180/68 (IT) ประจำวันจันทร์ที่ 19 พฤษภาคม 2568
หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (U.S. CISA) ได้เพิ่มช่องโหว่สำคัญจำนวน 3 รายการที่พบว่ามีการถูกใช้โจมตีลงใน Known Exploited Vulnerabilities (KEV) Catalog ได้แก่ ช่องโหว่ใน Google Chromium, ของเราเตอร์ DrayTek Vigor, และ SAP NetWeaver
รายละเอียดของช่องโหว่
– CVE-2024-12987 (CVSS 7.3): ช่องโหว่ OS Command Injection บนเราเตอร์ DrayTek Vigor2960 และ Vigor300B (เฟิร์มแวร์ v1.5.1.4) ซึ่งทำให้ช่องให้ผู้โจมตีจากระยะไกลสามารถรันคำสั่งอันตรายผ่าน Web UI ได้ โดยอาศัยการปรับแต่งพารามิเตอร์ session
– CVE-2025-4664 (CVSS 4.3): ช่องโหว่ใน Google Chromium ซึ่งเกิดจาก การบังคับใช้นโยบายความปลอดภัยที่ไม่เพียงพอใน Loader บน Chrome เวอร์ชันก่อน 136.0.7103.113 ช่องโหว่นี้อนุญาตให้ผู้โจมตีจากระยะไกลสามารถ เข้าถึงข้อมูลข้าม origin ผ่าน HTML หน้าเดียวกัน โดยนักวิจัยด้านความปลอดภัย Vsevolod Kokorin (@slonser_) เป็นผู้ค้นพบ และ Google ยืนยันว่ามี public exploit เผยแพร่แล้ว
– CVE-2025-42999 (CVSS 9.1): ช่องโหว่ Deserialization บน SAP NetWeaver Visual Composer ที่อนุญาตให้ผู้ใช้ที่มีสิทธิ์สามารถอัปโหลดคอนเทนต์อันตราย อาจส่งผลกระทบต่อ confidentiality, integrity และ availability ของระบบ
CISA ระบุว่าการบรรเทาช่องโหว่ใน KEV Catalog สำคัญในการลดความเสี่ยงด้านความมั่นคงไซเบอร์ โดยแนะนำให้ทั้งหน่วยงานรัฐและองค์กรเอกชนเร่งตรวจสอบและแก้ไขช่องโหว่เหล่านี้ในระบบเพื่อป้องกันการโจมตีเพิ่มเติม พร้อมออกคำสั่งให้ หน่วยงานภาครัฐกลาง (FCEB agencies) ดำเนินการแก้ไขช่องโหว่ทั้งหมดให้แล้วเสร็จภายในวันที่ 5 มิถุนายน 2025 ตามแนวทางของ Binding Operational Directive (BOD) 22-01
