43/68 (IT) ประจำวันศุกร์ที่ 31 มกราคม 2568
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาเตือนถึงช่องโหว่ร้ายแรงแบบ zero-day ที่ส่งผลกระทบต่ออุปกรณ์ Zyxel CPE Series ซึ่งกำลังถูกโจมตีอย่างหนักในขณะนี้ โดยช่องโหว่ดังกล่าวคือ CVE-2024-40891 ซึ่งเป็นช่องโหว่การใส่คำสั่ง (command injection) ที่ยังไม่มีการแก้ไขจากผู้ผลิต และอาจทำให้ผู้โจมตีสามารถดำเนินการคำสั่งตามอำเภอใจบนอุปกรณ์ที่ได้รับผลกระทบได้ ส่งผลให้เกิดการบุกรุกระบบ การขโมยข้อมูล หรือการแทรกซึมเครือข่ายได้อย่างง่ายดาย
Glenn Thorpe นักวิจัยจาก GreyNoise ระบุว่า ช่องโหว่ CVE-2024-40891 มีลักษณะคล้ายคลึงกับช่องโหว่ CVE-2024-40890 ที่ถูกค้นพบก่อนหน้านี้ โดยความแตกต่างหลักคือ CVE-2024-40891 ใช้ HTTP เป็นช่องทางโจมตี ในขณะที่ CVE-2024-40890 ใช้ Telnet โดยทั้งสองช่องโหว่นี้ เปิดช่องให้ผู้โจมตีที่ไม่ได้รับการรับรองสามารถดำเนินการคำสั่งตามอำเภอใจผ่านบัญชีบริการได้จากการวิเคราะห์ของ GreyNoise และ Censys พบว่ามีอุปกรณ์ Zyxel CPE มากกว่า 1,500 เครื่อง ที่มีความเสี่ยงต่อการถูกโจมตี และกำลังออนไลน์อยู่ในปัจจุบัน โดยความพยายามโจมตีส่วนใหญ่มีต้นทางมาจากที่อยู่ IP ในไต้หวัน ซึ่งบ่งชี้ว่าผู้โจมตีอาจมีเป้าหมายเฉพาะเจาะจง โดยในระหว่างที่ยังไม่มีแพตช์แก้ไขจากผู้ผลิต นักวิจัยแนะนำให้ผู้ใช้ดำเนินการป้องกันเบื้องต้นด้วยการกรองปริมาณการรับส่งข้อมูลสำหรับคำขอ HTTP ที่ผิดปกติไปยังอินเทอร์เฟซการจัดการของ Zyxel CPE และจำกัดการเข้าถึงอินเทอร์เฟซการดูแลระบบให้เฉพาะ IP ที่เชื่อถือได้เท่านั้น นอกจากนี้ ยังมีข้อบกพร่องด้านความปลอดภัยอื่น ๆ ที่เพิ่งถูกเปิดเผยในผลิตภัณฑ์ต่าง ๆ (CVE-2024-57726, CVE-2024-57727 และ CVE-2024-57728) ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถยกระดับสิทธิ์ให้กับผู้ใช้ระดับผู้ดูแลระบบและอัปโหลดไฟล์ตามอำเภอใจได้ แม้ยังไม่ทราบแน่ชัดว่าการโจมตีเหล่านี้มีความเชื่อมโยงกันหรือไม่
แหล่งข่าว https://thehackernews.com/2025/01/zyxel-cpe-devices-face-active.html
