สามารถตั้งค่าให้เรียกคำสั่งหรือโปรแกรมได้ทันที ➡️ การปลอมชื่อไฟล์ให้ดูเหมือนเอกสารทั่วไปเป็นเทคนิค social engineering ที่ใช้กันแพร่หลาย https://hackread.com/malicious-zip-files-windows-shortcuts-malware/

📡 “TOTOLINK X6000R เจอช่องโหว่ร้ายแรง! แฮกเกอร์เจาะระบบได้ทันทีโดยไม่ต้องล็อกอิน” นักวิจัยจาก Unit 42 ของ Palo Alto Networks เปิดเผยช่องโหว่ความปลอดภัยระดับ “วิกฤต” ในเราเตอร์ TOTOLINK X6000R ซึ่งใช้เฟิร์มแวร์เวอร์ชัน V9.4.0cu.1360_B20241207 โดยช่องโหว่นี้เปิดทางให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์จากระยะไกลได้โดยไม่ต้องยืนยันตัวตนเลย ช่องโหว่หลัก CVE-2025-52906 เกิดจากฟังก์ชัน setEasyMeshAgentCfg ที่ไม่ตรวจสอบค่าพารามิเตอร์ agentName อย่างเหมาะสม ทำให้แฮกเกอร์สามารถฝังคำสั่งระบบ (command injection) เข้าไปได้โดยตรง และรันด้วยสิทธิ์ root ซึ่งหมายความว่าแฮกเกอร์สามารถ: ⚠️ ดักฟังข้อมูลในเครือข่าย ⚠️ เจาะไปยังอุปกรณ์อื่นในเครือข่ายเดียวกัน ⚠️ ติดตั้งมัลแวร์แบบถาวรในเราเตอร์ นอกจากนี้ยังมีอีกสองช่องโหว่ที่ถูกค้นพบในเฟิร์มแวร์เดียวกัน ได้แก่: ⚠️ CVE-2025-52905: ช่องโหว่ argument injection ที่เกิดจากการกรอง input ไม่สมบูรณ์ โดยไม่กรองเครื่องหมาย “-” ทำให้สามารถโจมตีแบบ DoS ได้ ⚠️ CVE-2025-52907: ช่องโหว่ security bypass ที่เปิดทางให้เขียนไฟล์ระบบโดยไม่ต้องล็อกอิน เช่น แก้ไขไฟล์ /etc/passwd เพื่อสร้างผู้ใช้ใหม่ หรือเปลี่ยน boot script เพื่อฝังมัลแวร์ถาวร TOTOLINK ได้ออกแพตช์แก้ไขแล้วในเฟิร์มแวร์เวอร์ชัน V9.4.0cu.1498_B20250826 และแนะนำให้ผู้ใช้ทุกคนอัปเดตทันทีเพื่อป้องกันการถูกโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ TOTOLINK X6000R พบช่องโหว่ร้ายแรง 3 รายการในเฟิร์มแวร์ V9.4.0cu.1360_B20241207 ➡️ CVE-2025-52906 เป็นช่องโหว่ command injection ที่ไม่ต้องล็อกอินและรันคำสั่งด้วยสิทธิ์ root ➡️ ช่องโหว่นี้อยู่ในฟังก์ชัน setEasyMeshAgentCfg ที่ไม่ตรวจสอบ agentName ➡️ CVE-2025-52905 เป็น argument injection ที่เกิดจากการไม่กรองเครื่องหมาย “-” ➡️ CVE-2025-52907 เป็นช่องโหว่ security bypass ที่เปิดทางให้เขียนไฟล์ระบบโดยไม่ต้องล็อกอิน ➡️ TOTOLINK ออกแพตช์แก้ไขในเวอร์ชัน V9.4.0cu.1498_B20250826 ➡️ ผู้ใช้ควรอัปเดตเฟิร์มแวร์ทันทีเพื่อป้องกันการถูกโจมตี ✅ ข้อมูลเสริมจากภายนอก ➡️ Command injection เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะสามารถควบคุมระบบได้เต็มรูปแบบ ➡️ การเขียนไฟล์ระบบ เช่น /etc/passwd เป็นเทคนิคที่ใช้ในการสร้างผู้ใช้ปลอมเพื่อควบคุมอุปกรณ์ ➡️ การโจมตีแบบ DoS ผ่าน argument injection สามารถทำให้เราเตอร์ล่มหรือหยุดให้บริการ ➡️ TOTOLINK เป็นแบรนด์ที่มีการใช้งานแพร่หลายทั่วโลก โดยเฉพาะในกลุ่มผู้ใช้ตามบ้านและ SME ➡️ การอัปเดตเฟิร์มแวร์เป็นวิธีป้องกันที่มีประสิทธิภาพที่สุดสำหรับอุปกรณ์ IoT https://securityonline.info/critical-flaw-cve-2025-52906-cvss-9-3-allows-unauthenticated-rce-on-totolink-x6000r-routers/

🧠 “Detour Dog มัลแวร์ DNS สุดแสบ — ซ่อนคำสั่งใน TXT Record หลอกเว็บทั่วโลกให้กลายเป็นฐานโจมตี” Infoblox และ Shadowserver ร่วมกันเปิดโปงแคมเปญมัลแวร์ระดับโลกที่ใช้ชื่อว่า “Detour Dog” ซึ่งแฮกเกอร์เบื้องหลังได้ใช้เทคนิคใหม่ในการควบคุมเว็บไซต์ที่ติดมัลแวร์ผ่านระบบ DNS โดยเฉพาะการใช้ DNS TXT records เป็นช่องทางส่งคำสั่ง (Command and Control หรือ C2) แบบลับ ๆ ที่ไม่สามารถตรวจจับได้จากฝั่งผู้ใช้งานทั่วไป มัลแวร์นี้ฝังตัวอยู่ในเว็บไซต์หลายหมื่นแห่งทั่วโลก โดยเว็บไซต์เหล่านี้จะส่งคำขอ DNS จากฝั่งเซิร์ฟเวอร์ไปยัง name server ที่ควบคุมโดยแฮกเกอร์ ซึ่งจะตอบกลับด้วยคำสั่งที่ซ่อนอยู่ใน TXT record เช่น redirect ผู้ใช้ไปยังหน้าโฆษณาหลอกลวง หรือแม้แต่สั่งให้เว็บไซต์รันโค้ดจากเซิร์ฟเวอร์ระยะไกล ตั้งแต่กลางปี 2025 Detour Dog ได้พัฒนาให้สามารถติดตั้งมัลแวร์ backdoor ชื่อ StarFish ซึ่งใช้เป็นตัวนำ Strela Stealer เข้าสู่เครื่องของผู้ใช้ โดยพบว่า 69% ของเซิร์ฟเวอร์ที่ใช้ติดตั้ง StarFish อยู่ภายใต้การควบคุมของ Detour Dog ในเดือนสิงหาคม Shadowserver ได้ sinkhole โดเมนหลักของ Detour Dog (webdmonitor[.]io) และพบว่ามีการส่งคำขอ TXT มากกว่า 39 ล้านครั้งภายใน 48 ชั่วโมงจากเว็บไซต์ที่ติดมัลแวร์กว่า 30,000 แห่งใน 584 โดเมนระดับบน (TLD) โดยมี IP จากหน่วยงานสำคัญ เช่น กระทรวงกลาโหมสหรัฐฯ ปรากฏอยู่ในคำขอด้วย แม้จะถูกปิดโดเมนหลัก แต่ Detour Dog ก็สามารถตั้งโดเมนใหม่ (aeroarrows[.]io) ได้ภายในไม่กี่ชั่วโมง แสดงถึงความยืดหยุ่นและความเร็วในการฟื้นตัวของโครงสร้างมัลแวร์ Infoblox เตือนว่า DNS ซึ่งมักถูกมองข้ามในด้านความปลอดภัย กำลังกลายเป็นช่องทางใหม่ในการกระจายมัลแวร์ และแนะนำให้องค์กรตรวจสอบ DNS TXT record อย่างละเอียด รวมถึงติดตามโดเมน redirect ที่น่าสงสัย ✅ ข้อมูลสำคัญจากข่าว ➡️ Detour Dog ใช้ DNS TXT record เป็นช่องทางส่งคำสั่งควบคุมมัลแวร์ (C2) ➡️ เว็บไซต์ที่ติดมัลแวร์จะส่งคำขอ DNS จากฝั่งเซิร์ฟเวอร์ไปยัง name server ที่ควบคุมโดยแฮกเกอร์ ➡️ คำสั่งที่ส่งกลับมาอาจเป็น redirect หรือคำสั่งให้รันโค้ดจากเซิร์ฟเวอร์ระยะไกล ➡️ Detour Dog ใช้มัลแวร์ StarFish เป็นตัวนำ Strela Stealer เข้าสู่ระบบ ➡️ 69% ของเซิร์ฟเวอร์ที่ใช้ติดตั้ง StarFish อยู่ภายใต้การควบคุมของ Detour Dog ➡️ Shadowserver พบคำขอ TXT มากกว่า 39 ล้านครั้งใน 48 ชั่วโมงจาก 30,000 เว็บไซต์ ➡️ Detour Dog สามารถตั้งโดเมนใหม่ได้ภายในไม่กี่ชั่วโมงหลังถูกปิด ➡️ Infoblox เตือนให้องค์กรตรวจสอบ DNS TXT record และโดเมน redirect อย่างละเอียด ✅ ข้อมูลเสริมจากภายนอก ➡️ DNS TXT record เดิมใช้สำหรับเก็บข้อมูลเสริม เช่น SPF หรือ DKIM แต่ถูกนำมาใช้ส่งคำสั่งมัลแวร์ ➡️ Strela Stealer เป็นมัลแวร์ขโมยข้อมูลที่เน้นเจาะอีเมลและเบราว์เซอร์ ➡️ การ sinkhole คือการเปลี่ยนเส้นทางโดเมนมัลแวร์ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยนักวิจัยเพื่อเก็บข้อมูล ➡️ Passive DNS log ช่วยให้เห็นภาพรวมของการโจมตีและการกระจายคำสั่ง ➡️ Detour Dog อาจเป็นโครงสร้างบริการมัลแวร์ที่เปิดให้กลุ่มอื่นใช้งานร่วม https://securityonline.info/detour-dog-stealthy-dns-malware-uses-txt-records-for-command-and-control/

🔥 “Cisco ASA/FTD ถูกเจาะทะลุ — ช่องโหว่ RCE เปิดทางยึดไฟร์วอลล์กว่า 50,000 เครื่องทั่วโลก” Cisco และหน่วยงานด้านความปลอดภัยไซเบอร์ของสหรัฐฯ (CISA) ออกคำเตือนด่วนถึงผู้ใช้งานไฟร์วอลล์รุ่น Adaptive Security Appliance (ASA) และ Firewall Threat Defense (FTD) หลังพบช่องโหว่ร้ายแรงสองรายการที่ถูกใช้โจมตีจริงแล้วในโลกออนไลน์ ได้แก่ CVE-2025-20333 และ CVE-2025-20362 ช่องโหว่แรก (20333) เป็น buffer overflow ที่มีคะแนนความรุนแรงสูงถึง 9.9/10 ซึ่งเปิดทางให้แฮกเกอร์สามารถรันคำสั่งจากระยะไกลโดยไม่ต้องยืนยันตัวตน ส่วนช่องโหว่ที่สอง (20362) เป็นการขาดการตรวจสอบสิทธิ์ที่ทำให้ผู้โจมตีสามารถเข้าถึงระบบได้ง่ายขึ้น แม้จะมีคะแนนความรุนแรงต่ำกว่า (6.5/10) แต่เมื่อใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ได้เต็มรูปแบบ จากการตรวจสอบโดย Shadowserver พบว่ามีอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่องทั่วโลก โดยประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ (19,610 เครื่อง) ตามด้วยสหราชอาณาจักรและเยอรมนี Cisco ได้ออกแพตช์แก้ไขแล้ว และเน้นย้ำว่า “ไม่มีวิธีแก้ชั่วคราว” สำหรับช่องโหว่นี้ ผู้ใช้ต้องอัปเดตซอฟต์แวร์ทันทีเพื่อป้องกันการถูกโจมตี โดยเฉพาะองค์กรที่ใช้ VPN ผ่าน Web Interface ซึ่งเป็นจุดที่แฮกเกอร์ใช้โจมตีมากที่สุด CISA ได้ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลสหรัฐฯ ตรวจสอบและส่งไฟล์หน่วยความจำของอุปกรณ์ให้วิเคราะห์ภายใน 24 ชั่วโมง พร้อมแนะนำให้ทุกองค์กรทั้งภาครัฐและเอกชนดำเนินการตามแนวทางเดียวกัน ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-20333 และ CVE-2025-20362 ถูกใช้โจมตีจริงแล้วในโลกออนไลน์ ➡️ ช่องโหว่แรกเป็น buffer overflow (คะแนน 9.9/10) ส่วนช่องโหว่ที่สองเป็น missing authorization (คะแนน 6.5/10) ➡️ ใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ Cisco ASA/FTD ได้เต็มรูปแบบ ➡️ Shadowserver พบอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่อง ➡️ ประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ สหราชอาณาจักร และเยอรมนี ➡️ Cisco ออกแพตช์แล้ว และยืนยันว่าไม่มีวิธีแก้ชั่วคราว ต้องอัปเดตเท่านั้น ➡️ CISA ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลดำเนินการตรวจสอบทันที ➡️ ช่องโหว่ส่งผลต่อการใช้งาน VPN ผ่าน Web Interface เป็นหลัก https://www.techradar.com/pro/security/around-50-000-cisco-firewalls-are-vulnerable-to-attack-so-patch-now

🛡️ “Western Digital อุดช่องโหว่ร้ายแรงใน My Cloud NAS — เสี่ยงโดนยึดเครื่องเต็มรูปแบบผ่าน HTTP POST” Western Digital (WD) ได้ออกแพตช์อัปเดตความปลอดภัยครั้งสำคัญสำหรับอุปกรณ์ NAS ตระกูล My Cloud หลังพบช่องโหว่ระดับ “วิกฤต” ที่เปิดทางให้แฮกเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่นี้ถูกระบุด้วยรหัส CVE-2025-30247 และได้รับคะแนนความรุนแรง 9.3/10 ซึ่งถือว่าอยู่ในระดับสูงสุดของการประเมินความเสี่ยง ช่องโหว่นี้เกิดจากการ “OS command injection” ในส่วนของ user interface ของ My Cloud โดยผู้โจมตีสามารถส่ง HTTP POST request ที่ถูกปรับแต่งมาอย่างเฉพาะเจาะจงเพื่อสั่งให้ระบบรันคำสั่งในระดับระบบปฏิบัติการ ซึ่งหมายความว่าแฮกเกอร์สามารถเข้าถึงไฟล์ทั้งหมดในเครื่อง หรือใช้ NAS เป็นฐานโจมตีอุปกรณ์อื่นในเครือข่ายได้ทันที WD ได้ออกแพตช์เวอร์ชัน 5.31.108 เพื่อแก้ไขปัญหานี้ โดยแนะนำให้ผู้ใช้ตรวจสอบว่าอุปกรณ์ของตนได้รับการอัปเดตแล้วหรือยัง แม้ระบบจะตั้งค่าให้จัดการอัปเดตอัตโนมัติ แต่ WD ก็ยังเน้นให้ผู้ใช้ตรวจสอบด้วยตนเองเพื่อความมั่นใจ สำหรับอุปกรณ์ที่หมดอายุการสนับสนุน (end-of-life) เช่น My Cloud DL4100 และ DL2100 จะไม่ได้รับแพตช์นี้ ทำให้ผู้ใช้ต้องตัดสินใจว่าจะเปลี่ยนไปใช้รุ่นใหม่ หรือถอดอุปกรณ์ออกจากระบบออนไลน์เพื่อป้องกันการโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-30247 เป็น OS command injection ใน My Cloud NAS ➡️ ผู้โจมตีสามารถส่ง HTTP POST request เพื่อรันคำสั่งในระดับระบบปฏิบัติการ ➡️ ช่องโหว่นี้เปิดทางให้เกิด remote code execution (RCE) โดยไม่ต้องยืนยันตัวตน ➡️ WD ออกแพตช์เวอร์ชัน 5.31.108 เพื่อแก้ไขช่องโหว่นี้ ➡️ ระบบอัปเดตอัตโนมัติเปิดใช้งานโดยค่าเริ่มต้น แต่ WD แนะนำให้ตรวจสอบด้วยตนเอง ➡️ อุปกรณ์ที่ได้รับผลกระทบ ได้แก่ PR2100, PR4100, EX4100, EX2 Ultra, Mirror Gen 2, EX2100 และ WDBCTLxxxxxx-10 ➡️ อุปกรณ์ DL4100 และ DL2100 ไม่ได้รับการอัปเดต เพราะหมดอายุการสนับสนุน ➡️ WD แนะนำให้ผู้ใช้ถอดอุปกรณ์ออกจากระบบออนไลน์หากยังไม่ได้อัปเดต ✅ ข้อมูลเสริมจากภายนอก ➡️ ช่องโหว่ลักษณะนี้เคยเกิดขึ้นกับ WD ในปี 2023 และถูกใช้โจมตีจริงในบางกรณี ➡️ NAS เป็นอุปกรณ์ที่มักเปิดพอร์ตไว้เพื่อใช้งานจากระยะไกล ทำให้เป็นเป้าหมายง่ายสำหรับแฮกเกอร์ ➡️ การโจมตีแบบ RCE สามารถนำไปสู่การขโมยข้อมูล การติดตั้ง ransomware หรือการโจมตีเครือข่ายภายใน ➡️ WMI (Windows Management Instrumentation) เป็นเครื่องมือที่แฮกเกอร์นิยมใช้ในการควบคุมระบบ Windows จากระยะไกล ➡️ การอัปเดต firmware เป็นวิธีป้องกันที่มีประสิทธิภาพที่สุดสำหรับอุปกรณ์ IoT และ NAS https://www.techradar.com/pro/security/wd-patches-nas-security-flaw-which-could-have-allowed-full-takeover

“พล.อ.อ.เสกสรร” ประเดิมตำแหน่ง ผบ.ทอ.ตรวจเยี่ยมกองบิน 3 สระแก้ว เผย แม้ที่ผ่านมาได้รับคำชมจาก ผบ.ทบ. แต่ไม่ควรชะล่าใจ มองจากนี้อาจถูกโจมตีด้วยโดรนขนาดเล็ก-อาวุธระยะไกลยิงเข้าใส่ ลั่นจะทำให้ดีที่สุด ให้การรบร่วม 2 เหล่าทัพ 3 เหล่าทัพ ให้มีประสิทธิภาพสูงสุด อ่านต่อ..https://news1live.com/detail/9680000093782 #News1live #News1 #SondhiX #Sondhitalk #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire

🔐 “OpenSSL แพตช์ช่องโหว่ 3 รายการ — เสี่ยง RCE, Side-Channel และ Crash จาก IPv6 ‘no_proxy’” OpenSSL ซึ่งเป็นไลบรารีเข้ารหัสที่ใช้กันอย่างแพร่หลายทั่วโลก ได้ออกแพตช์อัปเดตเมื่อวันที่ 30 กันยายน 2025 เพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการที่ส่งผลกระทบต่อทุกเวอร์ชันหลัก ตั้งแต่ 1.0.2 ถึง 3.5 โดยมีระดับความรุนแรงตั้งแต่ Low ถึง Moderate แต่มีผลกระทบที่อาจร้ายแรงในบางบริบท ช่องโหว่แรก (CVE-2025-9230) เป็นการอ่านและเขียนข้อมูลนอกขอบเขต (Out-of-Bounds Read & Write) ในกระบวนการถอดรหัส CMS ที่ใช้การเข้ารหัสแบบรหัสผ่าน (PWRI) ซึ่งอาจนำไปสู่การ crash หรือแม้แต่การรันโค้ดจากผู้โจมตีได้ แม้โอกาสในการโจมตีจะต่ำ เพราะ CMS แบบ PWRI ใช้น้อยมากในโลกจริง แต่ช่องโหว่นี้ยังคงถูกจัดว่า “Moderate” และส่งผลต่อทุกเวอร์ชันหลักของ OpenSSL ช่องโหว่ที่สอง (CVE-2025-9231) เป็นการโจมตีแบบ Timing Side-Channel บนแพลตฟอร์ม ARM64 ที่ใช้ SM2 algorithm ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถวัดเวลาและกู้คืน private key ได้จากระยะไกลในบางกรณี โดยเฉพาะเมื่อมีการใช้ provider แบบ custom ที่รองรับ SM2 ช่องโหว่สุดท้าย (CVE-2025-9232) เป็นการอ่านข้อมูลนอกขอบเขตใน HTTP client API เมื่อมีการตั้งค่า no_proxy และใช้ URL ที่มี IPv6 ซึ่งอาจทำให้แอปพลิเคชัน crash ได้ แม้จะมีโอกาสโจมตีต่ำ แต่ก็ส่งผลต่อระบบที่ใช้ OCSP และ CMP ที่อิง HTTP client ของ OpenSSL OpenSSL ได้ออกแพตช์สำหรับเวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm โดยแนะนำให้ผู้ใช้ทุกคนอัปเดตทันทีเพื่อป้องกันความเสี่ยง แม้ FIPS module จะไม่ได้รับผลกระทบ แต่โค้ดที่อยู่ภายนอกยังคงเสี่ยงต่อการโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ OpenSSL ออกแพตช์แก้ไขช่องโหว่ 3 รายการเมื่อวันที่ 30 กันยายน 2025 ➡️ CVE-2025-9230: Out-of-Bounds Read & Write ในการถอดรหัส CMS แบบ PWRI ➡️ CVE-2025-9231: Timing Side-Channel ใน SM2 บน ARM64 อาจกู้คืน private key ได้ ➡️ CVE-2025-9232: Out-of-Bounds Read ใน HTTP client เมื่อใช้ no_proxy กับ IPv6 ➡️ ช่องโหว่ทั้งหมดส่งผลต่อเวอร์ชัน 1.0.2 ถึง 3.5 ของ OpenSSL ➡️ แพตช์ใหม่ได้แก่เวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm ➡️ FIPS module ไม่ได้รับผลกระทบ เพราะโค้ดที่มีช่องโหว่อยู่ภายนอก boundary ✅ ข้อมูลเสริมจากภายนอก ➡️ SM2 เป็นอัลกอริธึมเข้ารหัสที่ใช้ในประเทศจีน และไม่เป็นมาตรฐาน TLS ทั่วไป ➡️ Timing Side-Channel เป็นเทคนิคที่ใช้วัดเวลาการประมวลผลเพื่อกู้ข้อมูลลับ ➡️ CMS (Cryptographic Message Syntax) ใช้ในระบบอีเมลและเอกสารที่เข้ารหัส ➡️ no_proxy เป็น environment variable ที่ใช้ควบคุมการ bypass proxy ใน HTTP client ➡️ OCSP และ CMP เป็นโปรโตคอลที่ใช้ตรวจสอบใบรับรองดิจิทัลในระบบ PKI https://securityonline.info/openssl-patches-three-flaws-timing-side-channel-rce-risk-and-memory-corruption-affect-all-versions/

🐍 “ช่องโหว่ RCE ร้ายแรงใน Apache Fory’s Python Module — เมื่อการ deserialize กลายเป็นประตูหลังให้แฮกเกอร์” Apache Fory ซึ่งเป็นเฟรมเวิร์ก serialization แบบ multi-language ที่เน้นประสิทธิภาพสูง ได้เปิดเผยช่องโหว่ร้ายแรงในโมดูล Python ที่ชื่อว่า “pyfory” โดยช่องโหว่นี้ถูกระบุในรหัส CVE-2025-61622 และมีระดับความรุนแรง “Critical” ด้วยคะแนน CVSS สูงสุดถึง 9.8 ช่องโหว่นี้เกิดจากการใช้ fallback serializer ที่เรียกว่า “pickle” ซึ่งเป็นกลไกใน Python สำหรับการแปลงข้อมูลให้สามารถจัดเก็บและส่งต่อได้ แต่หากนำไปใช้กับข้อมูลที่ไม่ได้รับการตรวจสอบหรือมาจากแหล่งที่ไม่เชื่อถือ ก็สามารถเปิดช่องให้แฮกเกอร์ส่งข้อมูลที่ถูกออกแบบมาเพื่อเรียกใช้ pickle.loads() ซึ่งจะนำไปสู่การรันโค้ดอันตรายจากระยะไกล (Remote Code Execution) ช่องโหว่นี้ส่งผลกระทบต่อ pyfory ตั้งแต่เวอร์ชัน 0.5.0 ถึง 0.12.2 โดยเฉพาะในแอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองหรือป้องกันอย่างเหมาะสม ทีม Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 ซึ่งได้ลบ fallback pickle serializer ออกไปโดยสิ้นเชิง เพื่อปิดช่องทางการโจมตีนี้ และแนะนำให้ผู้ใช้อัปเดตทันทีโดยไม่มีวิธีแก้ไขชั่วคราว (workaround) ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-61622 เป็น Remote Code Execution (RCE) ในโมดูล pyfory ของ Apache Fory ➡️ เกิดจากการใช้ fallback serializer แบบ pickle โดยไม่มีการป้องกัน ➡️ ผู้โจมตีสามารถส่งข้อมูลที่บังคับให้ระบบใช้ pickle.loads() ซึ่งเปิดทางให้รันโค้ดอันตราย ➡️ ส่งผลกระทบต่อเวอร์ชัน 0.5.0 ถึง 0.12.2 ของ pyfory ➡️ แอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองจะเสี่ยงสูง ➡️ Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 โดยลบ pickle fallback ออกไป ➡️ ไม่มี workaround ชั่วคราว ต้องอัปเดตแพตช์ทันที ✅ ข้อมูลเสริมจากภายนอก ➡️ pickle ใน Python เป็นเครื่องมือ serialization ที่ทรงพลังแต่มีความเสี่ยงสูง ➡️ การใช้ pickle กับข้อมูลที่ไม่ได้รับการตรวจสอบถือเป็นแนวทางที่ไม่ปลอดภัย ➡️ ช่องโหว่ลักษณะนี้เคยถูกใช้ในมัลแวร์และการโจมตีแบบ supply chain ➡️ Apache Fory เป็นเฟรมเวิร์กที่ใช้ในระบบ distributed และ AI pipeline หลายแห่ง ➡️ การลบ fallback serializer เป็นแนวทางที่ปลอดภัยที่สุดในการป้องกัน RCE https://securityonline.info/critical-rce-flaw-in-apache-forys-python-module-cve-2025-61622/

📡 “Snapdragon Guardian: ระบบจัดการพีซีผ่านเครือข่ายเซลลูลาร์ — ควบคุมได้แม้เครื่องดับ อินเทล vPro ต้องมีหนาว” Qualcomm เปิดตัวเทคโนโลยีใหม่ในชื่อ “Snapdragon Guardian” ซึ่งเป็นแพลตฟอร์มจัดการและรักษาความปลอดภัยสำหรับพีซีที่ออกแบบมาเพื่อเป็นคู่แข่งโดยตรงกับ Intel vPro โดยความโดดเด่นของ Guardian คือความสามารถในการควบคุมอุปกรณ์ได้แม้ในขณะที่เครื่องปิดอยู่ ไม่เชื่อมต่อ Wi-Fi หรือแม้แต่บูตไม่ขึ้น — ทั้งหมดนี้เป็นไปได้ด้วยการฝังโมเด็ม 4G, 5G และ Wi-Fi 7 ไว้ในตัวชิปโดยตรง2 Guardian จะเปิดตัวพร้อมกับ Snapdragon X2 Elite และ X2 Elite Extreme ซึ่งเป็นชิปโน้ตบุ๊กรุ่นใหม่ที่เน้นการประมวลผล AI และการเชื่อมต่อแบบ always-on โดยระบบนี้ผสานฮาร์ดแวร์ เฟิร์มแวร์ และบริการคลาวด์เข้าด้วยกัน ทำให้สามารถติดตาม, อัปเดต, ล็อก หรือแม้แต่ล้างข้อมูลในเครื่องได้จากระยะไกลผ่านแดชบอร์ดบนเว็บหรือแอปมือถือ2 นอกจากการจัดการอุปกรณ์ในองค์กร Guardian ยังเหมาะกับผู้ใช้ทั่วไปที่ต้องการระบบป้องกันการโจรกรรมหรือการเข้าถึงโดยไม่ได้รับอนุญาต โดยสามารถตั้ง geofencing, ติดตามตำแหน่ง และดำเนินการแก้ไขจากระยะไกลได้ทันที อย่างไรก็ตาม ความสามารถในการเข้าถึงอุปกรณ์แม้ในขณะปิดเครื่องก็ทำให้เกิดคำถามด้านความเป็นส่วนตัวและการควบคุมว่า “ใคร” ควรมีสิทธิ์เข้าถึง และ “เมื่อไร” ควรอนุญาตให้ใช้งานฟีเจอร์เหล่านี้ ✅ ข้อมูลสำคัญจากข่าว ➡️ Snapdragon Guardian เป็นแพลตฟอร์มจัดการพีซีที่ทำงานได้แม้เครื่องปิดหรือไม่เชื่อมต่อ Wi-Fi ➡️ ใช้โมเด็ม 4G, 5G และ Wi-Fi 7 ฝังในตัวชิปเพื่อเชื่อมต่อแบบ always-on ➡️ ผสานฮาร์ดแวร์ เฟิร์มแวร์ และคลาวด์เพื่อจัดการอุปกรณ์แบบ out-of-band ➡️ รองรับการติดตาม, ล็อก, ล้างข้อมูล และอัปเดตจากระยะไกล ➡️ ใช้งานผ่านแดชบอร์ดบนเว็บและแอปมือถือ ➡️ รองรับ geofencing และการติดตามตำแหน่งแบบเรียลไทม์ ➡️ ใช้งานได้ทั้งในองค์กรขนาดใหญ่, SMB และผู้ใช้ทั่วไป ➡️ เปิดตัวพร้อมกับ Snapdragon X2 Elite และ Extreme ในปี 2026 ➡️ Qualcomm ระบุว่า Guardian เข้ากันได้กับระบบจัดการ IT ที่มีอยู่แล้ว ✅ ข้อมูลเสริมจากภายนอก ➡️ Intel vPro ใช้การจัดการแบบ out-of-band ผ่าน LAN แต่ไม่รองรับ cellular ➡️ อุปกรณ์ที่มี Guardian สามารถจัดการได้แม้ถูกขโมยหรืออยู่ต่างประเทศ ➡️ 92% ของการโจมตี ransomware เริ่มจากอุปกรณ์ที่ไม่ได้รับการจัดการ ➡️ Qualcomm กำลังขยายตลาดจากมือถือไปสู่พีซี, รถยนต์ และอุปกรณ์ IoT ➡️ Guardian อาจกลายเป็นมาตรฐานใหม่สำหรับการจัดการ endpoint ในยุค AI https://www.techradar.com/pro/security/qualcomm-has-a-rival-to-intels-popular-vpro-platform-management-system-called-guardian-and-it-can-even-work-without-wi-fi-but-i-dont-know-whether-it-is-such-a-good-thing

🦈 “Ghost Shark: เรือดำน้ำไร้คนขับแห่งอนาคตของออสเตรเลีย — เมื่อ AI ใต้น้ำกลายเป็นอาวุธยุทธศาสตร์ระดับชาติ” กองทัพเรือออสเตรเลียได้เปิดตัวโครงการ Ghost Shark อย่างเป็นทางการในเดือนกันยายน 2025 โดยเป็นการลงทุนครั้งใหญ่กว่า 1.7 พันล้านดอลลาร์ออสเตรเลีย (ประมาณ 1.12 พันล้านดอลลาร์สหรัฐ) เพื่อจัดซื้อเรือดำน้ำไร้คนขับแบบ XL-AUV (Extra-Large Autonomous Undersea Vehicle) จากบริษัท Anduril Industries ซึ่งจะผลิตภายในประเทศโดย Anduril Australia ร่วมกับบริษัทในเครือกว่า 40 แห่ง Ghost Shark ถูกออกแบบมาเพื่อภารกิจด้านข่าวกรอง การลาดตระเวน และการโจมตีแบบลับ โดยมีความสามารถในการปฏิบัติการระยะไกลโดยไม่ต้องใช้ลูกเรือ และสามารถปล่อยจากชายฝั่งหรือเรือรบได้โดยตรง ตัวเรือยังสามารถขนส่งผ่านเครื่องบิน C-17A Globemaster III ได้ในตู้คอนเทนเนอร์มาตรฐาน ทำให้สามารถนำไปใช้งานได้ทั่วโลก แม้รายละเอียดทางเทคนิคจะยังถูกเก็บเป็นความลับ แต่มีการคาดการณ์ว่า Ghost Shark อาจสามารถติดตั้งตอร์ปิโด Mark 48 ซึ่งเป็นอาวุธหนักที่กองทัพเรือออสเตรเลียใช้อยู่ และอาจมีระบบ AI “Lattice” ที่ช่วยให้เรือสามารถควบคุมโดรนอื่น ๆ ได้เอง โครงการนี้เริ่มต้นจากการลงทุนพัฒนาเบื้องต้นราว 140 ล้านดอลลาร์ออสเตรเลีย และใช้เวลาเพียง 3 ปีจากแนวคิดสู่การผลิตจริง โดยมีการส่งมอบต้นแบบแล้ว 3 ลำ และเตรียมเข้าสู่การผลิตเต็มรูปแบบในปีหน้า Ghost Shark ไม่เพียงแต่จะเสริมกำลังเรือดำน้ำแบบมีลูกเรือเท่านั้น แต่ยังเป็นส่วนหนึ่งของยุทธศาสตร์ป้องกันประเทศที่เน้นการใช้เทคโนโลยีอัตโนมัติ เพื่อสร้างความได้เปรียบเชิงยุทธศาสตร์ในภูมิภาคอินโดแปซิฟิก และอาจกลายเป็นสินค้าส่งออกด้านความมั่นคงในอนาคต ✅ ข้อมูลสำคัญจากข่าว ➡️ รัฐบาลออสเตรเลียลงทุน 1.7 พันล้านดอลลาร์ออสเตรเลียในโครงการ Ghost Shark ➡️ Ghost Shark เป็นเรือดำน้ำไร้คนขับแบบ XL-AUV ที่พัฒนาโดย Anduril Industries ➡️ ผลิตภายในประเทศโดย Anduril Australia ร่วมกับบริษัทในเครือกว่า 40 แห่ง ➡️ เรือสามารถปล่อยจากชายฝั่งหรือเรือรบ และขนส่งผ่านเครื่องบิน C-17A ได้ ➡️ มีความสามารถด้านข่าวกรอง การลาดตระเวน และการโจมตีแบบลับ ➡️ อาจติดตั้งตอร์ปิโด Mark 48 และใช้ระบบ AI “Lattice” ➡️ ส่งมอบต้นแบบแล้ว 3 ลำ และเตรียมผลิตเต็มรูปแบบในปี 2026 ➡️ โครงการนี้สร้างงานใหม่กว่า 150 ตำแหน่ง และสนับสนุนงานเดิมอีก 120 ตำแหน่ง ➡️ เป็นส่วนหนึ่งของยุทธศาสตร์ป้องกันประเทศตามแผน National Defence Strategy 2024 ✅ ข้อมูลเสริมจากภายนอก ➡️ XL-AUV เป็นเทคโนโลยีที่กำลังได้รับความสนใจจากหลายประเทศ เช่น สหรัฐฯ และญี่ปุ่น ➡️ ระบบ AI ใต้น้ำช่วยให้เรือสามารถตัดสินใจได้เองในภารกิจที่ซับซ้อน ➡️ การใช้เรือไร้คนขับช่วยลดความเสี่ยงต่อชีวิตทหารในภารกิจอันตราย ➡️ Ghost Shark อาจกลายเป็นต้นแบบของการพัฒนาเรือดำน้ำอัตโนมัติในอนาคต ➡️ การขนส่งผ่าน C-17A ทำให้สามารถ deploy ได้รวดเร็วในสถานการณ์ฉุกเฉิน https://www.slashgear.com/1975958/royal-australian-navy-ghost-shark-autonomous-submarine/

🛡️ “Flexxon เปิดตัว SSD ฝัง AI ป้องกันแรนซัมแวร์และการงัดแงะ — เมื่อความปลอดภัยเริ่มต้นที่ฮาร์ดแวร์” บริษัท Flexxon จากสิงคโปร์ได้เปิดตัว X-Phy SSD รุ่นใหม่ที่ฝังระบบปัญญาประดิษฐ์ไว้ในระดับเฟิร์มแวร์ เพื่อป้องกันภัยไซเบอร์ทั้งจากระยะไกลและการโจมตีทางกายภาพ โดย SSD รุ่นนี้ไม่ใช่แค่ที่เก็บข้อมูลธรรมดา แต่เป็น “แนวป้องกันสุดท้าย” สำหรับองค์กรที่ต้องการความปลอดภัยระดับสูง เช่น หน่วยงานรัฐบาล โรงงานอุตสาหกรรม และสถานพยาบาล X-Phy ใช้ AI Quantum Engine ที่ฝังอยู่ในตัวควบคุม SSD เพื่อเฝ้าระวังภัยแบบเรียลไทม์ เช่น การโจมตีด้วยแรนซัมแวร์ การโคลนข้อมูล การรบกวนจากคลื่นแม่เหล็กไฟฟ้า และแม้แต่การเปลี่ยนแปลงอุณหภูมิที่อาจบ่งบอกถึงการงัดแงะ หากตรวจพบสิ่งผิดปกติ SSD จะล็อกตัวเองทันที และแจ้งเตือนผู้ใช้ผ่านระบบ authentication หรือในกรณีร้ายแรงสามารถลบข้อมูลทั้งหมดเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต X-Phy มีให้เลือก 3 รุ่น ได้แก่ Lite, Essential และ Premium โดยแต่ละรุ่นมีระดับการป้องกันที่แตกต่างกัน พร้อมระบบ subscription รายปี เริ่มต้นที่ $249 ไปจนถึง $489 ต่อปี แม้ความเร็วในการอ่าน/เขียนจะต่ำกว่ารุ่น NVMe ทั่วไป แต่จุดเด่นของมันคือ “ความปลอดภัยระดับฮาร์ดแวร์” ที่ไม่พึ่งพาซอฟต์แวร์ภายนอก ✅ ข้อมูลสำคัญจากข่าว ➡️ Flexxon เปิดตัว SSD ฝัง AI รุ่น X-Phy เพื่อป้องกันภัยไซเบอร์ระดับฮาร์ดแวร์ ➡️ ใช้ AI Quantum Engine ฝังในเฟิร์มแวร์เพื่อเฝ้าระวังภัยแบบเรียลไทม์ ➡️ ตรวจจับแรนซัมแวร์ การโคลนข้อมูล การรบกวนคลื่นแม่เหล็ก และอุณหภูมิผิดปกติ ➡️ หากพบภัยคุกคาม SSD จะล็อกตัวเองและแจ้งเตือนผู้ใช้ทันที ➡️ มีระบบ authentication เพื่อปลดล็อก หรือสามารถลบข้อมูลอัตโนมัติในกรณีร้ายแรง ➡️ มีให้เลือก 3 รุ่น: Lite ($249), Essential ($359), Premium ($489) ต่อปี ➡️ ความเร็วอ่าน/เขียนสูงสุด 1,700MB/s และ 1,200MB/s ตามลำดับ ➡️ เหมาะกับองค์กรที่ต้องการความปลอดภัยสูง เช่น รัฐบาล อุตสาหกรรม และการแพทย์ ➡️ มีการฝังเซ็นเซอร์ตรวจจับการงัดแงะและระบบลายเซ็นดิจิทัลในเฟิร์มแวร์ ✅ ข้อมูลเสริมจากภายนอก ➡️ แรนซัมแวร์ยังคงเป็นภัยไซเบอร์อันดับต้น ๆ ที่สร้างความเสียหายหลายพันล้านดอลลาร์ต่อปี ➡️ SSD ทั่วไปไม่มีระบบป้องกันภัยในระดับเฟิร์มแวร์ ทำให้เสี่ยงต่อการโจมตีแบบลึก ➡️ การฝัง AI ในระดับ low-level programming ช่วยลดการใช้หน่วยความจำและเพิ่มความเร็วในการตอบสนอง ➡️ ระบบ “Zero Trust” ที่ไม่เชื่อถือใครโดยอัตโนมัติ กำลังกลายเป็นมาตรฐานใหม่ในโลกไซเบอร์ ➡️ องค์กรกว่า 77% ยังไม่มีแผนรับมือภัยไซเบอร์ที่ชัดเจน ทำให้การป้องกันระดับฮาร์ดแวร์มีความสำคัญมากขึ้น https://www.techradar.com/pro/this-secure-ssd-subscription-service-may-well-be-the-perfect-protection-against-physical-tampering-and-a-ransomware-attack-but-its-neither-cheap-nor-fast

🛑 “TradingView Premium ปลอมระบาดผ่าน Google Ads และ YouTube — แฝงโทรจันขโมยข้อมูลและควบคุมเครื่องเหยื่อ” Bitdefender Labs ได้เปิดเผยแคมเปญโฆษณาอันตรายที่กำลังระบาดหนักในปี 2025 โดยแฮกเกอร์ใช้ชื่อ “TradingView Premium” เป็นเหยื่อล่อผ่าน Google Ads และ YouTube เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ที่แฝงมัลแวร์โทรจันชื่อว่า Trojan.Agent.GOSL ซึ่งสามารถควบคุมเครื่องจากระยะไกล ขโมยรหัสผ่าน ข้อมูลส่วนตัว และกระเป๋าคริปโตได้ทันที2 แคมเปญนี้เริ่มจากการยึดบัญชีโฆษณาของบริษัทดีไซน์ในนอร์เวย์ และช่อง YouTube ที่ได้รับเครื่องหมายยืนยัน (verified) จากนั้นแฮกเกอร์ลบเนื้อหาเดิมทั้งหมด แล้วรีแบรนด์ให้เหมือนช่องทางการของ TradingView ทั้งโลโก้ แบนเนอร์ และเพลย์ลิสต์ เพื่อสร้างความน่าเชื่อถือสูงสุด วิดีโอที่ใช้หลอกลวงจะถูกตั้งเป็น “unlisted” เพื่อหลบการตรวจสอบจากระบบของ YouTube และจะถูกโปรโมตผ่านโฆษณาเท่านั้น เช่นคลิปชื่อ “Free TradingView Premium – Secret Method They Don’t Want You to Know” ที่มียอดวิวทะลุ 182,000 ภายในไม่กี่วัน แม้จะไม่มีเนื้อหาจริงจาก TradingView เลย เมื่อเหยื่อคลิกดาวน์โหลดจากลิงก์ใต้คลิป จะได้ไฟล์ .exe ที่เป็นมัลแวร์เต็มรูปแบบ ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์ โปรแกรมเทรด และกระเป๋าคริปโต รวมถึงควบคุมเครื่องเพื่อขุดเหรียญโดยไม่ให้เจ้าของรู้ตัว ✅ ข้อมูลสำคัญจากข่าว ➡️ แฮกเกอร์ใช้ชื่อ TradingView Premium หลอกผู้ใช้ผ่าน Google Ads และ YouTube ➡️ ยึดบัญชีโฆษณาและช่อง YouTube ที่ได้รับเครื่องหมายยืนยัน แล้วรีแบรนด์ให้เหมือนของจริง ➡️ ใช้วิดีโอแบบ unlisted เพื่อหลบการตรวจสอบจากระบบของ YouTube ➡️ วิดีโอปลอมมีชื่อเช่น “Free TradingView Premium – Secret Method…” และมียอดวิวสูงผิดปกติ ➡️ ลิงก์ใต้คลิปนำไปสู่ไฟล์มัลแวร์ Trojan.Agent.GOSL ที่สามารถควบคุมเครื่องเหยื่อได้ ➡️ มัลแวร์สามารถขโมยรหัสผ่าน ข้อมูลส่วนตัว และกระเป๋าคริปโตได้ทันที ➡️ Bitdefender ติดตามแคมเปญนี้มานานกว่า 1 ปี และพบว่ามีการใช้โดเมนปลอมกว่า 500 แห่ง ➡️ แคมเปญนี้เคยระบาดผ่าน Facebook Ads มาก่อน และขยายมาสู่ Google และ YouTube1 ✅ ข้อมูลเสริมจากภายนอก ➡️ TradingView Premium เป็นบริการวิเคราะห์กราฟเทรดที่มีค่าใช้จ่ายจริง ไม่แจกฟรี ➡️ การใช้ช่อง YouTube ที่ได้รับเครื่องหมายยืนยันเป็นช่องทางหลอกลวงกำลังเพิ่มขึ้น ➡️ วิดีโอแบบ unlisted มักใช้ในแคมเปญหลอกลวง เพราะไม่ถูกค้นเจอหรือรายงานง่าย ➡️ Trojan.Agent.GOSL เป็นมัลแวร์ที่สามารถฝังตัวในระบบโดยไม่ทิ้งไฟล์ให้ตรวจจับ ➡️ การขุดคริปโตแบบลับ ๆ ทำให้เครื่องช้า ร้อน และเสื่อมสภาพเร็วขึ้น ‼️ คำเตือนและข้อจำกัด ⛔ วิดีโอที่มีคำว่า “ฟรี” หรือ “วิธีลับ” มักเป็นกลลวงที่แฝงมัลแวร์ ⛔ ช่อง YouTube ที่ดูเหมือนของจริง อาจถูกยึดและใช้หลอกลวงโดยแฮกเกอร์ ⛔ การดาวน์โหลดไฟล์จากลิงก์ใต้คลิปที่ไม่ใช่ช่องทางทางการมีความเสี่ยงสูง ⛔ Trojan.Agent.GOSL สามารถควบคุมเครื่องและขโมยข้อมูลโดยไม่ให้ผู้ใช้รู้ตัว ⛔ การคลิกโฆษณาโดยไม่ตรวจสอบแหล่งที่มา อาจนำไปสู่การติดมัลแวร์ทันที https://hackread.com/tradingview-scam-expands-to-google-youtube/

🚨 “แฮกเกอร์ปลอมเป็นตำรวจยูเครน ส่งไฟล์ SVG หลอกลวง — เปิดทางขโมยข้อมูลและขุดคริปโตแบบไร้ร่องรอย” ในเดือนกันยายน 2025 นักวิจัยจาก FortiGuard Labs ได้เปิดโปงแคมเปญฟิชชิ่งระดับความรุนแรงสูง ที่แฮกเกอร์ใช้เทคนิคปลอมตัวเป็น “สำนักงานตำรวจแห่งชาติยูเครน” ส่งอีเมลหลอกลวงไปยังองค์กรต่าง ๆ ที่ใช้ระบบ Windows โดยมีเป้าหมายเพื่อฝังมัลแวร์สองตัวคือ Amatera Stealer และ PureMiner อีเมลปลอมเหล่านี้แนบไฟล์ SVG ซึ่งเป็นไฟล์ภาพแบบข้อความที่สามารถฝังโค้ดอันตรายได้ เมื่อเหยื่อเปิดไฟล์ จะเห็นหน้าจอปลอมที่แสดงข้อความว่า “กำลังโหลดเอกสาร…” จากนั้นระบบจะดาวน์โหลดไฟล์ ZIP ที่มีรหัสผ่านแสดงไว้เพื่อให้ดูน่าเชื่อถือ ภายใน ZIP มีไฟล์ CHM (Compiled HTML Help) ซึ่งเป็นตัวเปิดมัลแวร์ผ่านสคริปต์ CountLoader CountLoader จะเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเพื่อส่งข้อมูลระบบเบื้องต้น และโหลดมัลแวร์เข้าสู่หน่วยความจำโดยตรง ทำให้ตรวจจับได้ยาก เพราะไม่มีไฟล์ให้สแกนแบบปกติ มัลแวร์ตัวแรกคือ Amatera Stealer ซึ่งจะขโมยข้อมูลจากเบราว์เซอร์ (Chrome, Firefox), แอปแชต (Telegram, Discord), โปรแกรม FTP (FileZilla), Remote Access (AnyDesk), และกระเป๋าคริปโตยอดนิยม เช่น BitcoinCore, Exodus, Electrum โดยสามารถค้นหาไฟล์ลึกถึง 5 ชั้นในโฟลเดอร์ อีกตัวคือ PureMiner ซึ่งจะเก็บข้อมูลฮาร์ดแวร์ เช่น การ์ดจอ แล้วใช้ทรัพยากรของเครื่องเหยื่อในการขุดคริปโตแบบลับ ๆ ทั้ง CPU และ GPU โดยไม่ให้เจ้าของเครื่องรู้ตัว การโจมตีนี้ถูกจัดอยู่ในระดับ “High Severity” เพราะสามารถควบคุมเครื่องจากระยะไกล ขโมยข้อมูล และใช้ทรัพยากรโดยไม่ได้รับอนุญาต ✅ ข้อมูลสำคัญจากข่าว ➡️ แฮกเกอร์ปลอมเป็นตำรวจยูเครน ส่งอีเมลหลอกลวงพร้อมไฟล์ SVG ➡️ ไฟล์ SVG ถูกใช้เป็นช่องทางฝังโค้ดอันตรายแบบ text-based ➡️ เมื่อเปิดไฟล์ จะดาวน์โหลด ZIP ที่มีไฟล์ CHM เป็นตัวเปิดมัลแวร์ ➡️ ใช้ CountLoader เพื่อโหลดมัลแวร์เข้าสู่หน่วยความจำโดยตรง (fileless) ➡️ Amatera Stealer ขโมยข้อมูลจากเบราว์เซอร์ แอปแชต โปรแกรม FTP และกระเป๋าคริปโต ➡️ PureMiner ใช้ทรัพยากรเครื่องเหยื่อในการขุดคริปโตแบบลับ ๆ ➡️ การโจมตีนี้มีความรุนแรงสูง เพราะรวมทั้งการขโมยข้อมูลและการใช้ทรัพยากร ➡️ Fortinet พบว่าแคมเปญนี้ไม่ได้ระบุชัดว่าเป็นฝีมือของกลุ่มใด ✅ ข้อมูลเสริมจากภายนอก ➡️ SVG เป็นไฟล์ภาพที่สามารถฝัง JavaScript และทำงานเหมือน HTML ได้ ➡️ การโจมตีแบบ fileless ทำให้มัลแวร์ไม่ทิ้งร่องรอยในระบบไฟล์ ➡️ Amatera Stealer เป็นเวอร์ชันใหม่ของ ACR Stealer ที่ถูกพัฒนาให้หลบการตรวจจับได้ดีขึ้น ➡️ PureMiner ใช้เทคนิค DLL sideloading เพื่อหลบการตรวจสอบจากระบบป้องกัน ➡️ การใช้ไฟล์ SVG ในแคมเปญฟิชชิ่งเพิ่มขึ้นกว่า 40% ในปี 2025 https://hackread.com/fake-ukraine-police-notices-amatera-stealer-pureminer/

🛡️ “Supermicro เจอมัลแวร์ฝังลึกใน BMC — แฮกเกอร์สามารถควบคุมเซิร์ฟเวอร์ได้แบบลบไม่ออก แม้จะอัปเดตเฟิร์มแวร์แล้ว” นักวิจัยด้านความปลอดภัยจาก Binarly ได้เปิดเผยช่องโหว่ใหม่ใน Baseboard Management Controller (BMC) ของเมนบอร์ด Supermicro ซึ่งสามารถถูกโจมตีด้วยมัลแวร์ที่ “ลบไม่ออก” แม้จะมีการอัปเดตเฟิร์มแวร์แล้วก็ตาม โดยช่องโหว่นี้เกิดจากข้อบกพร่องในกระบวนการตรวจสอบความถูกต้องของเฟิร์มแวร์ที่อัปโหลดเข้าไปใน BMC BMC เป็นไมโครคอนโทรลเลอร์ที่ฝังอยู่ในเมนบอร์ดเซิร์ฟเวอร์ ทำหน้าที่ควบคุมระบบจากระยะไกลแม้เครื่องจะปิดอยู่ ซึ่งเป็นจุดที่แฮกเกอร์สามารถใช้เจาะระบบได้โดยไม่ต้องผ่าน CPU หรือ OS หลัก ช่องโหว่ที่ถูกค้นพบใหม่มีสองรายการ ได้แก่ CVE-2025-7937 และ CVE-2025-6198 โดย CVE-2025-7937 เป็นการ “ย้อนกลับ” ช่องโหว่เดิมที่เคยถูกแพตช์ไปแล้วในปี 2024 (CVE-2024-10237) ส่วน CVE-2025-6198 เป็นช่องโหว่ใหม่ที่ใช้เทคนิคต่างออกไป แต่ให้ผลลัพธ์คล้ายกัน คือสามารถฝังเฟิร์มแวร์อันตรายที่ผ่านการตรวจสอบได้อย่างแนบเนียน มัลแวร์ที่ฝังเข้าไปสามารถควบคุมทั้ง BMC และระบบปฏิบัติการหลักได้อย่างถาวร โดยไม่สามารถตรวจจับหรือกำจัดได้ง่าย ๆ เนื่องจากมันสามารถ “ผ่าน” ขั้นตอนการตรวจสอบลายเซ็นดิจิทัลได้อย่างสมบูรณ์ Binarly แนะนำให้ผู้ผลิตและผู้ใช้งานเซิร์ฟเวอร์ใช้ระบบ Root of Trust (RoT) ที่มีการตรวจสอบจากฮาร์ดแวร์ และเพิ่มความเข้มงวดในการตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ เพื่อป้องกันการโจมตีในระดับลึกเช่นนี้ ✅ ข้อมูลสำคัญจากข่าว ➡️ พบช่องโหว่ใหม่ใน BMC ของเมนบอร์ด Supermicro ที่เปิดทางให้มัลแวร์ฝังตัวแบบลบไม่ออก ➡️ ช่องโหว่เกิดจากข้อบกพร่องในกระบวนการตรวจสอบลายเซ็นดิจิทัลของเฟิร์มแวร์ ➡️ ช่องโหว่ CVE-2025-7937 เป็นการย้อนกลับช่องโหว่เดิมที่เคยถูกแพตช์ ➡️ ช่องโหว่ CVE-2025-6198 เป็นช่องโหว่ใหม่ที่ใช้เทคนิคต่างออกไป ➡️ มัลแวร์สามารถควบคุมทั้ง BMC และระบบปฏิบัติการหลักได้อย่างถาวร ➡️ เฟิร์มแวร์อันตรายสามารถผ่านการตรวจสอบลายเซ็นได้อย่างแนบเนียน ➡️ Binarly แนะนำให้ใช้ Root of Trust ที่ตรวจสอบจากฮาร์ดแวร์ ➡️ ควรเพิ่มความเข้มงวดในการตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ก่อนอัปเดต ✅ ข้อมูลเสริมจากภายนอก ➡️ BMC เป็นจุดสำคัญในการบริหารจัดการเซิร์ฟเวอร์จากระยะไกล ➡️ การโจมตีผ่าน BMC สามารถหลบเลี่ยงการตรวจจับจากระบบปฏิบัติการหลักได้ ➡️ Root of Trust เป็นแนวทางที่ใช้ในระบบความปลอดภัยระดับสูง เช่น TPM และ Secure Boot ➡️ ช่องโหว่ใน BMC มีแนวโน้มเพิ่มขึ้นตามการใช้งานเซิร์ฟเวอร์ในระบบ cloud และ edge ➡️ การโจมตีระดับเฟิร์มแวร์มักใช้ในกลุ่ม APT ที่มีเป้าหมายเชิงยุทธศาสตร์ https://www.techradar.com/pro/security/supermicro-motherboards-can-be-infected-with-unremovable-new-malware