CISA เตือนภัยช่องโหว่ Zimbra-SharePoint ถูกโจมตี พบ Cisco Zero-Day โดนแรนซัมแวร์
CISA เตือนภัยช่องโหว่ร้ายแรงใน Zimbra และ SharePoint ถูกแฮกเกอร์ใช้โจมตีจริง พร้อมเผย Cisco Zero-Day ถูกกลุ่มแรนซัมแวร์ Interlock ใช้โจมตีก่อนเปิดเผยช่องโหว่
หน่วยงานความมั่นคงปลอดภัยไซเบอร์สหรัฐฯ หรือ CISA ออกประกาศเตือนให้หน่วยงานรัฐบาลรีบอัปเดตแพตช์แก้ไขช่องโหว่ร้ายแรง 2 รายการในซอฟต์แวร์ Zimbra และ Microsoft SharePoint หลังพบการโจมตีจริงในสภาพแวดล้อมจริง
ช่องโหว่ทั้งสองได้แก่ CVE-2025-66376 ใน Zimbra Collaboration Suite ซึ่งเป็นช่องโหว่ Cross-Site Scripting และ CVE-2026-20963 ใน Microsoft Office SharePoint ซึ่งเป็นช่องโหว่การดีซีเรียลไลซ์ข้อมูลที่ไม่น่าเชื่อถือ โดยทั้งคู่มีคะแนน CVSS สูงและถูกเพิ่มเข้าในแคตตาล็อกช่องโหว่ที่ถูกใช้โจมตีแล้วหรือ KEV
ปฏิบัติการ GhostMail โจมตีผ่านอีเมล Zimbra
รายงานจาก Seqrite Labs เปิดเผยแคมเปญโจมตีที่ใช้ช่องโหว่ CVE-2025-66376 ใน Zimbra โดยกลุ่มแฮกเกอร์ที่สงสัยว่าสนับสนุนโดยรัฐรัสเซีย เป้าหมายคือหน่วยงานอุทกศาสตร์ของยูเครน
แฮกเกอร์ส่งอีเมลฟิชชิ่งที่ปลอมตัวเป็นคำขอฝึกงาน โดยฝังสคริปต์ JavaScript ที่ถูกออบฟัสเคตไว้ในตัวอีเมล HTML โดยตรง เมื่อผู้ใช้เปิดอีเมลในเซสชันเว็บเมล Zimbra ที่ยังมีช่องโหว่ สคริปต์จะทำงานทันที
มัลแวร์ดังกล่าวถูกออกแบบมาเพื่อขโมยข้อมูลสำคัญ เช่น ข้อมูลรับรอง โทเค็นเซสชัน รหัสสำรอง 2FA รหัสผ่านที่บันทึกในเบราว์เซอร์ และเนื้อหาอีเมลย้อนหลัง 90 วัน จากนั้นส่งข้อมูลออกผ่าน DNS และ HTTPS
ช่องโหว่ SharePoint ถูกใช้โจมตีลึกลับ
ขณะนี้ยังไม่มีรายงานสาธารณะที่ระบุรายละเอียดการโจมตีด้วยช่องโหว่ CVE-2026-20963 ใน SharePoint รวมถึงตัวตนของกลุ่มแฮกเกอร์และขอบเขตการโจมตี
อย่างไรก็ตาม CISA ได้กำหนดเส้นตายให้หน่วยงานรัฐบาลกลางสหรัฐฯ ต้องอัปเดตแพตช์แก้ไขช่องโหว่ Zimbra ภายในวันที่ 1 เมษายน 2026 และช่องโหว่ SharePoint ภายในวันที่ 23 มีนาคม 2026
แรนซัมแวร์ Interlock ใช้ Cisco Zero-Day
ในเหตุการณ์ที่เกี่ยวข้อง Amazon เปิดเผยว่ากลุ่มแรนซัมแวร์ Interlock ได้ใช้ช่องโหว่ร้ายแรงระดับสูงสุดในซอฟต์แวร์จัดการไฟร์วอลล์ของ Cisco หรือ CVE-2026-20131 มาตั้งแต่วันที่ 26 มกราคม 2026 ซึ่งเป็นช่วงเวลากว่าหนึ่งเดือนก่อนที่ช่องโหว่จะถูกเปิดเผยสู่สาธารณะ
กลุ่ม Interlock มีประวัติโจมตีภาคส่วนสำคัญที่การหยุดชะงักของระบบสร้างแรงกดดันให้ต้องจ่ายเงินค่าไถ่ เช่น การศึกษา วิศวกรรม สถาปัตยกรรม การก่อสร้าง การผลิต อุตสาหกรรม สาธารณสุข และหน่วยงานรัฐบาล
CISA เร่งให้อัปเดตช่องโหว่ Cisco เพิ่มเติม
ล่าสุด CISA ได้เพิ่มช่องโหว่ CVE-2026-20131 ของ Cisco ลงในแคตตาล็อก KEV แล้ว โดยกำหนดให้หน่วยงานรัฐบาลกลางอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดภายในวันที่ 22 มีนาคม 2026
ก่อนหน้านี้ CISA ยังได้ออกคำสั่งฉุกเฉินให้หน่วยงานรัฐบาลกลางลดความเสี่ยงจากช่องโหว่หลายรายการในระบบ Cisco Catalyst SD-WAN ที่กำลังถูกโจมตีอยู่ และต้องส่งรายงานล็อกที่เกี่ยวข้องให้กับ CISA ภายในวันที่ 23 มีนาคม 2026
รายงานจาก VulnCheck ชี้ว่าช่องโหว่ CVE-2026-20133 อีกช่องโหว่หนึ่งใน Catalyst SD-WAN มีความเสี่ยงสูงและมีแนวโน้มจะถูกแฮกเกอร์นำมาใช้โจมตี
Reference
The Hacker Newsหากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINE ดูสินค้าทั้งหมด