Zyxel ปล่อยการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญในอุปกรณ์จัดเก็บข้อมูล (NAS) อาจส่งผลให้เกิดการรับคำสั่งจากผู้ไม่ประสงค์ดีมาประมวลผลบนระบบ Zyxel NAS Device
โดยช่องโหว่นี้มีหมายเลข CVE คือ CVE-2023-27992 (CVE score CVSS: 9.สามารถทำให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่ง (Command) ในลักษณะของ OS Command ไปยังระบบ Zyxel NAS Device ที่มีช่องโหว่ดังกล่าวและอุปกรณ์ Zyxel NAS Device จะรับคำสั่งนำไปประมวลผลโดยไม่ต้องทำการ Authentication ผ่านทาง HTTP request แต่อย่างใด (pre-authentication command injection vulnerability)
NAS326 (V5.21(AAZF.13)C0 and earlier, patched in V5.21(AAZF.14)C0)
NAS540 (V5.21(AATB.10)C0 and earlier, patched in V5.21(AATB.11)C0)
NAS542 (V5.21(ABAG.10)C0 and earlier, patched in V5.21(ABAG.11)C0)
ควรทำการ update patch/firmware Zyxel NAS Device เร็วที่สุดเท่าที่เป็นไปได้
สำหรับอุปกรณ์ Zyxel devices มักจะเป็นจุดที่เหล่าผู้ไม่ประสงค์ดีมุ่งเป้าหมายอยู่แล้ว ดังนั้นผู้ที่ใช้งานอุปกรณ์ Zyxel ควรหมั่น update patch/firmware ไม่ว่าจะเป็น Zyxel NAS Device หรืออุปกรณ์อื่นๆของ zyxel ให้เป็น version ล่าสุดอย่างสม่ำเสมอ
.
https://thehackernews.com/.../zyxel-releases-urgent...
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว