สรุปสั้น
หน่วยงานความมั่นคงไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกคำเตือนว่าแฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ใน Linux kernel และระบบปฏิบัติการ Android โดยเพิ่มสองช่องโหว่นี้เข้าในแคตตาล็อก Known Exploited Vulnerabilities (KEV) ซึ่งเป็นบัญชีช่องโหว่ที่ถูกโจมตีจริง
ช่องโหว่ล่าสุดที่ CISA เพิ่มคือ CVE-2025-48595 ซึ่งเป็น integer overflow ระดับร้ายแรงสูงใน Android Framework ที่ใช้ยกระดับสิทธิ์ได้ ตามข้อมูลของ Google ช่องโหว่นี้กระทบ Android 14 ถึง 16 และไม่ต้องมีปฏิสัมพันธ์จากผู้ใช้ในการโจมตี โดย Google ระบุว่าอาจมีการโจมตีแบบจำกัดและเจาะจงเป้าหมายในวงจริง แต่ไม่เปิดเผยรายละเอียดทางเทคนิค ทั้งนี้ได้รับการแก้ไขในแพตช์ความปลอดภัยเดือนมิถุนายน 2569 (ระดับ 2026-06-01 และ 2026-06-05)
ช่องโหว่ที่สองคือ CVE-2022-0492 ซึ่งเป็นการยกระดับสิทธิ์ระดับร้ายแรงสูงที่กระทบ Linux kernel หลายสาขา ตั้งแต่ 2.6 ถึง 4.20 และ 5.5 ถึง 5.17 โดยอยู่ในฟังก์ชัน cgroup_release_agent_write() ของระบบย่อย cgroups v1 ซึ่งเนื่องจากการตรวจสอบสิทธิ์ไม่เพียงพอ ผู้โจมตีในเครื่องสามารถข้าม namespace isolation ยกระดับสิทธิ์ และอาจหนีออกจาก container ไปได้สิทธิ์ root บนโฮสต์
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 3 มิถุนายน 2569 ว่าหน่วยงาน CISA เตือนถึงการโจมตีจริงผ่านช่องโหว่ใน Linux kernel และ Android พร้อมเพิ่มสองช่องโหว่เข้าในแคตตาล็อก KEV เพื่อกระตุ้นให้องค์กรเร่งแพตช์
ช่องโหว่แรก CVE-2025-48595 เป็น integer overflow ใน Android Framework ที่ใช้ยกระดับสิทธิ์ได้ กระทบ Android 14 ถึง 16 และไม่ต้องมีปฏิสัมพันธ์จากผู้ใช้ โดย Google ระบุในประกาศความปลอดภัยว่าอาจมีการโจมตีแบบจำกัดและเจาะจงในวงจริง แม้ไม่ให้รายละเอียดเชิงเทคนิคหรือข้อมูลเหตุการณ์ ทั้งนี้แก้ไขแล้วในแพตช์เดือนมิถุนายน 2569
ช่องโหว่ที่สอง CVE-2022-0492 อยู่ในฟังก์ชัน cgroup_release_agent_write() ของระบบย่อย cgroups v1 ใน Linux kernel ซึ่งจากการตรวจสอบสิทธิ์ที่ไม่เพียงพอ เปิดทางให้ผู้โจมตีในเครื่องข้าม namespace isolation ยกระดับสิทธิ์ และหนีออกจาก container เพื่อเข้าถึงระดับ root บนโฮสต์ ตามรายงานก่อนหน้าจาก Aqua Security และ Palo Alto Networks ช่องโหว่นี้กระทบสภาพแวดล้อม container ที่ใช้ cgroups v1 เป็นหลัก และอันตรายเป็นพิเศษเมื่อ container ได้รับ capability ระดับสูง
ด้วยการเพิ่มสองช่องโหว่นี้เข้า KEV ทำให้หน่วยงานรัฐบาลกลางสหรัฐฯ ที่อยู่ภายใต้คำสั่ง BOD 22-01 ต้องอัปเดตหรือหยุดใช้ซอฟต์แวร์ที่ได้รับผลกระทบ โดย CISA กำหนดเส้นตายวันที่ 5 มิถุนายน อย่างไรก็ตาม KEV ยังทำหน้าที่เป็นกระดานแจ้งเตือนสำหรับองค์กรโครงสร้างพื้นฐานสำคัญและองค์กรขนาดใหญ่ทั่วไปที่ควรเร่งดำเนินมาตรการด้วยความเร่งด่วนเช่นกัน ทั้งนี้ทั้งสองช่องโหว่ยังไม่ถูกระบุว่าใช้โดยกลุ่ม ransomware
รายละเอียดช่องโหว่
CVE-2025-48595 เป็น integer overflow ใน Android Framework ที่นำไปสู่การยกระดับสิทธิ์ จุดอันตรายคือไม่ต้องมีปฏิสัมพันธ์จากผู้ใช้ (no user interaction) ทำให้ผู้โจมตีสามารถใช้ประโยชน์ได้โดยเหยื่อไม่ต้องคลิกหรือทำอะไร และกระทบ Android เวอร์ชันหลักที่ใช้งานกันแพร่หลายคือ 14, 15 และ 16 โดยแก้ไขผ่าน security patch level 2026-06-01 และ 2026-06-05
CVE-2022-0492 เป็นช่องโหว่เก่าแต่เพิ่งถูกยืนยันว่าถูกโจมตีจริง อยู่ในระบบ cgroups v1 ของ Linux kernel จุดที่อันตรายที่สุดคือการที่ผู้โจมตีสามารถหนีออกจาก container (container escape) ไปได้สิทธิ์ root บนเครื่องโฮสต์ ซึ่งกระทบโดยตรงต่อสภาพแวดล้อมที่ใช้ container เช่น Docker และ Kubernetes โดยเฉพาะเมื่อ container ถูกตั้งให้มี capability สูง
เวอร์ชัน Linux kernel ที่แก้ไขช่องโหว่นี้ได้แก่ 4.9.301+, 4.14.266+, 4.19.229+, 5.4.177+, 5.10.97+, 5.15.20+, 5.16.6+ และ 5.17-rc3+ องค์กรที่รัน kernel เก่ากว่านี้บนระบบ container จึงควรเร่งอัปเดตเพื่อปิดความเสี่ยง container escape
ผลกระทบต่อไทย
ทั้ง Android และ Linux เป็นระบบที่ใช้แพร่หลายมากในไทย โดย Android เป็นระบบมือถือที่คนไทยใช้มากที่สุด ทำให้ช่องโหว่ CVE-2025-48595 ที่โจมตีได้โดยไม่ต้องมีปฏิสัมพันธ์ผู้ใช้เป็นภัยต่อผู้ใช้มือถือไทยจำนวนมหาศาล โดยเฉพาะเครื่องที่ไม่ได้รับอัปเดตความปลอดภัยสม่ำเสมอ
ช่องโหว่ CVE-2022-0492 ใน Linux kernel เป็นภัยโดยตรงต่อองค์กรไทยที่ใช้ container เช่น Docker และ Kubernetes ในการรันบริการ ซึ่งกำลังได้รับความนิยมเพิ่มขึ้นในงาน cloud และ DevOps ของไทย หากถูกโจมตี ผู้ไม่หวังดีอาจหนีออกจาก container ไปยึดเครื่องโฮสต์ทั้งเครื่องได้
การที่ CISA ยืนยันว่าทั้งสองช่องโหว่ถูกโจมตีจริง เป็นสัญญาณว่าองค์กรไทยไม่ควรรอ แม้จะไม่ได้อยู่ภายใต้คำสั่งของสหรัฐฯ ก็ควรถือ KEV เป็นแนวทางเร่งด่วนในการจัดลำดับการแพตช์
คำแนะนำ
- อัปเดต Android ทันที — ติดตั้งแพตช์ความปลอดภัยเดือนมิถุนายน 2569 (ระดับ 2026-06-01 หรือ 2026-06-05) เพื่อปิด CVE-2025-48595
- อัปเดต Linux kernel — อัปเดตเป็นเวอร์ชันที่แก้ CVE-2022-0492 (เช่น 5.10.97+, 5.15.20+ ตามสาขาที่ใช้)
- ตรวจสอบสภาพแวดล้อม container — โดยเฉพาะที่ใช้ cgroups v1 และจำกัด capability ของ container ไม่ให้สูงเกินจำเป็น
- ย้ายไปใช้ cgroups v2 — หากเป็นไปได้ เพื่อลดความเสี่ยงจากช่องโหว่ในระบบ cgroups v1
- ถือ KEV เป็นลำดับความสำคัญ — จัดลำดับการแพตช์ช่องโหว่ที่อยู่ใน KEV ก่อน เพราะถูกยืนยันว่าถูกโจมตีจริง
- เฝ้าระวังพฤติกรรม privilege escalation — ใช้เครื่องมือตรวจจับการยกระดับสิทธิ์และ container escape บนระบบสำคัญ
