สหรัฐฯ ยกระดับการแจ้งเตือนช่องโหว่ใน Samsung Galaxy สั่งหน่วยงานรัฐรีบแพตช์ก่อนธันวาฯ

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ CVE-2025-21042 ที่ส่งผลกระทบต่ออุปกรณ์มือถือ Samsung เข้าสู่รายชื่อช่องโหว่ที่ถูกใช้โจมตีจริง (Known Exploited Vulnerabilities – KEV) พร้อมสั่งให้หน่วยงานรัฐบาลกลางทำการแพตช์ภายในวันที่ 1 ธันวาคม 2025 หลังพบว่าช่องโหว่นี้ถูกใช้ในการแพร่กระจายสปายแวร์ชื่อ LANDFALL โจมตีเป้าหมายระดับสูงในภูมิภาคตะวันออกกลาง

​

ช่องโหว่ร้ายแรงระดับ 9.8 คะแนน

CVE-2025-21042 เป็นช่องโหว่ประเภท out-of-bounds write ที่อยู่ในไลบรารี libimagecodec.quram.so ซึ่ง Samsung ใช้สำหรับการประมวลผลรูปภาพบนอุปกรณ์มือถือ ช่องโหว่นี้มีคะแนนความรุนแรง CVSS อยู่ที่ 9.8 และอนุญาตให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) โดยไม่ต้องมีการกระทำใดๆ จากผู้ใช้งาน ทำให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์

​

ทีมวิจัยจาก Palo Alto Networks Unit 42 ค้นพบว่าช่องโหว่นี้ถูกใช้โจมตีจริงในช่วงกลางปี 2024 ก่อนที่ Samsung จะปล่อยแพตช์แก้ไขในเดือนเมษายน 2025 ซึ่งหมายความว่าช่องโหว่นี้เป็น zero-day vulnerability ที่ถูกใช้โจมตีมานานหลายเดือนก่อนได้รับการแก้ไข

​

สปายแวร์ LANDFALL โจมตีผ่านรูปภาพ DNG

แคมเปญโจมตีที่ระบุเป็น CL-UNK-1054 ใช้สปายแวร์ LANDFALL ซึ่งเป็นมัลแวร์ตระกูลใหม่ที่ออกแบบมาเฉพาะสำหรับอุปกรณ์ Samsung Galaxy โดยผู้โจมตีซ่อนมัลแวร์ไว้ในไฟล์รูปภาพ DNG ที่ถูกส่งผ่านแอปพลิเคชัน WhatsApp รูปแบบการโจมตีนี้เป็นแบบ zero-click ซึ่งไม่ต้องให้เหยื่อคลิกลิงก์หรือเปิดไฟล์ใดๆ เพียงแค่ได้รับรูปภาพที่มีมัลแวร์ฝังอยู่ก็สามารถติดเชื้อได้ทันที

​

ตัวอย่างไฟล์มัลแวร์ที่พบมีชื่อเช่น IMG-20240723-WA0000.jpg ซึ่งสามารถย้อนกลับไปถึงเดือนกรกฎาคม 2024 ไฟล์เหล่านี้มีไฟล์ ZIP archive ฝังอยู่ภายในที่มีไฟล์ shared object library (.so) สำหรับติดตั้งและรันสปายแวร์บนอุปกรณ์ที่ตกเป็นเหยื่อ

​

ความสามารถของสปายแวร์ระดับมืออาชีพ

LANDFALL เป็นสปายแวร์แบบ modular ที่มีความสามารถครบครัน รวมถึงการเก็บข้อมูลอุปกรณ์ (device fingerprinting) เช่น แอปพลิเคชันที่ติดตั้ง สถานะ VPN และข้อมูลการกำหนดค่าต่างๆ นอกจากนี้ยังสามารถดักฟังเสียง บันทึกการโทร ขโมยรายชื่อผู้ติดต่อ ดึงข้อมูล SMS และข้อความจากแอปต่างๆ รวมถึงรูปภาพในเครื่อง

​

สปายแวร์มีความสามารถในการซ่อนตัวเองจากผู้ใช้และโซลูชันความปลอดภัยบนมือถือ พร้อมทั้งสามารถคงอยู่ในระบบได้แม้หลังจากรีสตาร์ทเครื่อง นักวิจัยระบุว่าการวิเคราะห์โค้ดแสดงให้เห็นถึงลักษณะของผลิตภัณฑ์ระดับเชิงพาณิชย์ (commercial-grade) และพบความเชื่อมโยงกับโครงสร้างพื้นฐานและรูปแบบการโจมตีของกลุ่มสปายแวร์เชิงพาณิชย์ในตะวันออกกลาง รวมถึงมีความเป็นไปได้ที่จะเชื่อมโยงกับ Private Sector Offensive Actors (PSOAs)

​

อุปกรณ์เป้าหมายและโครงสร้างพื้นฐาน

อุปกรณ์ Samsung ที่มีความเสี่ยงต่อการโจมตีครั้งนี้รวมถึงรุ่น Galaxy S22, S23, S24, Z Fold4 และ Z Flip4 ซึ่งเป็นรุ่นเรือธงที่ได้รับความนิยมสูงในตลาด นักวิจัยระบุได้ถึง 6 เซิร์ฟเวอร์ Command and Control (C2) ที่กระจายอยู่ทั่วยุโรปซึ่งใช้ในการควบคุมอุปกรณ์ที่ติดเชื้อ

​

รูปแบบการโจมตีนี้ยังมีความคล้ายคลึงกับแคมเปญอื่นๆ ที่เกิดขึ้นในช่วงเวลาใกล้เคียงกัน เช่น การโจมตีที่เกี่ยวข้องกับช่องโหว่ในการประมวลผล DNG image บน iOS และช่องโหว่ใน WhatsApp ที่ถูกเปิดเผยในเดือนสิงหาคม 2025 รวมถึงช่องโหว่อีกตัวหนึ่งของ Samsung ที่ระบุเป็น CVE-2025-21043 ซึ่งได้รับการแพตช์ในเดือนกันยายน 2025

​

คำแนะนำจาก CISA และผู้เชี่ยวชาญ

CISA สั่งการให้หน่วยงานรัฐบาลกลางทำการแพตช์ช่องโหว่นี้ภายในวันที่ 1 ธันวาคม 2025 การที่ CISA เพิ่มช่องโหว่นี้เข้าสู่บัญชี KEV แสดงว่ามีการใช้โจมตีจริงอย่างแพร่หลาย และผู้ใช้งานทั่วไปควรอัปเดตอุปกรณ์โดยเร็วที่สุด

​

ผู้เชี่ยวชาญแนะนำว่าผู้ใช้งานควรตรวจสอบและติดตั้งแพตช์ความปลอดภัยล่าสุดจาก Samsung โดยเฉพาะ Security Maintenance Release (SMR) ที่ออกในเดือนเมษายน 2025 หรือใหม่กว่า กรณีนี้เน้นย้ำถึงภัยคุกคามที่เพิ่มขึ้นจากช่องโหว่ในการประมวลผลรูปภาพบนแพลตฟอร์มมือถือ และความสำคัญของการอัปเดตระบบปฏิบัติการและแอปพลิเคชันอย่างสม่ำเสมอเพื่อป้องกันการโจมตีแบบ zero-click ที่กำลังกลายเป็นเครื่องมือหลักของกลุ่มสปายแวร์ระดับชาติและเชิงพาณิชย์

ที่มา

ที่มา