224/69 (IT) ประจำวันศุกร์ที่ 24 เมษายน 2569
รายงานจาก Akamai ระบุว่าพบการใช้ประโยชน์จากช่องโหว่ CVE-2025-29635 ที่เป็นช่องโหว่ประเภท Command Injection ในเราเตอร์ D-Link รุ่น DIR-823X ที่มีการยุติการสนับสนุนแล้ว โดยผู้โจมตีสามารถส่งคำขอ POST ที่ถูกปรับแต่งเพื่อแทรกคำสั่งเข้าสู่ระบบและควบคุมอุปกรณ์ ช่องโหว่นี้เกิดจากการตรวจสอบค่าที่ผู้ใช้ควบคุม (input validation) ส่งผลให้สามารถรันคำสั่งผ่านฟังก์ชัน system() ได้โดยตรง ทั้งนี้พบว่าการโจมตีเริ่มเกิดขึ้นหลังจากมีการเปิดเผยช่องโหว่และเผยแพร่ Proof-of-Concept (PoC) ต่อสาธารณะ
การโจมตีดังกล่าวถูกใช้เพื่อแพร่กระจายมัลแวร์ในกลุ่ม Mirai โดยผู้โจมตีจะดาวน์โหลด payload จากโครงสร้างพื้นฐานภายนอกและติดตั้งลงในอุปกรณ์เป้าหมาย เช่น มัลแวร์ “tuxnokill” ที่รองรับหลายสถาปัตยกรรม และมีการเข้ารหัสข้อมูลด้วยเทคนิค XOR พร้อมเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุม (C2) เพื่อรับคำสั่งโจมตีแบบ Distributed Denial-of-Service (DDoS) นอกจากนี้ยังพบว่าผู้โจมตีใช้ช่องโหว่อื่นร่วมด้วย เช่น CVE-2023-1389 ในอุปกรณ์ TP-Link และช่องโหว่ในอุปกรณ์ ZTE เพื่อขยายขอบเขต
เหตุการณ์ดังกล่าวแสดงให้เห็นถึงแนวโน้มที่ผู้โจมตีจะเลือกใช้ช่องโหว่เก่าที่มี PoC เผยแพร่แล้ว เนื่องจากสามารถนำไปใช้ได้ง่ายและรวดเร็ว โดยเฉพาะในอุปกรณ์ที่ไม่ได้รับการอัปเดตหรือหมดอายุการสนับสนุน ผู้เชี่ยวชาญแนะนำให้องค์กรและผู้ใช้งานตรวจสอบอุปกรณ์เครือข่ายอย่างสม่ำเสมอ อัปเดตเฟิร์มแวร์หรือเปลี่ยนอุปกรณ์ที่เก่าล้าสมัย และติดตามประกาศช่องโหว่ที่เกี่ยวข้อง เพื่อป้องกันการถูกยึดและนำไปใช้ในเครือข่ายบอตเน็ตขนาดใหญ่