CISA ແຈ້ງເຕືອນຊ່ອງໂຫວ່ລະດັບຄວາມຮຸນແຮງສູງເທິງ Linux ກຳລັງຖືກໃຊ້ໃນການໂຈມຕີຈາກກຸ່ມ Ransomware

CISA ຢືນຢັນໃນວັນ ພະຫັດ ​ (30 ຕຸລາ​ 2025) ທີ່​ຜ່ານມາ​ວ່າ​ ຂະນະ​ນີ້ພົບເຫັນ​ການ​ໂຈມ​ຕີ​ໂດຍ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ຊ່ອງ​ໂຫວ່​ການ​ຍົກ​ລະດັບ​ສິດລະ​ດັບ​ຄວາມ​ຮຸນແຮງ​ສູງ​ໃນ​ Linux kernel ແລ້ວ​ ຊຶ່ງ​ເປັນ​ສາ​ເຫດ​ຂອງ​ການ​ໂຈມ​ຕີ​ດ້ວຍ​ມັນແວຮຽກຄ່າໄຖ່ (Ransomware).

ເຖິງແມ່ນວ່າ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ (CVE-2024-1086) ຈະ​ຖືກ​ເປີດ​ເຜີຍ​ຕັ້ງ​ແຕ່​ ວັນທີ​ 31 ມັງກອນ​ 2024 ໂດຍ​ເປັນ​ຊ່ອງ​ໂຫວ່​ use-after-free ເທິງ​ netfilter: nf_tables kernel component ແລະ​ ໄດ້ຮັບ​ການ​ແກ້​ໄຂ​ແລ້ວ​ໃນ​ເດືອນ​ດຽວ​ກັນ​ ແຕ່​ຊ່ອງ​ໂຫວ່​ນີ້ທີ່ຈິງແລ້ວ​ ເກີດ​ຂຶ້​ນ​ເທື່ອທໍາອິດ​ຈາກ​ການ​ແກ້​ໄຂ​ໂຄ້ດ (Code) ເກືອບ​ 10 ປີ​ກ່ອນ​ ໃນ​ເດືອນ​ ກຸມພາ​ 2014.

ຖ້າການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ນີ້​ສຳ​ເລັດ ​ຈະ​ເຮັດໃຫ້​ແຮັກ​ເກີ​​ທີ່​ເຂົ້າ​ເຖິງ​ລະບົບ​ໃນ​ລະ​ດັບ​ local ສາມາດ​ຍົກ​ລະດັບ​ສິດ​​ ເຮັດໃຫ້​ມີ​ໂອ​ກາດ​ເຂົ້າ​ຄວບ​ຄຸມ​ອຸປະກອນ​ເປົ້າ​ໝາຍ​ໃນ​ລະ​ດັບ​ root ໄດ້​.

ຕາມ​ທີ່​ Immersive Labs ອະທິບາຍ​ ຜົນ​ກະທົບ​ທີ່​ອາດ​ເກີດ​ຂຶ້ນ​ ລວມ​ເຖິງ​ການ​ເຂົ້າ​ຄວບ​ຄຸມ​ລະບົບ​ເມື່ອ​ແຮັກ​ເກີ​​ໄດ້​ສິດ​ລະ​ດັບ​ root ຊຶ່ງ​ເຮັດໃຫ້​ສາມາດ​ປິດ​ລະບົບ​ປ້ອງ​ກັນ​, ແກ້​ໄຂ​ຟາຍ​ ຫຼື ​ຕິດ​ຕັ້ງ​ມັນ​ແວ​ (Malware) ໄດ້​ ລວມ​ເຖິງ​ການ​ໂຈມ​ຕີ​ຕໍ່ໄປ​ພາຍ​ໃນ​ເຄືອ​ຂ່າຍ​ ແລະ​ ການ​ລັກ​ຂໍ້​ມູນ​.

ທ້າຍເດືອນ​ ມີນາ​ 2024 ນັກ​ວິ​ໄຈ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ທີ່​ໃຊ້​ນາມ​ແຝງ​ວ່າ​ ‘Notselwyn’ ໄດ້​ເຜີຍແຜ່​ບົດ​ຄວາມ​ເຊີງ​ເລິກ​ພ້ອມ​ໂຄ້ດ​ທົດສອບ​ການ​ໂຈມ​ຕີ​ (PoC) ເທິງ​ GitHub ສຳລັບ​ຊ່ອງ​ໂຫວ່​ CVE-2024-1086 ສະແດງ​ໃຫ້​ເຫັນ​ວິທີ​ການ​ຍົກ​ລະດັບ​ສິດ​ພາຍ​ໃນ​ເຄື່ອງ​ເທິງ​ Linux kernel ເວີ​​ຊັ່ນ​ 5.14 ເຖິງ​ 6.6.

ຊ່ອງ​ໂຫວ່​ນີ້​ສົ່ງ​ຜົນ​ກະທົບ​ຕໍ່​ຫຼາຍ​​ Linux distributions ​ສຳຄັນ​ ລວມ​ເຖິງ​ Debian, Ubuntu, Fedora ແລະ​ Red Hat ໂດຍ​ກວມລວມ​ kernel ເວີ​​ຊັ່ນ​ຕັ້ງ​ແຕ່​ 3.15 ຈົນ​ເຖິງ​ 6.8-rc1.

ກຳ​ລັງ​ຖືກ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ຈາກ​ກຸ່ມ​ Ransomware

ໃນ​ການ​ອັບ​ເດດຂອງວັນພະຫັດ​ ກ່ຽວກັບ​ຖານ​ຂໍ້​ມູນ​ຊ່ອງ​ໂຫວ່​ທີ່​ກຳ​ລັງ​ຖືກ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີຕົວຈິງ​ ໜ່ວຍ​ງານ​ຄວາມໝັ້້ນຄົງ​ປອດໄ​ພໄຊ​ເບີ​​ຂອງ​ສ​ະຫະລັດອາເມລິກາ​ ລະ​ບຸ​ວ່າ​ ຊ່ອງ​ໂຫວ່​ນີ້​ກຳ​ລັງ​ຖືກ​ນຳ​ໄປ​ໃຊ້​ໃນ​ແຄມ​ເປນມັນແວຮຽກຄ່າໄຖ່ແລ້ວ​ ແຕ່​ບໍ່​ໄດ້​ໃຫ້​ລາຍ​ລະອຽດ​ເພີ່ມເຕີມ​ກ່ຽວກັບ​ຄວາມ​ພະຍາຍາມ​ໂຈມ​ຕີ​ທີ່​ກຳ​ລັງ​ດຳ​ເນີນ​ຢູ່​.

CISA ໄດ້​ເພີ່ມ​ຊ່ອງ​ໂຫວ່​ຄວາມ​ປອດໄ​ພ​ນີ້ນລົງໃນ​ຖານ​ຂໍ້​ມູນ​ Known Exploited Vulnerabilities (KEV) ໃນ​ເດືອນ​ ພຶດສະພາ 2024 ພ້ອມ​ສັ່ງ​ການ​ໃຫ້​ໜ່ວຍ​ງານ​ລັດຖະບານ​ກາງ​ດຳ​ເນີນ​ການ​ປ້ອງ​ກັນ​ລະບົບ​ຂອງ​ຕົນ​ໃຫ້​ຮຽບຮ້ອຍ​ພາຍ​ໃນ​ວັນທີ​ 20 ມິ​ຖຸ​ນາ 2024.

ຖ້າຫາກ​ບໍ່​ສາມາດ​ຕິດ​ຕັ້ງ​ແພັດແກ້ໄຂ (Patch) ​ໄດ້​ ແນະ​ນຳ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ດຳ​ເນີນ​ມາດ​ຕະການຫຼຸດ​ຄວາມ​ສ່ຽງ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​:

  1. ບ​ລັອກ​ (Block) ໂມ​ດູນ​ ‘nf_tables’ ຫາກ​ບໍ່​ຈຳ​ເປັນ​ ຫຼື ​ຕ້ອງ​ໃຊ້​ງານ​ຢູ່​;
  2. ຈຳ​ກັດ​ການ​ເຂົ້າ​ເຖິງ​ user namespaces ເພື່ອຫຼຸດຄວາມ​ສ່ຽງ​ຂອງ​ການ​ໂຈມ​ຕີ​;
  3. ຕິດ​ຕັ້ງ​ໂມ​ດູນ​ Linux Kernel Runtime Guard (LKRG) ເຖິງແມ່ນວ່າ​ມາດຕະ​ການ​ນີ້​ອາດຈະ​ເຮັດໃຫ້​ລະບົບ​ບໍ່​ສະຖຽນ.

CISA ລະ​ບຸ​ວ່າ​ຊ່ອງ​ໂຫວ່ປະ​ເພດ​ນີ້​ມັກ​ຖືກ​ຜູ້​ໂຈມ​ຕີ​ໃຊ້​ເປັນ​ຊ່ອງ​ທາງ​ໃນ​ການ​ໂຈມ​ຕີ​ ແລະ​ ສ້າງ​ຄວາມ​ສ່ຽງ​​ຫຼາຍ​ຕໍ່​ໜ່ວຍ​ງານ​ຂອງ​ລັດຖະບານ​ກາງ​ ຈຶ່ງ​ຄວນ​ດຳ​ເນີນ​ມາດ​ຕະ​ການ​ຫຼຸດ​ຄວາມ​ສ່ຽງ​ຕາມ​ຄຳ​ແນະ​ນຳ​ຂອງ​ຜູ້​ຜະລິດ​ ຫຼື ​ຢຸດ​ໃຊ້​ຜະລິດຕະພັນ​ນັ້ນ​ຫາກ​ບໍ່​ມີ​ວິທີ​ປ້ອງ​ກັນ​ທີ່​ເໝາະ​ສົມ​.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/cisa-linux-privilege-escalation-flaw-now-exploited-in-ransomware-attacks/
  2. https://www.i-secure.co.th/2025/11/cisa-%e0%b9%81%e0%b8%88%e0%b9%89%e0%b8%87%e0%b9%80%e0%b8%95%e0%b8%b7%e0%b8%ad%e0%b8%99%e0%b8%8a%e0%b9%88%e0%b8%ad%e0%b8%87%e0%b9%82%e0%b8%ab%e0%b8%a7%e0%b9%88%e0%b8%a3%e0%b8%b0%e0%b8%94%e0%b8%b1-7/

 

270 Views