ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยในไลบรารี Axios ซึ่งเป็นไลบรารี JavaScript ที่ได้รับความนิยมอย่างแพร่หลายในการพัฒนาเว็บไซต์และเว็บแอปพลิเคชัน โดยพบช่องโหว่ที่อาจถูกใช้ในการโจมตีแบบ Server-Side Request Forgery (SSRF) ซึ่งอาจนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาต ขอให้ผู้ดูแลระบบเร่งดำเนินการตรวจสอบและอัปเดตแพตช์ความปลอดภัยโดยทันที

1. รายละเอียดช่องโหว่ [1]

ช่องโหว่หมายเลข CVE-2026-40175 (CVSS 3.1: 10.0) [2] เป็นช่องโหว่ประเภท Server-Side Request Forgery (SSRF) ที่เกิดขึ้นในไลบรารี Axios ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถควบคุมหรือบิดเบือนคำร้องขอ (HTTP Request) ที่เซิร์ฟเวอร์เป็นผู้ส่งออกไป

ลักษณะของช่องโหว่นี้อาจเกี่ยวข้องกับการจัดการ request ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถหลีกเลี่ยงข้อจำกัดด้านการเข้าถึงทรัพยากรภายใน และใช้เซิร์ฟเวอร์เป็นตัวกลางในการเข้าถึงระบบหรือบริการที่ไม่ควรเข้าถึงได้

2. รูปแบบการโจมตี [3]

ผู้โจมตีสามารถใช้ช่องโหว่นี้ผ่านการส่งข้อมูลที่ถูกออกแบบมาเป็นพิเศษไปยังแอปพลิเคชันที่ใช้งาน Axios โดยมีรูปแบบการโจมตีที่สำคัญ ได้แก่

2.1 การส่ง request เพื่อให้เซิร์ฟเวอร์ไปเรียกใช้งานทรัพยากรภายใน (Internal Services)
2.2 การเข้าถึง Cloud Metadata เช่นบริการของผู้ให้บริการ Cloud
2.3 การใช้เป็น pivot เพื่อโจมตีระบบภายในเครือข่าย
2.4 การยกระดับไปสู่ Remote Code Execution (RCE) ในบางกรณี

3. ผลิตภัณฑ์ที่ได้รับผลกระทบ

• Axios ทุกเวอร์ชันที่ต่ำกว่า 1.13.2

4. แนวทางการแก้ไข

ผู้ดูแลระบบควรดำเนินการอัปเดต Axios เป็นเวอร์ชัน 1.15.0 หรือเวอร์ชันล่าสุดโดยทันที [4] สำหรับระบบที่ใช้ npm สามารถดำเนินการได้ด้วยคำสั่ง npm install axios@latest [5] ในกรณีที่ยังไม่สามารถอัปเดตได้ทันที ควรดำเนินมาตรการชั่วคราวเพื่อลดความเสี่ยง (Workaround) ดังนี้

• จำกัดปลายทาง (destination) ที่สามารถเรียกใช้งานได้ (Allowlist)
• ป้องกันการเข้าถึงที่อยู่เครือข่าย (IP) ภายในระบบ
• ปิดการเข้าถึง metadata service ของ Cloud หากไม่จำเป็น
• ใช้ Web Application Firewall (WAF) เพื่อช่วยกรอง request ที่ผิดปกติ

5. คำแนะนำด้านความปลอดภัยเพิ่มเติม

5.1 ตรวจสอบช่องโหว่ประเภท Prototype Pollution ในไลบรารีที่ใช้งานร่วมอื่น ๆ
5.2 ใช้เครื่องมือ SCA (Software Composition Analysis) เพื่อตรวจสอบช่องโหว่ใน third-party libraries
5.3 กำหนดนโยบาย egress filtering เพื่อควบคุมการเชื่อมต่อออกจากเซิร์ฟเวอร์
5.4 บันทึกและตรวจสอบ log การเชื่อมต่อที่ผิดปกติอย่างสม่ำเสมอ
5.6 อัปเดตแพตช์ความปลอดภัยของระบบและไลบรารีอื่น ๆ อย่างต่อเนื่อง

แหล่งอ้างอิง
[1] https://dg.th/vyp38h5m46
[2] https://dg.th/bw3efhs42z
[3] https://dg.th/kv1noebhw2
[4] https://dg.th/9lvz6n7gsk
[5] https://dg.th/lgf9b3ceho

Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คำแนะนำเกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) จำนวน 4 รายการ เมื่อวันที่ 16 เมษายน 2569 เพื่อให้ข้อมูลที่ทันเวลาเกี่ยวกับประเด็นด้านความมั่นคงปลอดภัย ช่องโหว่ และการโจมตีที่เกี่ยวข้องกับระบบ ICS โดยมีรายละเอียดดังนี้

• ICSA-26-106-01 Delta Electronics ASDA-Soft
• ICSA-26-106-02 Horner Automation Cscape and XL4, XL7 PLC
• ICSA-26-106-03 Anviz Multiple Products
• ICSA-26-106-04 AVEVA Pipeline Simulation

CISA แนะนำให้ผู้ใช้งานและผู้ดูแลระบบ ตรวจสอบคำแนะนำ ICS ที่เผยแพร่ล่าสุด เพื่อศึกษารายละเอียดทางเทคนิคและแนวทางการลดความเสี่ยง (mitigations)

อ้างอิง
https://www.cisa.gov/news-events/ics-advisories

เมื่อวันที่ 16 เมษายน 2026 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 1 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

• CVE-2026-34197 Apache ActiveMQ Improper Input Validation Vulnerability

ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/04/16/cisa-adds-one-known-exploited-vulnerability-catalog
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Industrial Sector

• ICS Patch Tuesday: 8 Industrial Giants Publish New Security Advisories
  "Industrial giants Siemens, Schneider Electric, Aveva, Rockwell Automation, ABB, Phoenix Contact, Mitsubishi Electric, and Moxa have published new ICS security advisories since the previous Patch Tuesday. Siemens has published nine new advisories since the previous Patch Tuesday. Vulnerabilities with a ‘critical’ severity rating are mentioned only in one advisory covering older Wi-Fi vulnerabilities affecting Scalance W-700 devices. Siemens has addressed high-severity vulnerabilities in Sinec NMS (authentication/authorization bypass), Ruggedcom Crossbow (privilege escalation, code execution, DoS), and Industrial Edge Management (authorization bypass). Medium-severity issues have been resolved in TPM and Analytics Toolkit."
  https://www.securityweek.com/ics-patch-tuesday-8-industrial-giants-publish-new-security-advisories/
• Sweden Blames Pro-Russian Group For Cyberattack Last Year On Its Energy Infrastructure
  "Sweden said Wednesday that a pro-Russian group with links to Russia’s security and intelligence services was behind a cyberattack on a heating plant last year. The announcement followed warnings from officials in Poland, Norway, Denmark and Latvia that Russia is attacking critical infrastructure across Europe. In what was Sweden’s first public mention of the attack, the country’s minister for civil defense, Carl-Oskar Bohlin, said it targeted a heating plant in western Sweden but the attack failed. He gave no further details. Bohlin compared it to incidents in Poland in December, when coordinated cyberattacks hit combined heat and power plants supplying heat to almost 500,000 customers, as well as wind and solar farms. Poland later said evidence indicated hackers were “directly linked to the Russian services.”"
  https://www.securityweek.com/sweden-blames-pro-russian-group-for-cyberattack-last-year-on-its-energy-infrastructure/
  https://therecord.media/sweden-hackers-russia-power-plant

New Tooling

• Legitify: Open-Source Scanner For Security Misconfigurations On GitHub And GitLab
  "Misconfigured source code management platforms remain a common entry point in software supply chain attacks, and organizations often lack visibility into which settings put them at risk. Legitify, an open-source tool from Legit Security, addresses that gap by scanning GitHub and GitLab environments and reporting policy violations across organizations, repositories, members, and CI/CD runner groups. Legitify evaluates configurations across five namespaces: organization-level settings, GitHub Actions configurations, member accounts, repositories, and runner groups. Example checks include whether two-factor authentication is enforced across an organization, whether GitHub Actions runs are restricted to verified actions, whether stale admins exist, and whether code review requirements are in place for repositories."
  https://www.helpnetsecurity.com/2026/04/15/legitify-open-source-scanner-security-misconfigurations-github-gitlab/
  https://github.com/Legit-Labs/legitify

Vulnerabilities

• Fortinet Patches Critical FortiSandbox Vulnerabilities
  "Fortinet on Tuesday released 26 advisories detailing 27 vulnerabilities across its products, including two critical-severity flaws in FortiSandbox. Tracked as CVE-2026-39813, the first of the critical bugs impacts the FortiSandbox JRPC API and could allow attackers to bypass authentication. The second one, tracked as CVE-2026-39808, is an OS command injection issue that can be exploited for arbitrary code or command execution. Both security defects have a CVSS score of 9.1 and could be exploited without authentication via specially crafted HTTP requests."
  https://www.securityweek.com/fortinet-patches-critical-fortisandbox-vulnerabilities/
  https://www.theregister.com/2026/04/15/critical_fortinet_sandbox_bugs/
• PipeLeak: The Lead That Stole Your Database - Exploiting Salesforce Agentforce With Indirect Prompt Injection
  "A prompt injection vulnerability exists in Salesforce Agentforce when processing untrusted lead data. An attacker can embed malicious instructions inside a standard lead form submission that are later executed by an Agent Flow with email capabilities. When an internal employee asks the agent to review or analyze the lead, the agent complies with the attacker’s embedded instructions while exfiltrating sensitive data to an external email address. This results in unauthorized data disclosure and potential mass exfiltration of CRM data."
  https://www.capsulesecurity.io/blog-post/pipeleak-the-lead-that-stole-your-database-exploiting-salesforce-agentforce-with-indirect-prompt-injection
  https://www.darkreading.com/cloud-security/microsoft-salesforce-patch-ai-agent-data-leak-flaws
• ‘By Design’ Flaw In MCP Could Enable Widespread AI Supply Chain Attacks
  "Model Context Protocol (MCP) has been a boon to agentic AI users and is widely used and trusted locally by companies adopting agentic AI internally. Introduced by Anthropic in November 2024, it provides a standard connector between agents and data. Enterprises use it locally to avoid the pain of developing their own connectors, and it is in widespread use as a local STDIO MCP server. There are multiple providers of MCP servers, almost all inheriting Anthropic’s code. The problem, reports OX Security, is what it terms an architectural flaw in Anthropic’s MCP code embedded within most of these local STDIO MCPs."
  https://www.securityweek.com/by-design-flaw-in-mcp-could-enable-widespread-ai-supply-chain-attacks/
  https://20204725.hs-sites.com/the-mother-of-all-ai-supply-chains
• Two Vulnerabilities Patched In Ivanti Neurons For ITSM
  "Ivanti on Tuesday updated Neurons for ITSM to resolve two medium-severity vulnerabilities affecting both on-premises and cloud deployments. The first bug, tracked as CVE-2026-4913 (CVSS score of 5.7), is described as the improper protection of an alternate path. According to Ivanti, it could allow “a remote authenticated attacker to retain access when their account has been disabled”. The second flaw, CVE-2026-4914 (CVSS score of 5.4), is described as a stored cross-site scripting (XSS) issue that can be abused remotely to obtain limited information from other user sessions."
  https://www.securityweek.com/two-vulnerabilities-patched-in-ivanti-neurons-for-itsm/

Malware

• MCPwn: A CVSS 9.8 One-Line MCP Bug That Hands Over Your Nginx To Anyone On The Network – Actively Exploited In The Wild
  "What if a single missing function call – one middleware reference, 27 characters – could give any attacker on your network complete control over your nginx web server? No credentials needed. No exploitation complexity. Just a plain HTTP request to a URL that should have been protected but wasn’t. That’s CVE-2026-33032, a critical vulnerability (CVSS 9.8) we discovered in nginx-ui, a popular web-based nginx management tool with over 11K GitHub stars and 430,000+ Docker pulls. Since publication, active exploitation in the wild has been confirmed: VulnCheck added it to their Known Exploited Vulnerabilities (KEV) list, and Recorded Future’s Insikt Group identified it as one of 31 high-impact CVEs actively exploited in March 2026, assigning it a Risk Score of 94/100 alongside vulnerabilities in Cisco, Microsoft, Google, and Citrix."
  https://pluto.security/blog/mcp-bug-nginx-security-vulnerability-cvss-9-8/
  https://thehackernews.com/2026/04/critical-nginx-ui-vulnerability-cve.html
  https://www.bleepingcomputer.com/news/security/critical-nginx-ui-auth-bypass-flaw-now-actively-exploited-in-the-wild/
  https://www.darkreading.com/application-security/critical-mcp-integration-flaw-nginx-risk
  https://www.infosecurity-magazine.com/news/nginx-ui-mcp-flaw-actively/
  https://www.securityweek.com/exploited-vulnerability-exposes-nginx-servers-to-hacking/
  https://securityaffairs.com/190841/hacking/cve-2026-33032-severe-nginx-ui-bug-grants-unauthenticated-server-access.html
• New AgingFly Malware Used In Attacks On Ukraine Govt, Hospitals
  "A new malware family named ‘AgingFly’ has been identified in attacks against local governments and hospitals that steal authentication data from Chromium-based browsers and WhatsApp messenger. The attacks were spotted in Ukraine by the country's CERT team last month. Based on the forensic evidence, targets may also include representatives of the Defense Forces. CERT-UA has attributed the attacks to a cyber threat cluster it tracks as UAC-0247."
  https://www.bleepingcomputer.com/news/security/new-agingfly-malware-used-in-attacks-on-ukraine-govt-hospitals/
• Someone Bought 30 WordPress Plugins And Planted a Backdoor In All Of Them.
  "Last week, I wrote about catching a supply chain attack on a WordPress plugin called Widget Logic. A trusted name, acquired by a new owner, turned into something malicious. It happened again. This time at a much larger scale. Ricky from Improve & Grow emailed us about an alert he saw in the WordPress dashboard for a client site. The notice was from the WordPress.org Plugins Team, warning that a plugin called Countdown Timer Ultimate contained code that could allow unauthorized third-party access. I ran a full security audit on the site. The plugin itself had already been force-updated by WordPress.org to version 2.6.9.1, which was supposed to clean things up. But the damage was already done."
  https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/
  https://www.bleepingcomputer.com/news/security/wordpress-plugin-suite-hacked-to-push-malware-to-thousands-of-sites/
• When PUPs Grow Fangs: Dragon Boss Solutions Left An Open Door On 25,000+ Endpoints
  "Early in the morning on Sunday, the 22 March, what appeared to be standard adware started triggering alerts across multiple environments managed by Huntress. The executables were using an update mechanism to conceal a multi-stage attack chain designed to systematically disable security tools. These executables were signed by Dragon Boss Solutions LLC, a company claiming to conduct "search monetization research." The signed software silently fetches and executes payloads capable of killing antivirus products, all while running with SYSTEM privileges. Huntress observed the antivirus killing capability starting in late March 2025, although the loaders/updaters dated back to late 2024. The operation uses an off-the-shelf software update mechanism to deploy these MSI and PowerShell-based payloads. Establishing WMI persistence, it disables security applications, and blocks reinstallation of protective software."
  https://www.huntress.com/blog/pups-grow-fangs
  https://www.bleepingcomputer.com/news/security/signed-software-abused-to-deploy-antivirus-killing-scripts/
  https://www.infosecurity-magazine.com/news/dragon-boss-adware-disables/
  https://www.securityweek.com/10-domain-could-have-handed-hackers-25k-endpoints-including-in-ot-and-gov-networks/
• The n8n n8mare: How Threat Actors Are Misusing AI Workflow Automation
  "Cisco Talos research has uncovered agentic AI workflow automation platform abuse in emails. Recently, we identified an increase in the number of emails that abuse n8n, one of these platforms, from as early as October 2025 through March 2026. In this blog, Talos provides concrete examples of how threat actors are weaponizing legitimate automation platforms to facilitate sophisticated phishing campaigns, ranging from delivering malware to fingerprinting devices. By leveraging trusted infrastructure, these attackers bypass traditional security filters, turning productivity tools into delivery vehicles for persistent remote access."
  https://blog.talosintelligence.com/the-n8n-n8mare/
  https://thehackernews.com/2026/04/n8n-webhooks-abused-since-october-2025.html
• MiningDropper – A Global Modular Android Malware Campaign Operating At Scale
  "Cyble Research and Intelligence Labs (CRIL) has been monitoring a significant surge in the use of “MiningDropper”, a sophisticated Android malware delivery framework that combines cryptocurrency mining capabilities with the deployment of infostealers, Remote Access Trojans (RATs), and banking malware. MiningDropper employs a multi-stage payload delivery architecture that combines XOR-based native obfuscation, AES-encrypted payload staging, dynamic DEX loading, and anti-emulation techniques. This layered design enables threat actors to evade static detection, delay analysis, and dynamically control the delivery of the final payload."
  https://cyble.com/blog/miningdropper-global-modular-android-malware/
• Active HanGhost Loader Campaign Targets Enterprise Payment And Logistics Workflows
  "A new malware campaign built around the HanGhost loader is actively targeting corporate environments, focusing on employees involved in payments, logistics, and contract operations. The attack is designed to operate without leaving clear artifacts, allowing it to reach systems linked to revenue and operations before being fully analyzed. The campaign has already shown multiple waves of activity with different malware families, indicating active development and scaling rather than a one-off attack."
  https://hackread.com/active-hanghost-loader-payment-logistic-workflow/
• Fake YouTube Copyright Notices Can Steal Your Google Login
  "A convincing phishing campaign is going after YouTube creators, and if it works, attackers don’t just steal your Google login. They can take over your entire Google account, including Gmail, your files, and payments, then hijack your YouTube channel and use your audience to run scams. The lure is a fake copyright strike notification that’s so convincing even security-aware users could fall for it. The attack site pulls in your real channel data, such as your profile picture, subscriber count, and latest video, to build a personalized scare page. It funnels you toward a sign-in page designed to steal your Google account."
  https://www.malwarebytes.com/blog/threat-intel/2026/04/fake-youtube-copyright-notices-can-steal-your-google-login
• From Fake Proton VPN Sites To Gaming Mods, This Windows Infostealer Is Everywhere
  "We’ve uncovered multiple campaigns distributing an infostealer we track as NWHStealer, using everything from fake VPN downloads to hardware utilities and gaming mods. What makes this campaign stand out isn’t just the malware, but how widely and convincingly it’s being spread. Once installed, it can collect browser data, saved passwords, and cryptocurrency wallet information, which attackers may use to access accounts, steal funds, or carry out further attacks."
  https://www.malwarebytes.com/blog/threat-intel/2026/04/from-fake-proton-vpn-sites-to-gaming-mods-this-windows-infostealer-is-everywhere

Breaches/Hacks/Leaks

• Automotive Data Biz Autovista Blames Ransomware For Service Disruption
  "Autovista confirms that it called in outside support to help clean up a ransomware infection currently affecting systems in Europe and Australia. The automotive data and analytics biz issued a public statement on Wednesday confirming the incident, and said that it's working to contain the attack. London-headquartered Autovista offers a broad suite of applications to customers, all built around its data offerings, and it's these applications that are experiencing disruptions, it said."
  https://www.theregister.com/2026/04/15/automotive_data_biz_autovista_ransomware/

General News

• NIST Updates NVD Operations To Address Record CVE Growth
  "New risk-based model will allow NIST to manage current CVE volume while modernizing the NVD for long-term sustainability. NIST is changing the way it handles cybersecurity vulnerabilities and exposures, or CVEs, listed in its National Vulnerability Database (NVD). In the past, NIST’s NVD program aimed to analyze all CVEs to add details — such as severity scores and product lists — that help cybersecurity professionals prioritize and mitigate vulnerabilities. Going forward, NIST will add details, or “enrich,” those CVEs that meet certain criteria, which are explained below. CVEs that do not meet those criteria will still be listed in the NVD but will not automatically be enriched by NIST."
  https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth
  https://therecord.media/nist-to-limit-work-on-cve-entries-surge
  https://cyberscoop.com/nist-narrows-cve-analysis-nvd/
• Navigating The Unique Security Risks Of Asia's Digital Supply Chain
  "Asia's digital supply chain has unique challenges compared to other parts of the world, and organizations must respond accordingly. That's the upshot of an upcoming session at Black Hat Asia 2026, "Securing the Supply Chain: Managing Third‑Party Risk in Asia's Hyper‑Connected Digital Ecosystem." Security experts from Bitdefender, ISACA, Varonis, and more will convene April 22 to discuss the risks organizations in Asia face due to the complex web of third-party tools, AI models, cloud platforms, data vendors, and automation that make up many networks today."
  https://www.darkreading.com/cloud-security/navigating-unique-security-risks-asias-digital-supply-chain
• Prepping For 'Q-Day': Why Quantum Risk Management Should Start Now
  "Preparing for the post-quantum cryptography (PQC) era is going to take more than a simple migration plan. That's the advice of cryptography expert Jean-Philippe Aumasson, who co-authored the FIPS 205 stateless hash-based digital signature algorithm (SLH-DSA), a quantum-resistant encryption scheme. Aumasson, who is also co-founder and chief security officer of Taurus SA, will be speaking next week at Black Hat Asia 2026 in Singapore in a session titled "Post-Quantum Cryptography: A Realistic Guide to Manage the Transition.""
  https://www.darkreading.com/cyber-risk/preparing-q-day-quantum-risk-management
• Why Orgs Need To Test Networks To Withstand DDoS Attacks During Peak Loads
  "QUESTION: How should security teams ensure they are effectively testing their DDoS defenses against their environment? Matthew Andriani, co-founder and CEO MazeBolt: Millions of people wait until the final days, if not the last day, before the tax filing deadline. Any platform handling tax filings, refund processing, or document uploads should recognize that the filing rush creates a perfect storm in which attacks can have a greater operational impact, as cyberattackers often carry out their activities during these peak-demand periods. During these peak loads, availability risk increases, and Layer 7 endpoints like login, account creation, and submission APIs can become harder to protect without blocking legitimate users. Filers are already worried about the deadline, so repeated login failures, stalling, or unexplained timeouts quickly erode trust."
  https://www.darkreading.com/cloud-security/test-networks-withstand-ddos-attacks-peak-loads
• Q1 2026 DDoS, Bad Bots, And BGP Incidents Statistics And Overview
  "The largest DDoS botnet we first detected in March 2025 has grown significantly over the past year, expanding from 1.33 million to 13.5 million infected devices. The majority of these devices are located in the United States, Brazil, and India. In Q1 2026, we discovered the Aeternum C2 botnet, which uses the Polygon blockchain as its primary command-and-control infrastructure, making it highly resistant to traditional takedown methods. The most intensive DDoS attack observed in Q1 2026 targeted an organization in the Betting segment. At its peak, it exceeded 2 Tbps and reached nearly 1 Bpps. Notably, the high-intensity phase lasted for more than 40 minutes, which is unusually long for attacks of this scale."
  https://qrator.net/blog/details/Q1-2026-DDoS-bad-bots-and-BGP-incidents-statistics-and-overview/
  https://hackread.com/botnet-device-drives-2-tbps-ddos-attacks-fintech/
• Coordinated Vulnerability Disclosure Is Now An EU Obligation, But Cultural Change Takes Time
  "In this Help Net Security interview, Nuno Rodrigues Carvalho, Head of Sector for Incident and Vulnerability Services at ENISA, discusses the recent CVE funding scare and what it exposed about the fragility of global vulnerability disclosure infrastructure. He outlines how EU regulations, including the Cyber Resilience Act and NIS2, are creating stronger accountability for vendors and organizations. ENISA is building out European vulnerability services to support member states. Carvalho also addresses how practitioners navigate conflicting enrichment sources, and argues the CVE program needs a distributed model with no single point of failure."
  https://www.helpnetsecurity.com/2026/04/15/nuno-rodrigues-carvalho-enisa-cve-program-vulnerability-disclosure/
• Network Segmentation Projects Fail In Predictable Patterns
  "Most enterprise networks have segmentation on the roadmap. Many have had it there for years. A survey of 400 U.S.-based network security practitioners who lived through failed segmentation projects finds that failure clusters into four distinct patterns, and the type of failure a team experiences depends heavily on the kind of environment and approach they attempted. The research, conducted in early 2026, applied latent class analysis to survey responses measuring both general IT project failure factors and segmentation-specific technical barriers."
  https://www.helpnetsecurity.com/2026/04/15/network-segmentation-failure-research/
  https://arxiv.org/pdf/2604.08632
• European Cybersecurity Agency ENISA Seeks Top-Tier Status In CVE Program
  "ENISA, the EU’s Cybersecurity Agency, is strengthening its ties with the US-funded Common Vulnerabilities and Exposures (CVE) program, a top leader of the agency has announced. Invited to speak at VulnCon26's opening keynote in Scottsdale, Arizona, on April 14, Nuno Rodrigues Carvalho, head of sector for Incidents and Vulnerability Services at ENISA, revealed that the agency was currently being onboarded by the US Cybersecurity and Infrastructure Security Agency (CISA), sole sponsor of the program, to become a top-level root CVE Numbering Authority (TL-Root CNA). Speaking to Infosecurity after the session, Carvalho said he hopes the European agency can obtain this status “in 2026 or early 2027.”"
  https://www.infosecurity-magazine.com/news/enisa-europe-seeks-top-level-root/
• AI Companies To Play Bigger Role In CVE Program, Says CISA
  "AI companies like OpenAI and Anthropic should play a bigger role in software vulnerability disclosures in the future, according to a leader of the world’s largest vulnerability disclosure scheme. Speaking at the opening of VulnCon26 in Scottsdale, Arizona, on April 14, Lindsey Cerkovnik said AI companies “should be better represented" in the Common Vulnerabilities and Exposures (CVE) program. As chief of the Vulnerability Response & Coordination (VRC) Branch at the US Cybersecurity and Infrastructure Security Agency (CISA), sole sponsor of the MITRE-run CVE program, Cerkovnik and her team manage coordinated vulnerabilities disclosures for the CVE program."
  https://www.infosecurity-magazine.com/news/ai-companies-to-play-bigger-role/
• CISO Conversations: Ross McKerchar, CISO At Sophos
  "Ross McKerchar began his Sophos career as the firm’s first security engineer 18 years ago and is now the company’s CISO. We discussed his journey and the role of the CISO. “Like most youngsters, I played video games as a child. By the time I was 16, I was already convinced that IT would be a good, solid career – so I went on to take a computer science degree at the University of Edinburgh.” But then came a realization. “I’m probably going to offend a lot of people with this, but much of IT is quite boring.” When you talk about IT, people’s eyes glaze over, he continues. But if you talk about cybercrime, they become engaged. “It’s whole of world rather than just the box in the computer room. It’s geopolitical, it’s adversarial, and it affects everybody, everywhere.” Conflict, he adds, makes for good stories – so, he shifted his interest from IT to cybersecurity."
  https://www.securityweek.com/ciso-conversations-ross-mckerchar-ciso-at-sophos/
• Tracking CVEs Attributed To Anthropic Researchers And Project Glasswing
  "Anthropic's Project Glasswing has generated significant attention—but very little concrete data. One question keeps coming up: what exactly did it find, disclose, and receive CVEs for? We've fielded this question repeatedly, so I did the work of tracking down publicly disclosed CVEs credited to the Anthropic research team at this time."
  https://www.vulncheck.com/blog/anthropic-glasswing-cves
  https://www.theregister.com/2026/04/15/project_glasswing_cves/
• Agents Hooked Into GitHub Can Steal Creds – But Anthropic, Google, And Microsoft Haven't Warned Users
  "Security researchers hijacked three popular AI agents that integrate with GitHub Actions by using a new type of prompt injection attack to steal API keys and access tokens, and the vendors who run agents didn’t disclose the problem. The researchers targeted Anthropic's Claude Code Security Review, Google's Gemini CLI Action, and Microsoft's GitHub Copilot, then disclosed the flaws and received bug bounties from all three. But none of the vendors assigned CVEs or published public advisories, and this, according to researcher Aonan Guan, "is a problem." "I know for sure that some of the users are pinned to a vulnerable version," Guan said in an exclusive interview with The Register about how he and a team from Johns Hopkins University discovered this prompt injection pattern and pwned the agents. "If they don't publish an advisory, those users may never know they are vulnerable – or under attack.""
  https://www.theregister.com/2026/04/15/claude_gemini_copilot_agents_hijacked/

อ้างอิง
Electronic Transactions Development Agency (ETDA)

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

️ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบ Microsoft ออกอัปเดตความปลอดภัยประจำเดือนเมษายน 2569 [1]

Microsoft ออกอัปเดตความปลอดภัยประจำเดือนเมษายน 2569 โดยมีช่องโหว่ที่สำคัญดังนี้

1. รายละเอียดช่องโหว่
   1.1 CVE-2026-33825 (CVSS3.1: 7.8) เป็นช่องโหว่ใน Microsoft Defender (Antimalware Platform) เกิดจากการควบคุมสิทธิ์ (Access Control) ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ได้ [2]
   1.2 CVE-2026-32201 (CVSS3.1: 6.5) เป็นช่องโหว่ประเภท Spoofing ในระบบ Microsoft SharePoint ซึ่งเกิดจากการตรวจสอบข้อมูลนำเข้าไม่เหมาะสม [3]

ทั้งนี้ หน่วยงานสามารถอัปเดตความปลอดภัยได้ที่ https://dg.th/0buaqrh76m และ https://dg.th/vh2nxtyr31

2. คำแนะนำในการป้องกัน
   • ดำเนินการอัปเดตแพตช์ทันที โดยเฉพาะระบบที่ใช้งาน Microsoft SharePoint และ Microsoft Defender
   • ตรวจสอบระบบที่เปิดให้เข้าถึงจากภายนอก เช่น SharePoint Server หรือบริการที่เชื่อมต่ออินเทอร์เน็ต
   • เฝ้าระวังพฤติกรรมผิดปกติ เช่น การเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือการเปลี่ยนแปลงสิทธิ์ผู้ใช้งาน
   • ใช้หลักการ Least Privilege จำกัดสิทธิ์ผู้ใช้งานให้เท่าที่จำเป็น
   • ติดตั้งระบบ Endpoint Detection & Response (EDR) เพื่อช่วยตรวจจับและตอบสนองต่อภัยคุกคามได้อย่างรวดเร็ว

3. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
   3.1 จำกัดการเข้าถึงระบบที่มีความเสี่ยง
   3.2 ใช้มาตรการป้องกันระดับเครือข่าย เช่น กำหนด Firewall / ACL เพื่อจำกัด IP ที่สามารถเข้าถึงระบบได้
   3.3 ควบคุมสิทธิ์ผู้ใช้งาน รวมถึงปิดใช้งานบัญชีที่ไม่ใช้งานหรือบัญชีที่ไม่จำเป็น

แหล่งอ้างอิง
[1] https://dg.th/h1is7ofytl
[2] https://dg.th/0vnq3g81ui
[3] https://dg.th/3hy4z7cge1

️ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบ Fortinet ออกประกาศแจ้งเตือนเกี่ยวกับช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ FortiSandbox ซึ่งผู้โจมตีสามารถรันคำสั่งบนระบบได้โดยไม่ได้รับอนุญาต ขอให้ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ดังกล่าวดำเนินการอัปเดตแพตช์ตามคำแนะนำของผู้พัฒนา เพื่อลดความเสี่ยงจากการถูกโจมตี [1]

1. รายละเอียดช่องโหว่
   1.1 CVE-2026-39813 (CVSS3.1: 9.1) เป็นช่องโหว่ประเภท Authentication Bypass ที่ส่งผลกระทบต่อ JRPC API ของ FortiSandbox ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวเข้าถึงระบบโดยไม่ผ่านการยืนยันตัวตน และสามารถยกระดับสิทธิ์ผ่าน Path Traversal [2]
   1.2 CVE-2026-39808 (CVSS3.1: 9.1) เป็นช่องโหว่ประเภท Command Injection ผู้โจมตีสามารถรันคำสั่งหรือโค้ดบนระบบได้ โดยการโจมตีผ่าน HTTP request ที่ถูกปรับแต่งเป็นพิเศษและไม่ผ่านการยืนยันตัวตน [3]

2. ผลกระทบที่เกิดขึ้น
   หากผู้ไม่หวังดีโจมตีสำเร็จ
   • เข้าถึงระบบโดยไม่ได้รับอนุญาต
   • ยกระดับสิทธิ์จนควบคุมระบบได้ทั้งหมด
   • รันคำสั่งอันตรายหรือฝังมัลแวร์

3. เวอร์ชันที่ได้รับผลกระทบ
   FortiSandbox เวอร์ชัน 4.4.0 – 4.4.8
   FortiSandbox เวอร์ชัน 5.0.0 – 5.0.5

4. แนวทางการแก้ไข
   4.1 อัปเดตแพตช์ความปลอดภัยเป็นเวอร์ชันล่าสุดจากผู้พัฒนาโดยทันที
   4.2 ตรวจสอบระบบที่ใช้งาน FortiSandbox ว่ายังอยู่ในเวอร์ชันที่มีช่องโหว่หรือไม่

5. คำแนะนำด้านความปลอดภัยเพิ่มเติม
   5.1 จำกัดการเข้าถึงจากภายนอก
   5.2 ใช้ Firewall หรือ ACL เพื่อควบคุมการเข้าถึง
   5.3 เฝ้าระวัง Log และพฤติกรรมที่ผิดปกติ
   5.4 ใช้ระบบตรวจจับการบุกรุก (IDS/IPS) เพื่อช่วยป้องกันการโจมตี

6. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
   6.1 ปิดการเข้าถึง Management Interface จากเครือข่ายภายนอก
   6.2 ใช้ Firewall / ACL ควบคุมการเข้าถึง
   6.3 ปิดหรือจำกัดฟังก์ชันที่มีความเสี่ยง เช่น ปิดการใช้งาน JRPC API ชั่วคราว
   

แหล่งอ้างอิง
[1] https://dg.th/le4o86ja3q
[2] https://dg.th/ax7pb9okiw
[3] https://dg.th/0i1g2mt46c

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนผู้ดูแลระบบและผู้ใช้งานโซลูชันของ SAP ให้เร่งตรวจสอบและติดตั้งแพตช์ความปลอดภัย เนื่องจากมีการตรวจพบช่องโหว่ร้ายแรงระดับวิกฤต (Critical) ในส่วนประกอบของ SAP ABAP Platform (Advanced Business Application Programming Platform)
ซึ่งเป็นโครงสร้างพื้นฐานสำคัญของระบบ SAP หลายประเภท ส่งผลให้ผู้ไม่หวังดีอาจเข้าควบคุมระบบหรือเข้าถึงข้อมูลทางธุรกิจที่สำคัญได้โดยไม่ต้องผ่านการพิสูจน์ตัวตน [1]

ช่องโหว่ที่สำคัญที่สุด คือ CVE-2026-34256 (CVSS 3.1 : 7.1 ) โดยช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถส่งคำสั่งอันตรายเข้าไปทำงานในระบบได้ (Remote Code Execution)

1. รายละเอียดและพฤติการณ์ของภัยคุกคาม [2]
   ช่องโหว่ CVE-2026-34256 เกิดจากข้อผิดพลาดในการตรวจสอบสิทธิ์ภายในระบบ SAP ABAP Platform ทำให้ผู้โจมตีสามารถข้ามผ่านขั้นตอนการล็อกอินตามปกติ (Authentication Bypass) และเข้าถึงฟังก์ชันการทำงานระดับสูงได้
   โดยผู้โจมตีสามารถส่งแพ็กเก็ตข้อมูลที่สร้างขึ้นมาเป็นพิเศษผ่านเครือข่ายไปยังพอร์ตบริการของ SAP โดยไม่จำเป็นต้องมีบัญชีผู้ใช้งานหรือสิทธิ์ใดๆ ในระบบ เมื่อโจมตีสำเร็จจะสามารถรันสคริปต์เพื่อแก้ไขข้อมูล ขโมยฐานข้อมูลลูกค้า หรือสั่งปิดการทำงานของระบบทั้งหมด
   หากไม่ได้รับการแก้ไข ระบบ SAP S/4HANA และ ERP ที่รันบนแพลตฟอร์มที่ได้รับผลกระทบจะตกอยู่ในความเสี่ยงที่จะถูกยึดครองระบบ (System Compromise) อย่างสมบูรณ์

2. ผลิตภัณฑ์ที่ได้รับผลกระทบ [3]
   2.1 SAP ABAP Platform รวมถึงเวอร์ชัน 7.00, 7.31, 7.40, 7.50 จนถึงเวอร์ชันล่าสุดที่ระบุใน Security Note
   2.2 SAP NetWeaver Application Server ABAP
   2.3 SAP S/4HANA (เวอร์ชันที่ใช้งานร่วมกับ ABAP Platform รุ่นที่มีช่องโหว่)
   2.5 ผลิตภัณฑ์อื่นๆ ของ SAP ที่มีการใช้งานโมดูลที่เกี่ยวข้องกับการประมวลผลคำสั่งผ่าน ABAP

3. แนวทางการแก้ไขและป้องกันสำหรับผู้ใช้งาน [4]
   3.1 ผู้ดูแลระบบควรล็อกอินเข้าสู่ SAP Support Portal และตรวจสอบรายการ "SAP Security Notes - April 2026"
   3.2 ติดตั้งแพตช์ด่วน ดำเนินการติดตั้งแพตช์ความปลอดภัยตามคำแนะนำของ SAP สำหรับเวอร์ชันของซอฟต์แวร์ที่องค์กรใช้งานอยู่ทันที เพื่อปิดช่องทางที่ผู้ไม่หวังดีจะใช้โจมตี
   3.3 อัปเดต Kernel ในบางกรณีอาจจำเป็นต้องมีการอัปเดต SAP Kernel ควบคู่ไปกับการลงแพตช์ในระดับแอปพลิเคชัน เพื่อให้การป้องกันครอบคลุมทุกเลเยอร์

4. มาตรการลดความเสี่ยงเร่งด่วน [4]
   4.1 จำกัดการเข้าถึงเครือข่าย ในระหว่างที่ยังไม่สามารถติดตั้งแพตช์ได้ ให้จำกัดการเข้าถึงพอร์ตบริการของ SAP (เช่น พอร์ต 32xx, 33xx) โดยให้เข้าถึงได้เฉพาะจากเครือข่ายภายในที่เชื่อถือได้ หรือผ่าน VPN เท่านั้น
   4.2 ตรวจสอบ Log ความผิดปกติ เฝ้าระวังการพยายามล็อกอินที่ล้มเหลวจำนวนมาก หรือการเรียกใช้ฟังก์ชันแปลกปลอมใน Gateway Log และ System Log ของ SAP
   4.3 ตรวจสอบว่าได้ตั้งค่า Firewall และระบบตรวจจับการบุกรุก (IDS/IPS) เพื่อคัดกรองทราฟฟิกที่มุ่งเป้ามายังช่องโหว่ของ SAP โดยเฉพาะ

แหล่งอ้างอิง
[1] https://dg.th/dmantif6e3
[2] https://dg.th/yez5ft4hjr
[3] https://dg.th/y9id0k6o24
[4] https://dg.th/p1bgw4scmd

ThaiCERT ย้ำ "ระบบ SAP เป็นหัวใจสำคัญของข้อมูลธุรกิจ องค์กรควรให้ความสำคัญกับการอัปเดตแพตช์ความปลอดภัยตามรอบเดือน (Patch Day) อย่างเคร่งครัด เพื่อป้องกันความเสียหายต่อข้อมูลและชื่อเสียงของหน่วยงาน"
———————————
ด้วยความปรารถนาดี สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) / ThaiCERT

#ThaiCERT #CyberSecurity #Alert #SAP #ABAP #CVE202634256 #PatchTuesday #CyberAwareness
#ความมั่นคงปลอดภัยไซเบอร์ #แจ้งเตือนภัยคุกคาม #ช่องโหว่วิกฤต #SAPSecurity