Google เผยรายงาน Zero-day ปี 2025 พบ 90 ช่องโหว่ถูกโจมตีจริง องค์กรตกเป็นเป้าหมายสูงสุด

Google Threat Intelligence Group (GTIG) เผยรายงานสรุปสถานการณ์ช่องโหว่ Zero-day ประจำปี 2025 พบทั้งหมด 90 ช่องโหว่ที่ถูกใช้โจมตีจริง โดยเทคโนโลยีระดับองค์กรถูกโจมตีสูงถึง 48% ซึ่งเป็นสัดส่วนสูงสุดเป็นประวัติการณ์

ตัวเลข Zero-day ทั้ง 90 รายการในปี 2025 แม้จะต่ำกว่าสถิติสูงสุดในปี 2023 ที่ 100 รายการ แต่ก็สูงกว่าปี 2024 ที่ 78 รายการ สะท้อนให้เห็นว่าแนวโน้มการโจมตี Zero-day ยังคงอยู่ในระดับสูงอย่างต่อเนื่อง โดยช่วง 4-5 ปีที่ผ่านมาจำนวนอยู่ในช่วง 60-100 รายการต่อปี

สิ่งที่น่าสนใจคือเป้าหมายการโจมตีเปลี่ยนไปอย่างชัดเจน โดยเทคโนโลยีระดับองค์กรถูกโจมตีถึง 43 รายการ คิดเป็น 48% ของทั้งหมด ซึ่งเป็นตัวเลขสูงสุดเท่าที่เคยบันทึกมา โดยเฉพาะอุปกรณ์ Security และ Networking ที่ถูกโจมตีมากที่สุดถึง 21 รายการ เนื่องจากอุปกรณ์ Edge เหล่านี้มักไม่มี EDR ติดตั้ง ทำให้เป็นจุดบอดที่ผู้โจมตีสามารถเข้าถึงได้โดยไม่ถูกตรวจจับ ในขณะเดียวกันการโจมตีผ่าน Browser ลดลงเหลือไม่ถึง 10% สะท้อนว่ามาตรการ Hardening ของ Browser เริ่มได้ผล ส่วนช่องโหว่ระบบปฏิบัติการทั้ง Desktop และ Mobile รวมกันยังคงเป็นหมวดที่ถูกโจมตีมากที่สุดที่ 39 รายการ

ในด้านผู้อยู่เบื้องหลังการโจมตี เป็นครั้งแรกที่ Commercial Surveillance Vendors (CSVs) หรือบริษัทที่ขาย Spyware เชิงพาณิชย์ ถูกระบุว่าเป็นผู้ใช้ Zero-day มากกว่ากลุ่ม Cyber Espionage ที่ได้รับการสนับสนุนจากรัฐ สะท้อนว่าการเข้าถึง Zero-day exploit ขยายวงกว้างขึ้นผ่านผู้ให้บริการเหล่านี้ ในส่วนของกลุ่มที่รัฐสนับสนุน กลุ่มจากจีน (PRC-nexus) ยังคงเป็นผู้ใช้ Zero-day มากที่สุดโดยถูกระบุว่าใช้อย่างน้อย 10 ช่องโหว่ ซึ่งเพิ่มขึ้นเป็นเท่าตัวจากปี 2024 โดยเน้นโจมตีอุปกรณ์ Edge และ Networking เป็นหลัก นอกจากนี้กลุ่มที่มีแรงจูงใจทางการเงิน รวมถึงกลุ่ม Ransomware ก็ใช้ Zero-day ถึง 9 รายการ เกือบเทียบเท่าสถิติสูงสุดเดิม โดยมีกรณีที่น่าสนใจอย่าง FIN11 ที่โจมตี Oracle E-Business Suite และ UNC2165 (Evil Corp) ที่ใช้ช่องโหว่ใน WinRAR ในลักษณะ Zero-day เป็นครั้งแรก

GTIG ยังพบเทคนิคการโจมตีที่น่าสนใจหลายรูปแบบ เช่น การหลบหลีก Browser Sandbox ผ่านช่องโหว่ระดับ OS และ GPU Driver แทนที่จะโจมตีตัว Sandbox โดยตรง, Exploit Chain แบบเต็มรูปแบบบน SonicWall SMA 1000 ที่รวมช่องโหว่หลายระดับตั้งแต่ Authentication Bypass ไปจนถึง Local Privilege Escalation รวมถึงการโจมตีผ่านไฟล์ภาพ DNG บนอุปกรณ์ Samsung ที่สามารถเข้าถึง MediaStore ทั้งหมดของเครื่องได้ด้วยช่องโหว่เพียงตัวเดียว

สำหรับแนวทางป้องกัน GTIG แนะนำให้องค์กรเตรียมพร้อมรับมือโดยเน้นการแบ่ง Segment ระหว่าง DMZ, Firewall และ VPN ออกจากระบบภายใน ติดตั้ง Monitoring บนอุปกรณ์ Edge ทำ Software Bill of Materials (SBoM) เพื่อติดตามช่องโหว่ได้รวดเร็ว และสำหรับผู้ใช้งานทั่วไปควรเปิดใช้งาน Advanced Protection Mode บน Android และ Lockdown Mode บน iOS

ที่มา: https://cloud.google.com/blog/topics/threat-intelligence/2025-zero-day-review