โพสต์ถูกสร้างโดย NCSA_THAICERT

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบ Microsoft ออกแพตช์แก้ไขช่องโหว่ Zero-Day ใน Microsoft Defender หลังพบว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริง [1]

1. รายละเอียดเหตุการณ์
   Microsoft ออกแพตช์แก้ไขช่องโหว่ Zero-Day ใน Microsoft Defender โดยมีช่องโหว่ที่สำคัญจำนวน 2 รายการดังนี้
   1.1 CVE-2026-41091 (CVSS v3.1: 7.8) เป็นช่องโหว่ประเภท Elevation of Privilege (EoP) ใน Microsoft Defender เกิดจากข้อบกพร่อง Improper Link Resolution Before File Access (Link Following / Symlink Handling) ซึ่งทำให้ Microsoft Defender ตรวจสอบหรือเข้าถึงไฟล์ผ่านลิงก์ (symbolic link / hard link) อย่างไม่ปลอดภัย ส่งผลให้ผู้โจมตีที่มีสิทธิ์ในเครื่องอยู่แล้วสามารถใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์ (Local Privilege Escalation) ไปสู่สิทธิ์ที่สูงขึ้นในระบบได้ [2]
   1.2 CVE-2026-45498 (CVSS v3.1: 7.5) เป็นช่องโหว่ประเภท Denial of Service (DoS) ใน Microsoft Defender ซึ่งอาจทำให้ผู้โจมตีสามารถทำให้บริการหรือกระบวนการของ Microsoft Defender หยุดทำงานหรือไม่สามารถให้บริการได้ (Availability Impact) ส่งผลให้ระบบป้องกันมัลแวร์อาจทำงานผิดปกติหรือหยุดตอบสนองชั่วคราว [3]

2. ผลกระทบที่อาจเกิดขึ้น
   2.1 ยกระดับสิทธิ์จากผู้ใช้ทั่วไปไปเป็น SYSTEM-level privileges
   2.2 ปิดการทำงานหรือหลบเลี่ยงการป้องกันของ Microsoft Defender
   2.3 เข้าถึงข้อมูลสำคัญหรือ Credential ภายในระบบ
   2.4 ใช้เป็นฐานการโจมตีไปยังระบบอื่น
   2.5 เพิ่มความสามารถในการคงอยู่ในระบบ (Persistence) และหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัย

3. ระบบที่ได้รับผลกระทบ
   ระบบที่ใช้งาน Microsoft Defender Antivirus หรือ Microsoft Defender for Endpoint

4. แนวทางการป้องกันและแก้ไข
   4.1 ติดตั้งแพตช์ความปลอดภัยล่าสุดจาก Microsoft ทันที
   4.2 ตรวจสอบการยกระดับสิทธิ์ที่ผิดปกติ
   4.3 ตรวจสอบการปิดการทำงานของ Defender

5. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
   5.1 จำกัดสิทธิ์ผู้ใช้งานภายใน
   5.2 เปิดใช้งาน Tamper Protection เพื่อป้องกันการแก้ไขค่าของ Microsoft Defender
   5.3 ใช้ Application Control / WDAC / AppLocker เพื่อลดโอกาสการรันโค้ดที่ไม่ได้รับอนุญาต
   5.4 เฝ้าระวัง Event Logs ที่เกี่ยวข้องกับ Defender Service, Security Center และ Privilege Escalation
   5.5 แยกระบบที่มีความเสี่ยงสูงออกจากเครือข่ายสำคัญ
   
   แหล่งอ้างอิง
   [1] https://dg.th/7w6lp1cg0u
   [2] https://dg.th/h9a71ny8k2
   [3] https://dg.th/lm57t0a1wx

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบ Microsoft ออกมาตรการป้องกันและแก้ไขช่องโหว่ความปลอดภัยใน ASP.NET Machine Key และ ASP.NET Core [1]

1. รายละเอียดช่องโหว่
   บริษัท Microsoft ได้ออกประกาศแจ้งเตือนด้านความมั่นคงปลอดภัยไซเบอร์เกี่ยวกับการโจมตีที่มุ่งเป้าไปยังระบบเว็บแอปพลิเคชันที่พัฒนาด้วย ASP.NET และ ASP.NET Core หมายเลข CVE-2026-45585 (CVSS v3.1: 6.8) หรือที่เรียกว่า “YellowKey” โดยพบว่าผู้ไม่หวังดีสามารถใช้ Machine Key ที่เปิดเผยสู่สาธารณะ หรือใช้ประโยชน์จากช่องโหว่ด้านการตรวจสอบ Cryptographic Signature Verification เพื่อปลอมแปลงข้อมูลยืนยันตัวตนและยกระดับสิทธิ์ในระบบได้ [2]

ทั้งนี้ หน่วยงานสามารถดูรายละเอียดเพิ่มเติมได้ที่ https://dg.th/wc6dv0xjog

2. ระบบที่ได้รับผลกระทบ ได้แก่
   • Microsoft.AspNetCore.DataProtection เวอร์ชัน 10.0.0 ถึง 10.0.6 โดยเฉพาะระบบที่ทำงานบน Linux, macOS และระบบ Non-Windows

3. พฤติกรรมการโจมตี
   ผู้โจมตีสามารถใช้ Machine Keys ที่รั่วไหลหรือถูกเผยแพร่สาธารณะ สร้าง ViewState ปลอมที่ผ่านการตรวจสอบความถูกต้องของระบบ ASP.NET ได้ เมื่อเซิร์ฟเวอร์ประมวลผลข้อมูลดังกล่าว ระบบจะทำการถอดรหัสและรันโค้ดอันตรายภายในหน่วยความจำของ IIS Web Server ส่งผลให้ผู้โจมตีสามารถควบคุมระบบจากระยะไกล (Remote Code Execution: RCE)

4. ผลกระทบ
   4.1 เข้าควบคุมเว็บเซิร์ฟเวอร์หรือระบบงานสำคัญ
   4.2 เข้าถึงข้อมูลสำคัญหรือข้อมูลส่วนบุคคล รวมถึงแก้ไขข้อมูลสำคัญภายในระบบ
   4.3 ปลอมแปลง Session, Cookie หรือ Password Reset Token
   4.4 ใช้ระบบที่ถูกโจมตีเป็นฐานสำหรับโจมตีระบบอื่นภายในองค์กร
   4.5 แก้ไขหรือลบข้อมูลสำคัญขององค์กร

5. แนวทางการป้องกันและลดความเสี่ยง
   5.1 อัปเดต Microsoft.AspNetCore.DataProtection เป็นเวอร์ชัน 10.0.7 หรือเวอร์ชันล่าสุดโดยทันที
   5.2 ตรวจสอบไฟล์ web.config และการตั้งค่าของ IIS ว่ามีการกำหนดค่า Machine Keys แบบ Static หรือไม่
   5.3 ตรวจสอบระบบย้อนหลังเพื่อค้นหาร่องรอยการฝัง Web Shell, Godzilla Framework เป็นต้น

6. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
   6.1 Rotate ASP.NET Machine Keys และ Data Protection Keys ใหม่ทันที โดยสร้างกุญแจใหม่ที่มีความซับซ้อนสูง และไม่ใช้ค่าที่คัดลอกจากสาธารณะ หรือ Git Repository
   6.2 ปิดการใช้งาน Machine Keys แบบ Static
   6.3 จำกัดการเข้าถึงระบบจากภายนอก
   6.4 เปิดใช้งาน Web Application Firewall (WAF)
   6.5 ปิดฟังก์ชันหรือบริการที่ไม่จำเป็นชั่วคราว
   6.6 บังคับ Reset Session และ Authentication Token เป็นระยะ
   
   แหล่งอ้างอิง
   [1] https://dg.th/tfcokpxrz0
   [2] https://dg.th/wuarfe8z9j

เมื่อวันที่ 21 พฤษภาคม 2569 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 2 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

• CVE-2025-34291 Langflow Origin Validation Error Vulnerability
• CVE-2026-34926 Trend Micro Apex One (On-Premise) Directory Traversal Vulnerability

ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/05/21/cisa-adds-two-known-exploited-vulnerabilities-catalog
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Financial Sector

• 2026 Report: Industrialized Attacks Target Financial Services
  "The financial services industry’s digital transformation has created a dangerous visibility gap. With 73% of firms unable to see which APIs expose sensitive data, attackers are exploiting the connective tissue of modern banking. Download this exclusive report to see the latest threat intelligence for an industry under attack. Key findings include:"
  https://www.akamai.com/lp/soti/financial-services-security-trends
  https://www.akamai.com/content/dam/site/en/documents/state-of-the-internet/2026/financial-services-security-trends-report-pdf-preview.pdf
  https://www.bankinfosecurity.com/ai-botnets-drive-surge-in-financial-sector-ddos-attacks-a-31730

Industrial Sector

• Siemens RUGGEDCOM APE1808 Devices
  "A buffer overflow vulnerability in the User-ID Authentication Portal (aka Captive Portal) service of Palo Alto Networks PAN-OS software allows an unauthenticated attacker to execute arbitrary code with root privileges on the PA-Series and VM-Series firewalls by sending specially crafted packets. Siemens is preparing fix versions and recommends countermeasures for products where fixes are not, or not yet available. Customers are advised to consult and implement the workarounds provided in Palo Alto Networks' upstream security notifications. [1] https://security.paloaltonetworks.com/"
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-139-02
• ScadaBR
  "Successful exploitation of these vulnerabilities could allow an attacker to perform unauthenticated remote code execution."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-139-03
• ZKTeco CCTV Cameras
  "Successful exploitation of this vulnerability could result in information disclosure, including capture of camera account credentials."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-139-04
• Real-World ICS Security Tales From The Trenches
  "Industrial control systems (ICS) and operational technology (OT) environments are often described as quiet, highly controlled worlds. In reality, they contain a range of risks, unexpected configurations, and operational complexities that are difficult to fully uncover through standard penetration testing or conventional risk assessments. SecurityWeek spoke with several ICS security experts and companies about their most memorable experiences in the field. These are not theoretical scenarios or lab simulations — they are real situations they encountered while working directly with organizations."
  https://www.securityweek.com/real-world-ics-security-tales-from-the-trenches/
• ABB CoreSense HM And CoreSense M10
  "An update is available that resolves vulnerability in the product versions listed as affected in this advisory. A path traversal vulnerability in these products can allow unauthenticated users to gain access to restricted directories. Exploiting this vulnerability can lead to complete system compromise and exposure of sensitive information."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-139-01
• Kieback & Peter DDC Building Controllers
  "Successful exploitation of this vulnerability could allow an attacker to take control of the victim's browser."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-139-05

New Tooling

• CVE Lite CLI: Open-Source Dependency Vulnerability Scanner
  "Dependency vulnerability scanning in JavaScript and TypeScript projects has long sat at the end of the development pipeline. Pull requests get opened, continuous integration runs, and a security scanner returns a list of CVE identifiers that developers then have to triage hours or days after writing the code. CVE Lite CLI, now an officially recognized OWASP Incubator Project, moves that check to the developer’s terminal. The open-source tool, maintained by Sonu Kapoor, reads a project’s lockfile, queries the Open Source Vulnerabilities database, and returns copy-and-run fix commands scoped to the relevant package manager. It supports npm, pnpm, Yarn, and Bun."
  https://www.helpnetsecurity.com/2026/05/20/cve-lite-cli-open-source-dependency-vulnerability-scanner/
  https://github.com/OWASP/cve-lite-cli
• Microsoft Open-Sources RAMPART And Clarity To Secure AI Agents During Development
  "Microsoft has unveiled two new open-source tools called RAMPART and Clarity to assist developers in better testing the security of artificial intelligence (AI) agents. RAMPART, short for Risk Assessment and Measurement Platform for Agentic Red Teaming, functions as a Pytest-native safety and security testing framework for writing and running safety and security tests for AI agents, covering both adversarial and benign issues, as well as various harm categories."
  https://thehackernews.com/2026/05/microsoft-open-sources-rampart-and.html
  https://github.com/microsoft/RAMPART

Vulnerabilities

• Drupal Core - Highly Critical - SQL Injection - SA-CORE-2026-004
  "Drupal core includes a database abstraction API to ensure that queries executed against the database are sanitized to prevent SQL injection attacks. A vulnerability in this API allows an attacker to send specially crafted requests, resulting in arbitrary SQL injection for sites using PostgreSQL databases. This can lead to information disclosure, and in some cases privilege escalation, remote code execution, or other attacks. This vulnerability can be exploited by anonymous users. This SQL injection vulnerability only affects sites using PostgreSQL. However, the third-party dependency updates in these releases apply to all sites."
  https://www.drupal.org/sa-core-2026-004
• Exploit Released For New PinTheft Arch Linux Root Escalation Flaw
  "A recently patched Linux privilege escalation vulnerability now has a publicly available proof-of-concept (PoC) exploit that allows local attackers to gain root privileges on Arch Linux systems. The vulnerability, named PinTheft by the V12 security team and still waiting to be assigned a CVE ID for easier tracking, exists in the Linux kernel's RDS (Reliable Datagram Sockets) and was patched earlier this month. "PinTheft is a Linux local privilege escalation exploit for an RDS zerocopy double-free that can be turned into a page-cache overwrite through io_uring fixed buffers," V12 said in a Tuesday advisory."
  https://www.bleepingcomputer.com/news/linux/exploit-released-for-new-pintheft-arch-linux-root-escalation-flaw/
  https://github.com/v12-security/pocs/tree/09e835b587bf71249775654061ae4c79e92cf430/pintheft
  https://securityaffairs.com/192456/security/pintheft-another-linux-privilege-escalation-another-working-exploit-this-time-targeting-arch.html
• Microsoft Shares Mitigation For YellowKey Windows Zero-Day
  "Microsoft has shared mitigations for YellowKey, a recently disclosed Windows BitLocker zero-day vulnerability that grants access to protected drives. The security flaw was disclosed last week by an anonymous security researcher known as 'Nightmare Eclipse,' who described it as a backdoor and published a proof-of-concept (PoC) exploit. Nightmare Eclipse said that exploiting this zero-day involves placing specially crafted 'FsTx' files on a USB drive or EFI partition, rebooting into WinRE, and then triggering a shell with unrestricted access to the BitLocker-protected storage volume by holding down the CTRL key."
  https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-mitigation-for-yellowkey-windows-zero-day/
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45585
  https://thehackernews.com/2026/05/microsoft-releases-mitigation-for.html
  https://www.securityweek.com/microsoft-rolls-out-mitigations-for-yellowkey-bitlocker-bypass/
  https://securityaffairs.com/192449/hacking/microsoft-issues-yellowkey-mitigation-no-patch-yet.html
  https://www.helpnetsecurity.com/2026/05/20/yellowkey-bitlocker-mitigation-cve-2026-45585/
• Firefox 151 Packs Big Privacy Upgrades Into a Small Update
  "Mozilla has published release notes for Firefox browser version 151.0, and this update includes several genuinely meaningful privacy and security improvements."
  https://www.malwarebytes.com/blog/privacy/2026/05/firefox-151-packs-big-privacy-upgrades-into-a-small-update
• Second Time, Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration
  "For the second time in five months, Anthropic Claude Code's network sandbox lets a process inside reach hosts the user's policy says to block, and exfiltrate any data the process touches. Every Claude Code release from 2.0.24 (sandbox GA on 2025-10-20) through 2.1.89 was vulnerable to a SOCKS5 hostname null-byte injection. About 5.5 months and ~130 versions, including the release that silently fixed the first sandbox bypass. Both findings ended in a silent fix and no Claude Code security advisory."
  https://oddguan.com/blog/second-time-same-sandbox-anthropic-claude-code-network-allowlist-bypass-data-exfiltration/
  https://www.securityweek.com/anthropic-silently-patches-claude-code-sandbox-bypass/
  https://www.theregister.com/security/2026/05/20/even-claude-agrees-hole-in-its-sandbox-was-real-and-dangerous/5243662
• CISA Adds Seven Known Exploited Vulnerabilities To Catalog
  "CISA has added seven new vulnerabilities to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
  CVE-2008-4250 Microsoft Windows Buffer Overflow Vulnerability
  CVE-2009-1537 Microsoft DirectX NULL Byte Overwrite Vulnerability
  CVE-2009-3459 Adobe Acrobat and Reader Heap-Based Buffer Overflow Vulnerability
  CVE-2010-0249 Microsoft Internet Explorer Use-After-Free Vulnerability
  CVE-2010-0806 Microsoft Internet Explorer Use-After-Free Vulnerability
  CVE-2026-41091 Microsoft Defender Elevation of Privilege Vulnerability
  CVE-2026-45498 Microsoft Defender Denial of Service Vulnerability"
  https://www.cisa.gov/news-events/alerts/2026/05/20/cisa-adds-seven-known-exploited-vulnerabilities-catalog
• Hackers Bypass SonicWall VPN MFA Due To Incomplete Patching
  "Threat actors brute-forced VPN credentials and bypassed multi-factor authentication (MFA) on SonicWall Gen6 SSL-VPN appliances to deploy tools used in ransomware attacks. During the intrusions, the hacker took between 30 and 60 minutes to log in, do network reconnaissance, test credential reuse on internal systems, and log out. SonicWall warned in a security advisory for CVE-2024-12802 that installing the firmware update alone on Gen6 devices does not fully mitigate the vulnerability, and a manual reconfiguration of the LDAP server is required. Failing to do so leaves open the possibility of bypassing MFA protection."
  https://www.bleepingcomputer.com/news/security/hackers-bypass-sonicwall-vpn-mfa-due-to-incomplete-patching/
• Google Publishes Exploit Code Threatening Millions Of Chromium Users
  "Google on Wednesday published exploit code for an unfixed vulnerability in its Chromium browser codebase that threatens millions of people using Chrome, Microsoft Edge, and virtually all other Chromium-based browsers. The proof-of-concept code exploits the Browser Fetch programming interface, a standard that allows long videos and other large files to be downloaded in the background. An attacker can use the exploit to create a connection for monitoring some aspects of a user’s browser usage and as a proxy for viewing sites and launching denial-of-service attacks. Depending on the browser, the connections either reopen or remain open even after it or the device running it has rebooted."
  https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/

Malware

• After Two Years, Telegram Smishing Is Back, And Account Takeovers Are Here To Stay
  "Following the Telegram account takeover campaign in 2024, a smishing attack has recently been identified that uses Telegram security issues to steal users’ account information. threat actors hijack Telegram accounts by tricking users into entering their phone numbers and login codes on phishing sites. once an account is compromised, it can lead to personal information and chats being leaked, as well as secondary damage. let’s take a look at the main Telegram login smishing schemes and the security tips you should keep in mind."
  https://asec.ahnlab.com/en/93790/
• Steganography Secrets: Malware Hidden In Plain Sight
  "Threat actors are abusing image file hosting websites and file sharing services to deliver malware while evading enterprise security controls. Unlike more common, relatively simplistic, modern-day threats, these threat actors appear to be more sophisticated and less likely to send large-scale, minimally targeted attacks. The threat actors use a combination of steganography, encodings, and multiple delivery mechanisms to deliver remote access trojans (RATs), information stealers, and other malware, and are often successful at evading Endpoint Detection and Response (EDR) tools. The evidence for greater threat actor effort is also made apparent by the increased use of personally identifying information to customize email subjects and attachments, as compared to regular phishing. This report covers the infection chain, the image file hosting websites, and the malware used in steganographic campaigns."
  https://cofense.com/blog/steganography-secrets-malware-hidden-in-plain-sight
• Misconfigured, Enrolled And Dormant: Anatomy Of a P2Pinfect Kubernetes Compromise
  "FortiGuard Labs recently identified persistent P2Pinfect presences within Google Kubernetes Engine (GKE) clusters at several client companies, with one compromise spanning six months. The compromises originated from exposed Redis instances, which allowed the botnet to gain an initial foothold. The botnet's beaconing was repeatedly flagged in FortiCNAPP's Composite Alerts, underscoring how a single misconfiguration can enable long-term compromise in cloud environments. The IOCs observed across our customers also had significant overlap."
  https://www.fortinet.com/blog/threat-research/misconfigured-enrolled-and-dormant-anatomy-of-a-p2pinfect-kubernetes-compromise
• Volume Obfuscation Game: The Lead Data Brokers Out To Waste Your Time
  "Group-IB has observed a growing number of data advertisements targeting organizations worldwide across multiple industries, circulating within Chinese-language cybercrime ecosystems on dark web forums and Telegram. These sources typically advertise a large volume of data in short time frames, however Group-IB’s past analyses revealed that most claims consist of data compiled from prior breaches, generated and contain no indications of a data breach. A combination of rapid, high-volume messaging, frequent low-credibility claims, plus the lack of wider understanding and analysis of these sources and data contributes to a misunderstanding of their nature, operations and credibility."
  https://www.group-ib.com/blog/lead-data-obfuscation-brokers/
  Fake Word Phishing Reveals Enterprise Blind Spot In Trusted Remote Access Tools
  "A fake Word Online phishing page has exposed a growing enterprise blind spot: attackers using trusted tools to gain remote access without raising immediate alarms. The attack chain observed by ANY.RUN moved from an Outlook email to an MSI installer, silent execution, ScreenConnect remote access, and HideUL-based concealment. For CISOs, this is a warning that phishing investigations must focus on full behavior, not just malicious files."
  https://hackread.com/fake-word-phishing-enterprise-blind-spot-trusted-remote-access-tools/
• How An Image Could Compromise Your Mac: Understanding An ExifTool Vulnerability (CVE-2026-3102)
  "ExifTool is a widely adopted utility for reading and writing metadata in image, PDF, audio, and video files. It is available both as a standalone command-line application and as a library that can be embedded in other software. In this article, we break down CVE-2026-3102, an ExifTool vulnerability discovered by Kaspersky’s Global Research and Analysis Team (GReAT) in February 2026 and patched by the developers within the same month. Affecting macOS systems with ExifTool version 13.49 and earlier, this flaw could let an attacker run arbitrary commands by hiding instructions inside an image file’s metadata."
  https://securelist.com/exiftool-compromise-mac/119866/
• Webworm: New Burrowing Techniques
  "SET researchers analyzed the 2025 activity of Webworm, a China-aligned APT group that started out targeting organizations in Asia, but has recently shifted its focus to Europe. Even though this is our first public blogpost on the group, we have been observing Webworm’s activities ever since Symantec first reported on this threat actor in 2022. Over the years, we have seen that this threat actor continually changes its tactics, techniques, and procedures (TTPs)."
  https://www.welivesecurity.com/en/eset-research/webworm-new-burrowing-techniques/
  https://thehackernews.com/2026/05/webworm-deploys-echocreep-and-graphworm.html
  https://www.infosecurity-magazine.com/news/webworm-apt-evolves-tactics/
  https://www.helpnetsecurity.com/2026/05/20/webworm-apt-campaign-targets-europe/
• Ukraine Says Russia Is Deploying AI-Powered Malware On The Battlefield
  "Russia’s use of artificial intelligence in its cyberwar against Ukraine has expanded beyond fake news and propaganda campaigns, according to Ukrainian government officials. Moscow is now embedding AI directly into malware to generate malicious commands “on the fly.” A new report from Ukraine’s National Security and Defense Council says Russia’s use of AI across cyber operations expanded dramatically over the past year, reshaping everything from social engineering campaigns to malware development and creating what Ukrainian officials describe as a growing imbalance between attackers and defenders."
  https://therecord.media/ukraine-says-russia-using-ai-malware-on-battlefield
• Tracking TamperedChef Clusters Via Certificate And Code Reuse
  "This article documents novel activity clusters that have significant overlap with the publicly described threat known as TamperedChef (aka EvilAI). TamperedChef-style malware is trojanized productivity software, such as PDF editors or calendars, that deliver malicious payloads. These campaigns typically employ malicious ads that direct users to sites hosting the applications. While this style of malware shares many similarities in technical operation, installation lures and distribution methods, we do not attribute it to a single author or group."
  https://origin-unit42.paloaltonetworks.com/tracking-tampered-chef-clusters/
• Premium Deception: Uncovering a Global Android Carrier Billing Fraud Campaign
  "zLabs has identified a sophisticated Android malware campaign conducting carrier billing fraud through premium SMS abuse across Malaysia, Thailand, Romania, and Croatia. The campaign comprises almost 250 malicious applications that selectively target users based on their mobile operator, silently subscribing victims to premium services without consent."
  https://zimperium.com/blog/premium-deception-uncovering-a-global-android-carrier-billing-fraud-campaign
  https://www.darkreading.com/mobile-security/fake-android-apps-carrier-billing-fraud
  https://www.infosecurity-magazine.com/news/android-carrier-billing-fraud-four/
• VELVET CHOLLIMA Infostealer Campaign Using Trading App As Lure
  "Hybrid Analysis has identified a low-detection malicious installer masquerading as a legitimate cryptocurrency trading application called Tralert FX. The sample, a 100 MB Windows MSI submitted to VirusTotal in March 2026, achieved only a 3/52 detection rate. This low detection rate was largely due to a valid EV code signing certificate issued to a likely front company, AgilusTech LLC. What initially appeared to be a routine low-confidence detection quickly escalated into the exposure of a sophisticated, long-running, multi-stage infostealer campaign with infrastructure spanning five GitLab repositories, a dedicated C2 server, and a network of cryptocurrency trading lure domains."
  https://hybrid-analysis.blogspot.com/2026/05/velvet-chollima-infostealer-campaign.html

Breaches/Hacks/Leaks

• GitHub Confirms Breach Of 3,800 Repos Via Malicious VSCode Extension
  "GitHub has confirmed that roughly 3,800 internal repositories were breached after one of its employees installed a malicious VS Code extension. The company has since removed the unnamed trojanized extension from the VS Code marketplace and has secured the compromised device. "Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version, isolated the endpoint, and began incident response immediately," the company said."
  https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/
  https://thehackernews.com/2026/05/github-investigating-teampcp-claimed.html
  https://therecord.media/github-confirms-teampcp-hack-customers-unaffected
  https://www.darkreading.com/application-security/github-confirms-breach-4k-internal-repos-stolen
  https://www.helpnetsecurity.com/2026/05/20/github-breached-teampcp/
  https://www.infosecurity-magazine.com/news/github-confirms-breach-vs-code/
  https://www.securityweek.com/github-confirms-hack-impacting-3800-internal-repositories/
  https://securityaffairs.com/192440/cyber-crime/a-malicious-vs-code-extension-just-breached-github-s-internal-repositories.html
  https://www.theregister.com/devops/2026/05/20/github-says-internal-repos-exfiltrated-after-poisoned-vs-code-extension-attack/5243206
  https://cyberscoop.com/github-internal-repositories-vs-code-extension-attack/
  https://hackread.com/github-breach-teampcp-repositories-vs-code-extension/
• Grafana Breach Caused By Missed Token Rotation After TanStack Attack
  "The Grafana data breach was caused by a single GitHub workflow token that slipped through the rotation process following the TanStack npm supply-chain attack last week. In the ongoing Shai-Hulud malware campaign attributed to TeamPCP hackers, dozens of TanStack packages infected with credential-stealing code were published on the npm index, compromising developer environments, including Grafana's. When the malicious npm package was released, Grafana’s CI/CD workflow consumed it, and the info-stealer module executed in its GitHub environment, exfiltrating GitHub workflow tokens to the attackers."
  https://www.bleepingcomputer.com/news/security/grafana-breach-caused-by-missed-token-rotation-after-tanstack-attack/

General News

• What Will Make AI BOMs Real?
  "Standards bodies, open-source projects, and commercial vendors are already building meaningful momentum for realizing the promise of AI BOM. OWASP, with its CycloneDX SBOM standard, and the Linux Foundation, with its SPDX standard, have both released AI-specific extensions. The OWASP AI SBOM Initiative holds weekly open meetings and has developed the OWASP AI BOM Generator, the first open-source tool to automatically generate AIBOMs from Hugging Face models in CycloneDX format. And the SPDX standard added dedicated AI and dataset profiles in version 3.0, providing field mappings for model training and data provenance. Meanwhile, the OpenSSF AI/ML Working Group formalized a model-signing specification in 2025, with contributions from Google, HiddenLayer, and NVIDIA. Additionally, CISA's AI SBOM Tiger Team published foundational guidance in 2025, though the agency's significant personnel cuts this year have cast uncertainty over many of its ongoing initiatives."
  https://www.darkreading.com/cybersecurity-analytics/what-make-ai-bom-real
  https://www.darkreading.com/cyber-risk/make-ai-bom-usable-modern-security-program
• Communicating Cyber Risk In Dollars Boards Understand
  "In this Help Net Security interview, Nick Nieuwenhuis, Cybersecurity Architect at Nedscaper, explains why cybersecurity has not delivered the resilience that decades of investment have promised. He argues that spending has leaned too heavily on technical controls while neglecting people, processes, and organizational dynamics. He unpacks the gap between security teams and boards, pointing to weak risk communication and a reliance on qualitative heatmaps over hard evidence. He pushes back on root cause analysis as a reductionist habit, makes the case for treating resilience as a serious capability, and outlines what stronger organizations do differently, including investment in communication, rehearsed playbooks, and continuous learning across the security function."
  https://www.helpnetsecurity.com/2026/05/20/nick-nieuwenhuis-nedscaper-cyber-resilience-strategy/
• When Your AI Assistant Has The Keys To Production
  "Large language models in operational roles query telemetry, propose configuration changes, and in some deployments execute those changes against live infrastructure. Ticket drafting and alert summarization were the starting point. Vendors describe this work as autonomous remediation or self-healing infrastructure. A recent survey on agentic AI in network and IT operations gives it a more useful name: a confused-deputy problem waiting to happen."
  https://www.helpnetsecurity.com/2026/05/20/agentic-ai-security-llm-research/
  https://arxiv.org/pdf/2605.12729
• Typosquatting Is No Longer a User Problem. It's a Supply Chain Problem
  "On December 24, 2025, Trust Wallet users started losing money. Not because they clicked a phishing link. Not because they reused a weak password. Not because they did anything wrong at all. A self-replicating npm worm called Shai-Hulud had spent months harvesting developer credentials: GitHub tokens, npm publishing keys, and Chrome Web Store API credentials. Those keys allowed attackers to push a trojanized version of the Trust Wallet Chrome extension through official channels. Chrome's verification passed it."
  https://thehackernews.com/2026/05/typosquatting-is-no-longer-user-problem.html
• Threat Spotlight: CypherLoc, An Advanced Browser-Locking Scareware Targeting Millions
  "Barracuda Research, the threat intelligence arm of Barracuda, has identified CypherLoc, a sophisticated web‑based scareware kit that combines advanced evasion techniques, aggressive browser controls and psychological manipulation to push victims into calling fraudulent technical support phone numbers. Since the start of 2026, Barracuda researchers have observed around 2.8 million attacks featuring this kit. CypherLoc shows how scareware has evolved from simple frozen‑screen scams into stealthy, browser‑resident attack frameworks that rely on user fear rather than malware installation. In the case of CypherLoc, this includes the new and innovative use of encrypted loaders, hash-gated execution, and page replacement during operational runtime."
  https://blog.barracuda.com/2026/05/20/threat-spotlight-cypherloc-scareware
  https://www.infosecurity-magazine.com/news/researchers-cypherloc-scareware/
• Ukraine Identifies Infostealer Operator Tied To 28,000 Stolen Accounts
  "The Ukrainian cyberpolice, working in conjunction with U.S. law enforcement, has identified an 18-year-old man from Odesa suspected of running an infostealer malware operation targeting users of an online store in California. According to the Ukrainian police, the threat actor used information-stealing malware between 2024 and 2025 to infect users’ devices and steal browser sessions and account credentials. Infostealers are a popular type of malware that harvests sensitive data, including passwords, browser cookies, session tokens, crypto wallets, and payment information, from infected devices and sends it to cybercriminals for account theft, fraud, and resale."
  https://www.bleepingcomputer.com/news/security/ukraine-identifies-infostealer-operator-tied-to-28-000-stolen-accounts/
  https://therecord.media/ukraine-probes-teen-suspect-cyber-theft-scheme
• Processes And Culture Top Reasons Behind Data Breaches
  "Municipal leaders, utility personnel, and even one retired city auditor were eager to learn which cyber threats are targeting local governments, and more importantly how to address them because, as one panelist emphasized: "Nowadays, you will eventually be hit." Massachusetts state officials and technology specialists gathered to discuss the findings of a new study that examined all the breaches in 2024 against MA residents and found some troubling security gaps persist. Those same gaps – weak passwords and insufficient patch management - affect businesses nationwide. The threat vectors also echoed what vendors, like Verizon Business' Data Breach Investigation reports, have been saying for years: System intrusions and internet-facing vulnerabilities are how attackers gain access."
  https://www.darkreading.com/cyberattacks-data-breaches/processes-and-culture-top-reasons-behind-data-breaches
• ISC2 Research Deep Dive: AI And Emerging Technologies Signal Disruption For Cybersecurity
  "For cybersecurity professionals, emerging technologies are no longer distant innovations. They are active forces reshaping day-to-day work. Nowhere is this more evident than with artificial intelligence (AI). As organizations accelerate adoption of AI, security teams are being asked to harness AI’s potential while simultaneously defending against the new risks it introduces. The result is a security landscape defined by opportunity and unease, where the same technologies driving efficiency are also expanding the attack surface."
  https://www.isc2.org/Insights/2026/05/ai-and-emerging-technologies-disrupt-cybersecurity
  https://www.darkreading.com/cybersecurity-analytics/cyber-pros-ai

อ้างอิง
Electronic Transactions Development Agency (ETDA)

เมื่อวันที่ 20 พฤษภาคม 2569 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 7 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

• CVE-2008-4250 Microsoft Windows Buffer Overflow Vulnerability
• CVE-2009-1537 Microsoft DirectX NULL Byte Overwrite Vulnerability
• CVE-2009-3459 Adobe Acrobat and Reader Heap-Based Buffer Overflow Vulnerability
• CVE-2010-0249 Microsoft Internet Explorer Use-After-Free Vulnerability
• CVE-2010-0806 Microsoft Internet Explorer Use-After-Free Vulnerability
• CVE-2026-41091 Microsoft Defender Elevation of Privilege Vulnerability
• CVE-2026-45498 Microsoft Defender Denial of Service Vulnerability

ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/05/20/cisa-adds-seven-known-exploited-vulnerabilities-catalog

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนหน่วยงานและผู้ดูแลระบบที่ใช้งาน n8n Workflow Automation Platform ให้เร่งตรวจสอบและอัปเดตระบบโดยด่วน หลังมีรายงานช่องโหว่ จำนวน 5 รายการ ซึ่งอาจถูกใช้โดยผู้โจมตีที่มีบัญชีผู้ใช้และมีสิทธิ์สร้างหรือแก้ไข workflow เพื่อทำ Prototype Pollution นำไปสู่ Remote Code Execution (RCE) บนเครื่องที่รัน n8n หรืออ่านไฟล์สำคัญจากเซิร์ฟเวอร์ได้ [1]

1. รายละเอียดช่องโหว่
   n8n ได้ออกแพตช์แก้ไขช่องโหว่สำคัญหลายรายการ ดังนี้
   1.1 CVE-2026-42231 (CVSS v4.0: 8.8) [2] เป็นช่องโหว่ในไลบรารี xml2js ที่ใช้ประมวลผล XML request body ใน webhook handler ของ n8n ทำให้ผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถส่ง XML payload ที่ออกแบบมาเป็นพิเศษเพื่อทำ Prototype Pollution และเมื่อเชื่อมโยงกับการทำงานของ Git node อาจนำไปสู่การรันโค้ดบน n8n host ได้ ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.32, 2.17.4 และ 2.18.1 ขึ้นไป [3]
   1.2 CVE-2026-42232 (CVSS v4.0: 8.8) [4] เป็นช่องโหว่ Prototype Pollution ใน XML Node โดยผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถทำให้เกิด global prototype pollution และเมื่อใช้ร่วมกับ node อื่น อาจนำไปสู่ RCE บน n8n host ได้ ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.32, 2.17.4 และ 2.18.1 ขึ้นไป [5]
   1.3 CVE-2026-44789 (CVSS v4.0: 9.4) เป็นช่องโหว่ใน HTTP Request Node จากการตรวจสอบค่า pagination parameter ที่ไม่เพียงพอ ทำให้ผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถทำ global prototype pollution และนำไปสู่ RCE บน n8n host ได้ ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.43, 2.20.7 และ 2.22.1 ขึ้นไป [6]
   1.4 CVE-2026-44790 (CVSS v4.0: 9.4) เป็นช่องโหว่ใน Git Node ที่ทำให้ผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถ inject CLI flags ในการทำงานของ Git Push operation และอ่านไฟล์ใด ๆ จาก n8n server ได้ ซึ่งอาจนำไปสู่การยึดระบบหรือขโมยข้อมูลสำคัญ เช่น credentials, environment variables หรือ configuration files ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.43, 2.20.7 และ 2.22.1 ขึ้นไป [7]
   1.5 CVE-2026-44791 (CVSS v4.0: 9.4) เป็นช่องโหว่ที่สามารถ bypass แพตช์ของ CVE-2026-42232 ใน XML Node ได้ และเมื่อนำไปใช้ร่วมกับ node อื่น อาจทำให้เกิด RCE บน n8n host ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.43, 2.20.7 และ 2.22.1 ขึ้นไป [8]

2. ลักษณะการโจมตี
   การโจมตีช่องโหว่กลุ่มนี้โดยทั่วไปต้องอาศัยบัญชีผู้ใช้ที่มีสิทธิ์สร้างหรือแก้ไข workflow บน n8n ก่อน จากนั้นผู้โจมตีอาจใช้ XML Node, HTTP Request Node หรือ Git Node เพื่อทำ Prototype Pollution ขยายผลไปยังการรันโค้ดบนเครื่องที่รัน n8n หรืออ่านไฟล์สำคัญจากระบบได้
   แม้ช่องโหว่เหล่านี้ไม่ได้เป็น unauthenticated RCE โดยตรง แต่มีความเสี่ยงสูงในองค์กรที่มีผู้ใช้หลายราย, เปิดให้ทีมภายในสร้าง workflow, เชื่อมต่อ n8n กับระบบสำคัญ หรือเก็บ secrets/API keys ไว้ใน environment และ credentials ของระบบ automation

3. ผลกระทบ
   3.1 ผู้โจมตีอาจสามารถรันโค้ดบนเครื่องที่รัน n8n ได้
   3.2 อาจเกิดการอ่านไฟล์สำคัญจากเซิร์ฟเวอร์ เช่น configuration, environment variables, credentials หรือไฟล์ระบบอื่น
   3.3 อาจกระทบต่อระบบที่เชื่อมต่อกับ n8n เช่น API, SaaS, ฐานข้อมูล, ระบบ CI/CD หรือระบบภายในหน่วยงาน
   3.4 อาจทำให้ข้อมูลสำคัญรั่วไหล หรือถูกใช้เพื่อขยายผลการโจมตีไปยังระบบอื่น
   3.5 หน่วยงานที่อนุญาตให้ผู้ใช้หลายรายสร้างหรือแก้ไข workflow มีความเสี่ยงสูงเป็นพิเศษ

4. ผลิตภัณฑ์ที่ได้รับผลกระทบ
   4.1 n8n เวอร์ชันก่อน 1.123.32, 2.17.4 และ 2.18.1 ได้รับผลกระทบจาก CVE-2026-42231 และ CVE-2026-42232
   4.2 n8n เวอร์ชันก่อน 1.123.43, 2.20.7 และ 2.22.1 ได้รับผลกระทบจาก CVE-2026-44789, CVE-2026-44790 และ CVE-2026-44791

5. แนวทางการแก้ไขและป้องกัน
   5.1 อัปเดต n8n เป็นเวอร์ชัน 1.123.43, 2.20.7 หรือ 2.22.1 ขึ้นไป เพื่อครอบคลุมช่องโหว่ชุดล่าสุด
   5.2 จำกัดสิทธิ์การสร้างและแก้ไข workflow ให้เฉพาะผู้ใช้ที่จำเป็นและเชื่อถือได้เท่านั้น
   5.3 ตรวจสอบผู้ใช้ที่มีสิทธิ์แก้ไข workflow, API keys, credentials และ secrets ที่เชื่อมต่อกับ n8n
   5.4 ตรวจสอบ workflow ที่มีการใช้งาน XML Node, HTTP Request Node และ Git Node โดยเฉพาะ workflow ที่ถูกสร้างหรือแก้ไขก่อนการอัปเดต
   5.5 หากยังไม่สามารถอัปเดตได้ทันที ให้จำกัดการใช้งาน node ที่เกี่ยวข้อง และลดสิทธิ์ผู้ใช้ทั่วไปไม่ให้สร้างหรือแก้ไข workflow ชั่วคราว
   5.6 แยก n8n ออกจากระบบสำคัญด้วย network segmentation และหลีกเลี่ยงการรัน n8n ด้วยสิทธิ์สูงเกินจำเป็น
   5.7 ตรวจสอบ log การแก้ไข workflow, การเรียก webhook, การใช้ Git node, การเรียก HTTP request ผิดปกติ และพฤติกรรมที่อาจบ่งชี้การอ่านไฟล์หรือรันคำสั่งบนระบบ
   5.8 หมุนเวียนหรือเปลี่ยน credentials/secrets ที่ n8n ใช้งาน หากพบว่าระบบเคยอยู่ในเวอร์ชันที่ได้รับผลกระทบหรือมีพฤติกรรมต้องสงสัย

แหล่งอ้างอิง
[1] https://dg.th/schny7tzqu
[2] https://dg.th/9gs65w8i7o
[3] https://dg.th/p6hzxy2mw7
[4] https://dg.th/34drz9wg8e
[5] https://dg.th/pwl4qj35mv
[6] https://dg.th/65veai9m0b
[7] https://dg.th/wz1iuf68hv
[8] https://dg.th/e324xtvda1

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนผู้ดูแลระบบและผู้ใช้บริการผลิตภัณฑ์ F5 NGINX, BIG-IP และ BIG-IQ ถึงประกาศอัปเดตความปลอดภัยจาก F5 เพื่อแก้ไขช่องโหว่ความปลอดภัยหลายรายการที่มีความรุนแรงสูง ได้แก่ ช่องโหว่ Heap Buffer Overflow ใน NGINX, ช่องโหว่การใช้งาน API ที่มีสิทธิ์สูงอย่างไม่ถูกต้องใน BIG-IP iControl REST และช่องโหว่ Remote Code Execution ใน BIG-IP และ BIG-IQ Configuration utility โดยเฉพาะช่องโหว่ CVE-2026-42945 ซึ่งมีรายงานว่าถูกนำไปใช้โจมตีจริงแล้ว และมี Proof of Concept (PoC) เผยแพร่สาธารณะ หากไม่ดำเนินการแก้ไข อาจส่งผลให้ระบบหยุดให้บริการ ถูกยกระดับสิทธิ์ หรือถูกสั่งรันคำสั่งบนระบบโดยไม่ได้รับอนุญาตได้

1. รายละเอียดภัยคุกคาม
   F5 ได้เผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญในผลิตภัณฑ์ NGINX, BIG-IP และ BIG-IQ จำนวน 3 รายการ
   1.1 CVE-2026-42945 [1] เป็นช่องโหว่ประเภท Heap Buffer Overflow ใน ngx_http_rewrite_module ของ NGINX มีคะแนน CVSS v3.1: 8.1 โดยผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนอาจส่งคำขอ HTTP ที่ถูกดัดแปลงมาเป็นพิเศษ เพื่อทำให้ระบบ NGINX เกิดสภาวะปฏิเสธการให้บริการ หรือ Denial of Service (DoS) ได้
   ในกรณีที่ระบบปิดใช้งาน Address Space Layout Randomisation (ASLR) ช่องโหว่นี้อาจถูกใช้เพื่อสั่งรันโค้ดบนระบบเป้าหมายได้ ทั้งนี้ มีรายงานว่าช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีจริงแล้ว
   1.2 CVE-2026-41225 [2] เป็นช่องโหว่จากการใช้งาน API ที่มีสิทธิ์สูงอย่างไม่ถูกต้องใน BIG-IP iControl REST มีคะแนน CVSS v3.1: 9.1 โดยผู้โจมตีที่ผ่านการยืนยันตัวตน ที่สามารถเข้าถึงเครือข่ายไปยัง iControl REST endpoint ผ่านพอร์ตจัดการของ BIG-IP หรือผ่าน Self IP addresses อาจใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์ หรือข้ามข้อจำกัดของ Appliance mode บนระบบที่ได้รับผลกระทบได้
   1.3 CVE-2026-41957 [3] เป็นช่องโหว่ Remote Code Execution ในส่วน Configuration utility ของ BIG-IP และ BIG-IQ มีคะแนน CVSS v3.1: 8.8 โดยช่องโหว่ดังกล่าวเกิดจากการ Deserialisation of Untrusted Data โดยผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว อาจสามารถสั่งรันคำสั่งระบบ สร้างหรือลบไฟล์ หรือปิดบริการต่าง ๆ บนระบบที่ได้รับผลกระทบได้

2. ระบบที่อาจได้รับผลกระทบ [4]
   2.1 ผลิตภัณฑ์ NGINX และส่วนขยายที่เกี่ยวข้อง สำหรับ CVE-2026-42945

   • NGINX Plus: เวอร์ชัน R32 ถึง R36
   • NGINX Open Source: เวอร์ชัน 0.6.27 ถึง 0.9.7 ซึ่งไม่มีแพตช์แก้ไข และเวอร์ชัน 1.0.0 ถึง 1.30.0
   • NGINX Instance Manager: เวอร์ชัน 2.16.0 ถึง 2.22.0
   • F5 WAF for NGINX: เวอร์ชัน 5.9.0 ถึง 5.12.1
   • NGINX App Protect WAF: เวอร์ชัน 4.9.0 ถึง 4.16.0 และ 5.1.0 ถึง 5.8.0
   • F5 DoS for NGINX: เวอร์ชัน 4.8.0
   • NGINX App Protect DoS: เวอร์ชัน 4.3.0 ถึง 4.7.0
   • NGINX Gateway Fabric: เวอร์ชัน 1.3.0 ถึง 1.6.2 และ 2.0.0 ถึง 2.6.0
   • NGINX Ingress Controller: เวอร์ชัน 3.5.0 ถึง 3.7.2, 4.0.0 ถึง 4.0.1 และ 5.0.0 ถึง 5.4.2
     2.2 ผลิตภัณฑ์ BIG-IP สำหรับ CVE-2026-41225
   • BIG-IP ทุกโมดูล: เวอร์ชัน 16.1.0 ถึง 16.1.6, 17.1.0 ถึง 17.1.3, 17.5.0 ถึง 17.5.1 และ 21.0.0
     2.3 ผลิตภัณฑ์ BIG-IP และ BIG-IQ สำหรับ CVE-2026-41957
   • BIG-IP ทุกโมดูล: เวอร์ชัน 16.1.0 ถึง 16.1.6, 17.1.0 ถึง 17.1.3 และ 17.5.0 ถึง 17.5.1
   • BIG-IQ Centralised Management: เวอร์ชัน 8.4.0

3. ผลกระทบ
   3.1 ช่องโหว่ CVE-2026-42945 หากถูกโจมตีสำเร็จ ผู้โจมตีอาจทำให้ระบบ NGINX หยุดให้บริการ หรือในบางเงื่อนไขอาจนำไปสู่การสั่งรันโค้ดบนระบบที่ปิดใช้งาน ASLR ได้
   3.2 ช่องโหว่ CVE-2026-41225 ผู้โจมตีที่มีสิทธิ์สูงและสามารถเข้าถึง iControl REST endpoint อาจยกระดับสิทธิ์ หรือข้ามข้อจำกัดของ Appliance mode บน BIG-IP ได้
   3.3 ช่องโหว่ CVE-2026-41957 อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้วสามารถสั่งรันคำสั่งระบบ สร้างหรือลบไฟล์ หรือปิดบริการต่าง ๆ บน BIG-IP หรือ BIG-IQ ที่ได้รับผลกระทบได้ ซึ่งอาจส่งผลกระทบต่อความมั่นคงปลอดภัยและความพร้อมใช้งานของระบบ

4. แนวทางการตรวจสอบและป้องกัน
   4.1 ตรวจสอบว่าผลิตภัณฑ์ F5 NGINX, BIG-IP และ BIG-IQ ที่ใช้งานอยู่ อยู่ในรายการเวอร์ชันที่ได้รับผลกระทบหรือไม่
   4.2 อัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบให้เป็นเวอร์ชันล่าสุดที่ F5 เผยแพร่เพื่อแก้ไขช่องโหว่โดยทันที โดยมีรายละเอียดดังนี้

   • สำหรับ CVE-2026-42945 สามารถดูรายละเอียด และวิธีการแก้ไขได้ที่ https://dg.th/0erhxq7cku [5]
   • สำหรับ CVE-2026-41225 สามารถดูรายละเอียด และวิธีการแก้ไขได้ที่ https://dg.th/bqd6eozv0x [6]
   • สำหรับ CVE-2026-41957 สามารถดูรายละเอียด และวิธีการแก้ไขได้ที่ https://dg.th/2gwar9zxcq [7]
     4.3 ตรวจสอบการเปิดใช้งานและการเข้าถึง iControl REST และ Configuration utility โดยเฉพาะการเข้าถึงผ่าน Self IP addresses
     4.4 ตรวจสอบบันทึกการเข้าถึงและบันทึกเหตุการณ์ของระบบ เพื่อค้นหาพฤติกรรมผิดปกติที่อาจเกี่ยวข้องกับการพยายามโจมตีช่องโหว่ดังกล่าว
     4.5 จำกัดการเข้าถึงส่วนบริหารจัดการระบบให้เฉพาะเครือข่ายหรือผู้ดูแลระบบที่ได้รับอนุญาตเท่านั้น

ThaiCERT ขอเน้นย้ำว่าช่องโหว่ CVE-2026-42945 มีรายงานว่าถูกนำไปใช้โจมตีจริงแล้ว และมี PoC เผยแพร่สาธารณะ ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ F5 NGINX, BIG-IP และ BIG-IQ ควรเร่งตรวจสอบเวอร์ชันที่ใช้งาน อัปเดตแพตช์ หรือดำเนินมาตรการลดความเสี่ยงชั่วคราวตามคำแนะนำของผู้ผลิตโดยเร็วที่สุด เพื่อลดความเสี่ยงจากการหยุดชะงักของบริการ การยกระดับสิทธิ์ และการสั่งรันคำสั่งบนระบบโดยไม่ได้รับอนุญาต

แหล่งอ้างอิง
[1] https://dg.th/lijcm1auhk
[2] https://dg.th/v8ue9bckoz
[3] https://dg.th/6szalgqfoe
[4] https://dg.th/4k6q7rpc0z
[5] https://dg.th/0erhxq7cku
[6] https://dg.th/bqd6eozv0x
[7] https://dg.th/2gwar9zxcq

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

เมื่อวันที่ 16 พฤษภาคม 2569 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 1 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

• CVE-2026-42897 Microsoft Exchange Server Cross-Site Scripting Vulnerability

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/05/15/cisa-adds-one-known-exploited-vulnerability-catalog
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คำแนะนำเกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) จำนวน 7 รายการ เมื่อวันที่ 19 พฤษภาคม 2569 เพื่อให้ข้อมูลที่ทันเวลาเกี่ยวกับประเด็นด้านความมั่นคงปลอดภัย ช่องโหว่ และการโจมตีที่เกี่ยวข้องกับระบบ ICS โดยมีรายละเอียดดังนี้

• ICSA-26-139-01 ABB CoreSense HM and CoreSense M10
• ICSA-26-139-02 Siemens RUGGEDCOM APE1808 Devices
• ICSA-26-139-03 ScadaBR
• ICSA-26-139-04 ZKTeco CCTV Cameras
• ICSA-26-139-05 Kieback & Peter DDC Building Controllers
• ICSA-24-177-01 ABB 800xA Base (Update A)
• ICSA-25-196-02 ABB RMC-100 (Update A)

CISA แนะนำให้ผู้ใช้งานและผู้ดูแลระบบ ตรวจสอบคำแนะนำ ICS ที่เผยแพร่ล่าสุด เพื่อศึกษารายละเอียดทางเทคนิคและแนวทางการลดความเสี่ยง (mitigations)

อ้างอิง
https://www.cisa.gov/news-events/ics-advisories

Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คำแนะนำเกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) จำนวน 18 รายการ เมื่อวันที่ 14 พฤษภาคม 2569 เพื่อให้ข้อมูลที่ทันเวลาเกี่ยวกับประเด็นด้านความมั่นคงปลอดภัย ช่องโหว่ และการโจมตีที่เกี่ยวข้องกับระบบ ICS โดยมีรายละเอียดดังนี้

• ICSA-26-134-01 Siemens gWAP
• ICSA-26-134-02 Siemens Ruggedcom Rox
• ICSA-26-134-03 Siemens Solid Edge
• ICSA-26-134-04 Siemens Teamcenter
• ICSA-26-134-05 Siemens Simcenter Femap
• ICSA-26-134-06 Siemens Industrial Devices
• ICSA-26-134-07 Siemens SIMATIC
• ICSA-26-134-08 Siemens Siemens ROS#
• ICSA-26-134-09 Siemens Opcenter RDnL
• ICSA-26-134-10 Siemens SIMATIC CN 4100
• ICSA-26-134-11 Siemens Ruggedcom Rox
• ICSA-26-134-12 Siemens Ruggedcom Rox
• ICSA-26-134-13 Siemens SIPROTEC 5
• ICSA-26-134-14 Siemens SENTRON 7KT PAC1261 Data Manager
• ICSA-26-134-15 Siemens SIMATIC S7 PLC Web Server
• ICSA-26-134-16 Siemens Ruggedcom Rox
• ICSA-26-134-17 Universal Robots Polyscope 5
• ICSA-26-057-06 SWTCH EV swtchenergy.com (Update A)

CISA แนะนำให้ผู้ใช้งานและผู้ดูแลระบบ ตรวจสอบคำแนะนำ ICS ที่เผยแพร่ล่าสุด เพื่อศึกษารายละเอียดทางเทคนิคและแนวทางการลดความเสี่ยง (mitigations)

อ้างอิง
https://www.cisa.gov/news-events/ics-advisories

Industrial Sector

• Fuel Tank Breaches Expand Scope Of Iran's Cyber Offensive
  "Iranian hackers reportedly breached systems that monitor fuel levels in storage tanks serving gas stations around the US, demonstrating yet again the changing nature of modern warfare and Iran's cyber reach beyond its active military engagement with the US and Israel. Threat actors from Iran allegedly exploited automatic tank gauge (ATG) systems that were exposed online and lacked password protections, according to a report published by CNN Friday that cited sources familiar with the incident. Attackers managed to change display readings on the tanks but not the actual levels of fuel in them, according to the report."
  https://www.darkreading.com/cyberattacks-data-breaches/fuel-tank-breaches-expand-scope-irans-cyber-offensive

New Tooling

• Lyrie: Open-Source Autonomous Pentesting Agent
  "Penetration testing has usually required weeks of manual work, specialized tooling, and teams with narrow skill sets. Lyrie, an open-source autonomous security agent built by OTT Cybersecurity, compresses that process into a command line tool and publishes the entire codebase. The project reached version 3.1.0 this month. The release adds XChaCha20-Poly1305 memory encryption for sensitive threat data, seven new proof-of-concept generators covering prompt injection, auth bypass, CSRF, open redirect, race conditions, secret exposure, and cross-site execution, and three new deep scanners for Rust analysis, taint engine processing, and AI-driven code review. The repository now ships 25 tested commands spanning core security operations, binary analysis, governance, and self-improvement workflows."
  https://www.helpnetsecurity.com/2026/05/18/lyrie-ai-autonomous-pentesting-agent/
  https://github.com/OTT-Cybersecurity-LLC/lyrie-ai

Vulnerabilities

• Exploit Available For New DirtyDecrypt Linux Root Escalation Flaw
  "A recently patched local privilege escalation vulnerability in the Linux kernel's rxgk module now has a proof-of-concept exploit that allows attackers to gain root access on some Linux systems. Named DirtyDecrypt and also known as DirtyCBC, this security flaw was also autonomously found and reported by the V12 security team earlier this month, when the maintainers informed them that it was a duplicate that had already been patched in the mainline. "We found and reported this on May 9, 2026, but was informed it was a duplicate by the maintainers," V12 said. "It's a rxgk pagecache write due to missing COW guard in rxgk_decrypt_skb. See poc.c for more details.""
  https://www.bleepingcomputer.com/news/security/exploit-available-for-new-dirtydecrypt-linux-root-escalation-flaw/
• Linux Kernel Flaw Opens Root-Only Files To Unprivileged Users
  "Another Linux kernel flaw has handed local unprivileged users a way to peek at files they should never be able to read, including root-only secrets such as SSH keys. The bug affects multiple LTS kernel lines from 5.10 upward, although a fix has already landed – and there is now a proposal for reducing the odds of similar surprises in future. What FOSS analytics vendor Metabase memorably dubbed the strip-mining era of open source security continues. This time, the culprit is CVE-2026-46333, a local kernel vulnerability that lets an unprivileged user read files they should not be able to access, including those normally available only to root. An attacker who already has login access to an affected machine could therefore potentially grab SSH keys, password files, or other confidential credentials, as the KnightLi blog explains."
  https://www.theregister.com/security/2026/05/18/linux-kernel-flaw-opens-root-only-files-to-unprivileged-users/5241950
  https://www.knightli.com/en/2026/05/17/ssh-keysign-pwn-cve-2026-46333/

Malware

• SHub Reaper | MacOS Stealer Spoofs Apple, Google, And Microsoft In a Single Attack Chain
  "Infostealers targeting macOS have continued to proliferate over the last two years, with threat actors iterating on successful techniques across related malware families. Researchers at Moonlock, Jamf, and Malwarebytes have previously documented the rise of SHub Stealer, including its use of fake application installers and “ClickFix” social engineering. This week, SentinelOne observed a new SHub variant using the build tag “Reaper”. Reaper uses fake WeChat and Miro installers as lures, but what stands out is the way the infection chain shifts its disguise at each stage. The payload may be hosted on a typo-squatted Microsoft domain, executed under the guise of an Apple security update, and persist from a fake Google Software Update directory. Alongside the previously documented SHub feature set, the build also adds an AMOS-style document theft module with chunked uploads."
  https://www.sentinelone.com/blog/shub-reaper-macos-stealer-spoofs-apple-google-and-microsoft-in-a-single-attack-chain/
  https://www.bleepingcomputer.com/news/security/shub-macos-infostealer-variant-spoofs-apple-security-updates/
  https://hackread.com/reaper-malware-fake-microsoft-domain-macos-passwords/
  https://www.theregister.com/security/2026/05/19/do-fear-the-reaper-stealer-swipes-macos-users-passwords-wallets-then-backdoors-them/5242258
• New Actors Deploy Shai-Hulud Clones: TeamPCP Copycats Are Here
  "Four new malicious npm packages were detected and reported by OX Security in the last 24h, containing infostealer code. One of the packages (chalk-tempalte) contains a direct clone of the Shai-Hulud source code that TeamPCP leaked last week, probably inspired as part of the supply chain attack competition that was published in BreachForums not long after. One incriminating evidence that this is a different actor from TeamPCP, is that the Shai-Hulud malware code is an almost exact copy of the leaked source code, with no obfuscation techniques, which make the final version visually different from the original. In our breakdown we show the side by side comparison of the chalk-template Shai-Hulud version with the original source code leak, showing that they are the same."
  https://www.ox.security/blog/new-actors-deploy-shai-hulud-clones-teampcp-copycats-are-here/
  https://www.bleepingcomputer.com/news/security/leaked-shai-hulud-malware-fuels-new-npm-infostealer-campaign/
  https://www.securityweek.com/first-shai-hulud-worm-clones-emerge/
  https://www.theregister.com/cyber-crime/2026/05/18/shai-hulud-copycat-hits-another-npm-package/5242180
• Click, Install, Compromised: The New Wave Of Zoom-Themed Attacks
  "As with most things, change is inevitable - especially for threat actors operating in a rapidly evolving threat landscape. What starts as a familiar Zoom invite can quickly escalate into a full-blown compromise. Recently, the Cofense Phishing Defense Center (PDC) has observed a shift in which traditional credential-harvesting phishing campaigns and familiar social engineering tactics are increasingly being repurposed to deliver more significant threats, including malware and unauthorized remote access."
  https://cofense.com/blog/click-install-compromised-the-new-wave-of-zoom-themed-attacks
• When Worm Source Code Goes Open Source: The Shai-Hulud Clones Arrive
  "Last week the TeamPCP group did something the open source security community has been quietly dreading: they published the source code for the Shai-Hulud worm on GitHub and ran what amounted to a public attack challenge on BreachForums, inviting other actors to take the code and run with it. Days later, the first clones appeared on npm. A single threat actor uploaded four malicious packages from one account: a near-verbatim copy of Shai-Hulud with its own command-and-control infrastructure, three Axios typosquats, and a DDoS botnet payload that conscripts infected machines into a flooding network. All of them are aimed at developers who happen to fat-finger a dependency name."
  https://mondoo.com/blog/shai-hulud-clones-arrive-when-worm-source-code-goes-open-source
  https://www.darkreading.com/application-security/shai-hulud-worm-clones-spread-code-release
• Custom Attack Tooling Including Undisclosed C2 Infrastructure Targeting Malaysian Organizations
  "Oasis Security identified attacker-controlled infrastructure hosted on Microsoft Azure infrastructure in the Malaysia West region, used to conduct a targeted intrusion campaign against multiple Malaysian organizations. The operation demonstrates a high degree of operational planning, with the attacker developing purpose-built Python tooling for each target — covering internal network enumeration, database access, and external data exfiltration."
  https://oasis-security.io/blog/malaysian-government-with-undisclosed-c2-infrastructure
  https://hackread.com/government-backed-hackers-cloudflare-malaysia-espionage/
• Fast16: Pre-Stuxnet Sabotage Tool Was Built To Subvert Nuclear Weapons Simulations
  "In April 2026, our peers in SentinelOne published the first public analysis of fast16, a previously undiscovered sabotage framework whose oldest components appear to date from around 2005, approximately two years before Stuxnet first became active. The framework consists of a service binary that embeds an early Lua 5.0 virtual machine, a boot-start filesystem driver that intercepts and patches executable code as it is read from disk, and a rule-driven hook engine that rewrites very specific instruction sequences inside a single, narrowly defined target application."
  https://www.security.com/threat-intelligence/fast16-nuclear-sabotage
  https://thehackernews.com/2026/05/pre-stuxnet-fast16-malware-tampered.html
• NATS-As-C2: Inside a New Technique Attackers Are Using To Harvest Cloud Credentials And AI API Keys
  "On May 5, 2026, the Sysdig Threat Research Team (TRT) identified a novel command-and-control (C2) technique in which a threat actor used a NATS server as C2 infrastructure. The Sysdig TRT has dubbed this technique “NATS-as-C2.” Rather than relying on traditional HTTP-based panels or chat platforms, the attacker leveraged infrastructure more commonly associated with modern distributed systems. The Sysdig TRT traced the activity to an extended exploitation attempt involving CVE-2026-33017, an unauthenticated remote code execution (RCE) vulnerability in Langflow that was added to the CISA KEV catalog on March 25, 2026. Over roughly 30 minutes of hands-on activity, the operator at 159.89.205.184 (DigitalOcean) downloaded a Python worker and a Go binary. During this time, the Sysdig TRT captured the threat actor’s payload, exposing their coordination plane: a NATS server at 45.192.109.25:14222 running an authenticated, ACL-enforced instance. The attacker subsequently attempted to escape the container using DirtyPipe and DirtyCreds exploits."
  https://webflow.sysdig.com/blog/nats-as-c2-inside-a-new-technique-attackers-are-using-to-harvest-cloud-credentials-and-ai-api-keys
• Gamaredon’s Infection Chain: Spoofed Emails, GammaDrop And GammaLoad
  "Investigating Gamaredon’s abuse of CVE-2025-8088, we identified a dozen waves of spearphishing emails against Ukrainian state institutions in a campaign that is still active, dating back to September 2025. These emails – spoofed or sent from compromised government accounts – deliver persistent, multi-stage VBScript downloaders that profile the infected system. In the absence of public analysis of these malware, this report documents Gamaredon’s GammaDrop and GammaLoad downloader variants, the infrastructure behind them, and the methods used to deliver the spearphishing emails."
  https://harfanglab.io/insidethelab/gamaredon-gammadrop-gammaload/

Breaches/Hacks/Leaks

• 7-Eleven Data Breach Confirmed After ShinyHunters Ransom Demand
  "7-Eleven, the world’s largest convenience store chain, has confirmed suffering a data breach after the notorious ShinyHunters hacker group claimed to have stolen information from its systems. The company has started sending out security incident notices revealing that an intrusion into 7-Eleven systems used to store franchisee documents was detected on April 8. According to a notification submitted to the Maine Attorney General’s Office, unspecified personal information has been compromised. The exposed information was provided to the company during franchise applications."
  https://www.securityweek.com/7-eleven-data-breach-confirmed-after-shinyhunters-ransom-demand/
  https://securityaffairs.com/192336/data-breach/shinyhunters-hack-7-eleven-franchisee-data-and-salesforce-records-exposed.html
• A Hotel Check-In System Left a Million Passports And Driver’s Licenses Open For Anyone To See
  "A hotel check-in system left more than 1 million customer passports, driver’s licenses, and selfie verification photos to the open web after a security lapse. The data is now offline after TechCrunch alerted the company responsible. The hotel check-in system, called Tabiq, is maintained by the Japan-based tech startup Reqrea. According to its website, Tabiq is used in several hotels across Japan and relies on facial recognition and document scanning to check guests in."
  https://techcrunch.com/2026/05/15/a-hotel-check-in-system-left-a-million-passports-and-drivers-licenses-open-for-anyone-to-see/
  https://securityaffairs.com/192302/data-breach/public-amazon-bucket-leaks-sensitive-guest-data-from-japanese-hotel-platform-tabiq.html
• Millions Impacted Across Several US Healthcare Data Breaches
  "Several major data breaches were added to the healthcare data breach tracker maintained by the US Department of Health and Human Services (HHS) in recent days. All of the breaches were disclosed in recent months, but the number of affected individuals has only been made public now on the HHS breach tracker. The largest incident affects the New York City Health and Hospitals Corporation, which in March disclosed a data breach detected on February 2, 2026. An investigation found that threat actors had access to its systems between November 2025 and February 2026 via a third-party vendor. Exposed information includes personal, health insurance, medical, biometric, and financial information."
  https://www.securityweek.com/millions-impacted-across-several-us-healthcare-data-breaches/

General News

• April 2026 Threat Trend Report On APT Groups
  "this report covers cyber espionage and covert sabotage activities by Region-led threat groups believed to be supported by the Region. it excludes cybercrime groups that operate for financial gain. based on publicly available analysis over the past month, we categorized threat actors according to the names of their representatives in the ATIP."
  https://asec.ahnlab.com/en/93744/
• 201 Arrests In First-Of-Its-Kind Cybercrime Operation In MENA Region
  "A first-of-its-kind cybercrime operation in the MENA region has led to the arrest of 201 individuals, with a further 382 suspects identified. Thirteen countries from the Middle East and North Africa took part in Operation Ramz (October 2025 – 28 February 2026) which aimed to investigate and disrupt malicious infrastructure, identify and arrest suspects, and prevent future losses. The operation focused on neutralizing phishing and malware threats, as well as tackling cyber scams that inflict severe cost to the region. In addition to the arrests made, 3,867 victims were identified, and 53 servers were seized."
  https://www.interpol.int/en/News-and-Events/News/2026/201-arrests-in-first-of-its-kind-cybercrime-operation-in-MENA-region
  https://www.bleepingcomputer.com/news/security/interpol-operation-ramz-seizes-53-malware-phishing-servers/
  https://thehackernews.com/2026/05/interpol-operation-ramz-disrupts-mena.html
  https://therecord.media/more-than-200-arrested-interpol-middle-east-scams
  https://cyberscoop.com/interpol-operation-ramz-middle-east-north-africa/
  https://www.infosecurity-magazine.com/news/interpol-cybercrime-crackdown-mena/
  https://www.helpnetsecurity.com/2026/05/18/interpol-mena-cybercrime-operation-ramz-201-arrests/
• Hacktivists, Ransomware, And a 124% Surge Across DACH
  "Hacktivism and ransomware targeting organizations across Germany, Austria, and Switzerland increased 124% in 2025, according to Check Point Exposure Management (based on published attacks on the web and dark web). Three distinct dynamics drove the surge, each with its own logic and its own implications for security teams in 2026."
  https://blog.checkpoint.com/exposure-management/hacktivists-ransomware-and-a-124-surge-the-dach-threat-picture/
• The Canvas Breach Proved That Prevention Is No Longer Enough
  "Earlier this month, ShinyHunters breached Instructure’s Canvas platform twice within a single week — stealing 3.65 terabytes of data from approximately 275 million users across more than 8,000 institutions. The group defaced login pages at hundreds of schools during final exam periods, forced Canvas offline, and extracted a ransom payment before Congress opened a formal investigation. The attack did not require exotic malware or zero-day exploits. Attackers entered through compromised “Free-For-Teacher” accounts, escalated rapidly, and exfiltrated sensitive data at scale before Instructure could contain them."
  https://cyberscoop.com/canvas-breach-saas-security-identity-governance-op-ed/
• AI Is Drowning Software Maintainers In Junk Security Reports
  "AI-assisted vulnerability research has exploded, unleashing a firehose of low-quality reports on overworked software maintainers who are wasting hours sifting through noise instead of fixing real problems. Linus Torvalds, the Linux kernel’s creator, says the flood has made the project’s security mailing list “almost entirely unmanageable, with enormous duplication due to different people finding the same things with the same tools.”"
  https://www.helpnetsecurity.com/2026/05/18/problems-with-ai-assisted-vulnerability-research/
  https://www.theregister.com/security/2026/05/18/linus-torvalds-says-ai-powered-bug-hunters-have-made-linux-security-mailing-list-almost-entirely-unmanageable/5241633
• The AI Backdoor Your Security Stack Is Not Built To See
  "Enterprises deploying LLMs have spent the past two years building defenses around a reasonable assumption: malicious behavior leaves a trace in the input. Scan for suspicious tokens, filter unusual characters, watch for prompt injection patterns. New research from Microsoft and the Institute of Science Tokyo demonstrates that this defensive posture has a blind spot, and the cost of that blind spot could be measured in leaked proprietary data and regulatory exposure."
  https://www.helpnetsecurity.com/2026/05/18/metabackdoor-llm-backdoor-attack/
  https://arxiv.org/pdf/2605.15172
• AI Shrinks Vulnerability Exploitation Window To Hours
  "Time has become organizations’ biggest vulnerability because the gap between vulnerability discovery and exploitation has narrowed to hours, according to Synack’s 2026 State of Vulnerabilities Report. Agentic AI systems that act autonomously across systems introduce new risks that require human expertise to identify and understand. Automated scanning detects known signatures but can miss logic flaws, misconfigurations, and unexpected behavior."
  https://www.helpnetsecurity.com/2026/05/18/synack-2025-ai-driven-vulnerability-trends-report/
• When Ransomware Hits, Confidence Doesn’t Restore Endpoints
  "Ransomware, supply chain vulnerabilities, insider threats, compliance failures, and software disruptions remain major concerns for security leaders, according to The Ransomware Reality: Zero Days to Recover report by Absolute Security. A survey of 750 CISOs from enterprise organizations with more than 5,000 employees in the United States and the United Kingdom revealed gaps between ransomware frequency, confidence in recovery capabilities, and remediation timelines."
  https://www.helpnetsecurity.com/2026/05/18/absolute-security-cisos-ransomware-pressure-report/
• IT Threat Evolution In Q1 2026. Mobile Statistics
  "In the third quarter of 2025, we updated the methodology for calculating statistical indicators based on the Kaspersky Security Network. These changes affected all sections of the report except for the statistics on installation packages, which remained unchanged. To illustrate the differences between the reporting periods, we have also recalculated data for the previous quarters. Consequently, these figures may significantly differ from the previously published ones. However, subsequent reports will employ this new methodology, enabling precise comparisons with the data presented in this post."
  https://securelist.com/malware-report-q1-2026-mobile-statistics/119819/
  https://securelist.com/malware-report-q1-2026-pc-iot-statistics/119828/
• Developer Workstations Are Now Part Of The Software Supply Chain
  "Supply chain attackers are not only trying to slip malicious code into trusted software. They are trying to steal the access that makes trusted software possible. Recently, three separate campaigns hit npm, PyPI, and Docker Hub in a 48-hour window, and all three targeted secrets from developer environments and CI/CD pipelines, including API keys, cloud credentials, SSH keys, and tokens. This is an ongoing concern and is self-propagating, as seen in attacks like the "mini Shai Hulud" campaigns. That pattern should change how security teams think about the software supply chain."
  https://thehackernews.com/2026/05/developer-workstations-are-now-part-of.html

อ้างอิง
Electronic Transactions Development Agency (ETDA)