ทีมวิจัยความปลอดภัยของ Wiz รายงานถึงชุดช่องโหว่ CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, และ CVE-2025-1974 เรียกรวมๆ ว่า IngressNightmare เป็นช่องโหว่ของ Ingress NGINX Controller ที่ได้รับความนิยมสูง

Ingress NGINX เป็นโครงการโอเพนซอร์สภายใต้ Kubernetes ทำหน้าที่สร้าง reverse proxy ให้กับบริการภายในของ Kubernetes ปัญหาคือ Controller เปิด Admission Webhook ให้เข้าถึงได้โดยไม่ต้องล็อกอิน และเมื่อผู้ใช้ยิงคำสั่ง AdmissionReview เข้าไปแล้ว NGINX Controller จะตรวจคอนฟิกด้วยคำสั่ง nginx -t

มีประเด็นเพิ่มเติมจากดีลที่กูเกิลซื้อกิจการบริษัทแพลตฟอร์มความปลอดภัย Wiz ถึง 3.2 หมื่นล้านดอลลาร์ โดยกูเกิลเคยหารือเรื่องนี้กับ Wiz เมื่อปีที่แล้วด้วยมูลค่าที่น้อยกว่าคือ 2.3 หมื่นล้านดอลลาร์ แต่ไม่สามารถหาข้อสรุปได้ อะไรคือสิ่งที่เปลี่ยนไปจนทำให้ดีลใหม่เกิดขึ้นในเวลาไม่ถึงหนึ่งปี และบรรลุข้อตกลงในที่สุด

กูเกิลประกาศบรรลุข้อตกลงเพื่อซื้อกิจการ Wiz บริษัทพัฒนาแพลตฟอร์มความปลอดภัยบนคลาวด์ ด้วยมูลค่า 32,000 ล้านดอลลาร์ หรือประมาณ 1.08 ล้านล้านบาท อย่างเป็นทางการ โดยดีลทั้งหมดจ่ายเป็นเงินสด เมื่อกระบวนการทั้งหมดเสร็จสิ้น Wiz จะเข้ามาเป็นส่วนหนึ่งของ Google Cloud

Wiz เป็นสตาร์ทอัปจากอิสราเอลที่ให้บริการโซลูชันความปลอดภัยบนคลาวด์ มูลค่ากิจการล่าสุดอยู่ที่ประมาณ 16,000 ล้านดอลลาร์ จากการซื้อหุ้นคืนบางส่วนจากพนักงาน หลังจากบริษัทไม่สามารถบรรลุข้อตกลงขายกิจการให้กูเกิลได้เมื่อปีที่แล้ว โดยมีรายงานว่าเป็นความกังวลเรื่องการผูกขาดธุรกิจ ซึ่งมูลค่าที่กูเกิลเสนอซื้อกิจการปีที่แล้วอยู่ที่ประมาณ 23,000 ล้านดอลลาร์ เท่ากับว่ากูเกิลกลับมาเจรจาใหม่ด้วยมูลค่าที่เพิ่มขึ้นเกือบ 40%

เมื่อกลางปีที่แล้ว มีรายงานข่าวว่า Alphabet บริษัทแม่ของกูเกิลได้เจรจาเพื่อซื้อกิจการบริษัทด้านความปลอดภัย Wiz ที่มูลค่า 23,000 ล้านดอลลาร์ แต่ในที่สุดดีลนี้ก็ยกเลิกไปด้วยเหตุผลกังวลการถูกตรวจสอบจากหน่วยงาน เรื่องผูกขาดทางธุรกิจ

ล่าสุด The Wall Street Journal อ้างแหล่งข่าวที่เกี่ยวข้องบอกว่า Alphabet กลับมาเจรจาซื้อกิจการ Wiz อีกครั้งแล้ว คราวนี้มาด้วยข้อเสนอที่สูงขึ้นเป็น 30,000 ล้านดอลลาร์ และคาดว่าจะปิดดีลนี้พร้อมประกาศเป็นทางการในเวลาอันใกล้นี้ ซึ่งผู้เกี่ยวข้องประเมินว่าสถานการณ์ปัจจุบัน น่าจะทำให้ดีลนี้ถูกตรวจสอบน้อยลง

Wiz บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงการสำรวจความปลอดภัยของบริษัท DeepSeek พบว่าบริษัทเปิดบริการภายในออกสู่อินเทอร์เน็ตจำนวนมาก รวมถึงฐานข้อมูล ClickHouse ด้วย ทำให้ข้อมูลรั่วไหลจำนวนมาก

เซิร์ฟเวอร์ที่เปิดไว้นี้อยู่ที่ dev.deepseek.com:9000 เป็นฐานข้อมูลสำหรับการเก็บ log ของบริการ โดยตัว log แสดงข้อมูลทั้ง API Endpoints ภายในของ DeepSeek เอง, ประวัติการสนทนา, ข้อมูลอื่นๆ ที่เกี่ยวกับแชต

ทาง Wiz เตือนว่าตอนนี้บริการ AI ต่างๆ เกิดขึ้นอย่างรวดเร็ว และบริษัทเหล่านี้อาจจะขยายบริการโดยไม่ได้มีเฟรมเวิร์ความปลอดภัยที่เพียงพอ การใช้งานจึงควรระมัดระวัง

ที่มา - Wiz

Wiz บริษัทด้านความปลอดภัยบนคลาวด์ ประกาศซื้อกิจการ Dazz บริษัทที่เชี่ยวชาญด้านการแก้ปัญหาความปลอดภัย และบริหารจัดการความเสี่ยง ดีลดังกล่าวไม่มีการเปิดเผยมูลค่า แต่ TechCrunch อ้างตัวเลขที่ประมาณ 450 ล้านดอลลาร์

Wiz บอกว่าองค์กรทุกวันนี้มีความเสี่ยงในทุกจุดการเชื่อมต่อ ทั้งระดับโค้ดจนถึงคลาวด์หรือแม้แต่ออนพรีมิส จึงต้องการเครื่องมือเพื่อจัดลำดับความเสี่ยง และการบริหารจัดการเพื่อประกอบการตัดสินใจต่าง ๆ ทำให้บริษัทซื้อกิจการ Dazz เพื่อเสริมเครื่องมือในส่วนนี้

ในแถลงการณ์นี้ Assaf Rappaport ซีอีโอ Wiz ยังให้ข้อมูลว่าเขาและ Merav Bahat ซีอีโอ Dazz รู้จักกันมานาน เพราะเคยทำงานที่ไมโครซอฟท์มาด้วยกัน ก่อนแยกมาตั้งบริษัทเกี่ยวกับความปลอดภัย

Assaf Rappaport ผู้ร่วมก่อตั้งและซีอีโอของบริษัทความปลอดภัยบนคลาวด์ Wiz กล่าวในงานสัมมนา TechCrunch Disrupt 2024 ในประเด็นที่กูเกิลยื่นข้อเสนอซื้อกิจการทั้งหมดที่มูลค่า 23,000 ล้านดอลลาร์ และจบที่ Wiz ปฏิเสธข้อเสนอนี้ โดยเขายอมรับว่าเป็นการตัดสินใจที่ยากที่สุดในชีวิต

Wiz บริษัทด้านความปลอดภัยบนคลาวด์ ซึ่งก่อนหน้านี้มีข่าวว่ากูเกิลสนใจซื้อกิจการ แต่สุดท้ายก็ยกเลิกไป กำลังอยู่ในขั้นตอนเจรจาขายหุ้นให้กับนักลงทุน ด้วยมูลค่ากิจการราว 2 หมื่นล้านดอลลาร์

โดย Bloomberg บอกว่าหลังจาก Alphabet บริษัทแม่ของกูเกิลได้ยกเลิกการเสนอซื้อกิจการทั้งหมดไป ทำให้บริษัทเริ่มเจรจาหาผู้ลงทุนใหม่ เพื่อซื้อหุ้นต่อจากนักลงทุนเดิมที่ตอนแรกคาดว่าจะได้ขายให้ Alphabet ซึ่งหุ้นกลุ่มนี้มีมูลค่าเสนอขายราว 500-700 ล้านดอลลาร์

CNBC อ้างอีเมลภายใน Wiz ที่ส่งถึงพนักงาน ชี้แจงว่าตามที่มีข่าวก่อนหน้านี้ ว่า Alphabet บริษัทแม่ของกูเกิลสนใจซื้อกิจการทั้งหมดของ Wiz ด้วยมูลค่าถึง 23,000 ล้านดอลลาร์ ล่าสุดบริษัทได้ปฏิเสธดีลดังกล่าวไปแล้ว พร้อมบอกว่าเป็นการตัดสินใจที่ยากลำบากมาก

Assaf Rappaport ผู้ร่วมก่อตั้ง Wiz บอกว่าบริษัทจะดำเนินตามแผนงานเดิมที่วางไว้ก่อนหน้านี้ที่กูเกิลจะมาเจรจาขอซื้อกิจการ นั่นคือนำบริษัทไอพีโอเข้าตลาดหุ้น และสร้างรายได้ระดับ 1 พันล้านดอลลาร์ต่อปี

แหล่งข่าวบอกว่าเหตุผลหนึ่งที่ดีลนี้ถูกยกเลิกไป เนื่องจากกลุ่มผู้ลงทุนใน Wiz มีความกังวลว่าดีลนี้จะถูกตรวจสอบจากหน่วยงานกำกับดูแลประเด็นผูกขาด และอาจส่งผลกระทบต่อแผนงาน

บริษัทวิจัยความปลอดภัย Wiz ออกรายงานถึงการทดสอบบริการ SAP AI Core สำหรับการฝึกโมเดลปัญญาประดิษฐ์ด้วยข้อมูลภายในองค์กร โดยทีมงานสามารถเจาะเข้าไปถึง container registry ของ SAP แล้วเจาะทะลุไปจนถึงข้อมูลของลูกค้า SAP รายอื่นๆ ได้

The Wall Street Journal อ้างแหล่งข่าวที่เกี่ยวข้องเผยว่า Alphabet บริษัทแม่ของกูเกิล ใกล้ปิดดีลเจรจาซื้อกิจการ Wiz สตาร์ทอัปด้านความปลอดภัยไซเบอร์ ด้วยมูลค่าที่สูงถึง 23,000 ล้านดอลลาร์ (ประมาณ 8.31 แสนล้านบาท) โดยแผนซื้อกิจการน่าจะประกาศเป็นทางการเร็ว ๆ นี้ หากดีลไม่เกิดปัญหาขึ้นมาก่อน

Alphabet มองว่าการซื้อ Wiz ซึ่งเป็นบริษัทความปลอดภัยที่มีจุดเด่นบนคลาวด์ จะนำมาเสริมจุดแข็งให้กับบริการคลาวด์ของกูเกิลได้ เพื่อหวังเพิ่มส่วนแบ่งในตลาด

Wiz บริษัทความปลอดภัยบนคลาวด์ รายงานปัญหาช่องโหว่ร้ายแรงที่พบบน Hugging Face แพลตฟอร์มโมเดล AI ซึ่งทำให้สามารถเข้าถึงข้อมูลโมเดล AI ของผู้ใช้งานคนอื่นได้

โดยทีมวิศวกรความปลอดภัยของ Wiz ได้ใช้วิธีวิศวกรรมย้อนกลับ อัปโหลดโมเดลที่เป็นอันตรายของตนเองขึ้นไปบน Hugging Face แล้วใช้โมเดลนั้นเจาะไปที่ระบบปฏิบัติการในระดับ container ทำให้สามารถเข้าถึงข้อมูลโมเดลผู้ใช้งานคนอื่นบน Hugging Face ได้

สองช่องโหว่สำคัญที่ Wiz ค้นพบ และทำให้สามารถเจาะระบบด้วยวิธีดังกล่าวได้คือส่วน AI Inference มักใช้ฟอร์แมต pickle ทำให้สามารถสั่งรันคำสั่งที่ไม่ปลอดภัยได้ และ CI/CD ก็สามารถรันข้ามกันได้ ทำให้หากส่งคำสั่งเจาะระบบแล้ว ก็สามารถคุม CI/CD ได้เลยทั้งคลัสเตอร์

ทีมวิจัยความปลอดภัยของ Wiz ผู้ให้บริการรักษาความปลอดภัยบนคลาวด์ทดสอบความปลอดภัยของบริการฐานข้อมูลแบบ SQL บนคลาวด์โดยเจาะเฉพาะบริการ PostgreSQL ที่ได้รับความนิยมสูง โดยการออกแบบของ PostgreSQL นั้นไม่ได้คำนึงถึงการใช้งานพร้อมกันหลายองค์กร (multi-tenant) ผู้ให้บริการคลาวด์ต้องหาทางจัดการแยกข้อมูลออกจากกัน พร้อมกับจำกัดสิทธิ์ของลูกค้าไม่ให้เข้ามายุ่งกับระบบเกินความจำเป็น แม้บัญชีของลูกค้าจะมีสิทธิ์ผู้ดูแลฐานข้อมูลเต็มรูปแบบก็ตาม