โพสต์ถูกสร้างโดย NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามรายงานการออกอัปเดตความปลอดภัยของ Trend Micro สำหรับผลิตภัณฑ์ Apex One และ Vision One Standard Endpoint Protection (SEP) หลังพบหลายช่องโหว่ในระบบ Endpoint Security โดยมีช่องโหว่ CVE-2026-34926 ที่ได้รับการยืนยันว่าพบความพยายามนำไปใช้โจมตีจริงแล้ว ผู้ใช้งานและผู้ดูแลระบบควรเร่งตรวจสอบเวอร์ชันและดำเนินการอัปเดตโดยเร็ว[1][2]

1. รายละเอียดช่องโหว่
   ช่องโหว่ CVE-2026-34926 (CVSS V3.1: 6.7)[3] เป็นช่องโหว่ Directory Traversal ใน Trend Micro Apex One แบบ On-Premise ซึ่งอาจเปิดโอกาสให้ผู้โจมตีที่สามารถเข้าถึงเซิร์ฟเวอร์และมีบัญชีระดับผู้ดูแลระบบอยู่ก่อนแล้ว แก้ไขข้อมูลสำคัญบนเซิร์ฟเวอร์เพื่อฝังโค้ดอันตรายและกระจายไปยัง Agent ภายในองค์กรได้ ช่องโหว่มีความเสี่ยงสูงในเชิงปฏิบัติ เนื่องจาก Apex One Server เป็นระบบบริหารจัดการ Endpoint Security ที่มีความน่าเชื่อถือสูงภายในองค์กร หากถูกยึดหรือถูกแก้ไข อาจถูกใช้เป็นช่องทางกระจาย payload ไปยังเครื่องลูกข่ายจำนวนมากได้

2. ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ
   2.1 Trend Micro Apex One 2019 on-premise: Server Agent build ต่ำกว่า 17079
   2.2 Trend Micro Apex One as a Service: Agent build ต่ำกว่า 14.0.20731
   2.3 Trend Vision One Endpoint Security – SEP: Agent build ต่ำกว่า 14.0.20731

3. แนวทางการป้องกันและแก้ไข
   3.1 อัปเดต Apex One on-premise เป็น SP1 CP Build 18012 หรือเวอร์ชันที่ผู้ผลิตแนะนำ
   3.2 ตรวจสอบให้ Security Agent เป็น build ที่ได้รับการแก้ไขแล้ว
   3.3 จำกัดการเข้าถึง Apex One Server เฉพาะเครือข่ายที่เชื่อถือได้
   3.4 ตรวจสอบบัญชีผู้ดูแลระบบ และเฝ้าระวัง Log ที่เกี่ยวข้อง

4. กรณีไม่สามารถอัปเดตได้ทันที
   4.1 ปิดการเข้าถึงระบบบริหารจัดการจากอินเทอร์เน็ตโดยตรง
   4.2 บังคับใช้งาน VPN/MFA สำหรับการเข้าถึงจากระยะไกล
   4.3 จำกัดสิทธิ์ผู้ดูแลระบบเท่าที่จำเป็น
   4.4 เพิ่มการตรวจสอบ Log, Alert และการเปลี่ยนแปลงบน Apex One Server
   4.5 วางแผนอัปเดตในช่วงเวลาที่กระทบระบบงานน้อยที่สุดค่าที่ถูกแก้ไขโดยไม่ได้รับอนุญาต

5. แหล่งอ้างอิง
   [1] https://dg.th/brhdvu45e0
   [2] https://dg.th/bmuyg0k5vq
   [3] https://dg.th/fvh4oziwyk

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Financial Sector

• April 2026 Security Issues In Korean & Global Financial Sector
  "attack Stage 1 Phishing, Attack Stage 2 Backdoor-Downloader-Dropper, and Attack Stage 3 Infostealer-Ransomware were identified as the top malware in the financial sector. The actual distribution files were identified based on MD5 Hash, and it was explained that there may be many variants of the same family."
  https://asec.ahnlab.com/en/93805/

Vulnerabilities

• Ubiquiti Patches Three Max Severity UniFi OS Vulnerabilities
  "Ubiquiti has released security updates to patch three maximum severity vulnerabilities in UniFi OS that can be exploited by remote attackers without privileges. UniFi OS is a unified operating system that powers UniFi Consoles and helps manage IT infrastructure, including networking, security, and other services, as well as UniFi applications such as UniFi Network, UniFi Protect, UniFi Access, UniFi Talk, and UniFi Connect."
  https://www.bleepingcomputer.com/news/security/ubiquiti-patches-three-max-severity-unifi-os-vulnerabilities/
• LiteSpeed cPanel Plugin CVE-2026-48172 Exploited To Run Scripts As Root
  "A maximum-severity security vulnerability impacting LiteSpeed User-End cPanel Plugin has come under active exploitation in the wild. The flaw, tracked as CVE-2026-48172 (CVSS score: 10.0), relates to an instance of incorrect privilege assignment that an attacker could abuse to run arbitrary scripts with elevated permissions. "Any cPanel user (including an attacker or a compromised account) may exploit the lsws.redisAble function to execute arbitrary scripts as root," LiteSpeed said."
  https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html
  https://blog.litespeedtech.com/2026/05/21/security-update-for-litespeed-cpanel-plugin/
• Trend Micro Warns Of Apex One Zero-Day Exploited In The Wild
  "Japanese cybersecurity software company Trend Micro has addressed an Apex One zero-day vulnerability exploited in attacks targeting Windows systems. Apex One is Trend Micro's enterprise-grade endpoint security platform that protects corporate networks from a wide range of security threats, including malware, ransomware, fileless attacks, and web-based threats. Tracked as CVE-2026-34926, this directory traversal vulnerability in the Apex One (on-premises) server allows local attackers with admin privileges to inject malicious code."
  https://www.bleepingcomputer.com/news/security/trend-micro-warns-of-apex-one-zero-day-exploited-in-attacks/
  https://www.securityweek.com/trendai-patches-apex-one-zero-day-exploited-in-the-wild/
• CISA Adds One Known Exploited Vulnerability To Catalog
  "CISA has added one new vulnerability to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
  CVE-2026-9082 Drupal Core SQL Injection Vulnerability"
  https://www.cisa.gov/news-events/alerts/2026/05/22/cisa-adds-one-known-exploited-vulnerability-catalog
  https://securityaffairs.com/192566/uncategorized/u-s-cisa-adds-a-flaw-in-drupal-core-to-its-known-exploited-vulnerabilities-catalog.html
  https://thehackernews.com/2026/05/drupal-core-sql-injection-bug-actively.html
  https://www.securityweek.com/drupal-vulnerability-in-hacker-crosshairs-shortly-after-disclosure/

Malware

• RondoDox Botnet Exploits 2018 Flaw In Asus Routers
  "Operators behind a botnet picked up on a nearly decade-old flaw in Asus routers allowing an unauthenticated attacker to achieve remote code execution as a root user. Researchers at VulnCheck flagged in-the-wild exploitation of CVE-2018-5999, a critical flaw carrying a 9.8 CVSS score, to the RondoDox botnet. The botnet, which surfaced in mid-2025 and focuses on Linux systems, is often classed as a variant of the Mirai botnet. "Unlike Mirai, this malware’s sole purpose is to execute DoS attacks, while Mirai is not only capable of doing DoS attacks but also scan and exploit other systems," wrote Bitsight in March."
  https://www.bankinfosecurity.com/rondodox-botnet-exploits-2018-flaw-in-asus-routers-a-31768
  https://hackread.com/rondodox-botnet-2018-vulnerability-hijack-asus-routers/
• Tracking Iranian APT Screening Serpens’ 2026 Espionage Campaigns
  "Unit 42 researchers have observed evidence of cyberattacks by the Iran-nexus advanced persistent threat (APT) group Screening Serpens (aka UNC1549, Smoke Sandstorm and Iranian Dream Job). Based on our visibility, we believe that the group targeted entities in the U.S., Israel and the United Arab Emirates, and likely two additional Middle Eastern entities. This research follows an evolution through cyberattacks in mid-February through April 2026. The timing of these campaigns aligns closely with that of the regional conflict that started in the Middle East on Feb. 28, 2026. We discovered six new remote access Trojan (RAT) variants developed and deployed between February and April 2026."
  https://unit42.paloaltonetworks.com/tracking-iran-apt-screening-serpens/
  https://www.bankinfosecurity.com/iranian-hackers-using-fake-job-sites-to-breach-defense-firms-a-31762
• Megalodon: Mass GitHub Repo Backdooring Via CI Workflows
  "On May 18, 2026, an automated campaign codenamed megalodon pushed 5,718 malicious commits to 5,561 GitHub repositories in a six-hour window. Using throwaway accounts and forged author identities (build-bot, auto-ci, ci-bot, pipeline-bot), the attacker injected GitHub Actions workflows containing base64-encoded bash payloads that exfiltrate CI secrets, cloud credentials, SSH keys, OIDC tokens, and source code secrets to a C2 server at 216[.]126[.]225[.]129:8443. The campaign deployed two payload variants. The mass variant (SysDiag) adds a new workflow triggered on every push and pull request, maximizing automated execution. A targeted variant (Optimize-Build) replaced existing workflows with workflow_dispatch triggers, creating dormant backdoors that the attacker can fire on demand via the GitHub API. The npm package @tiledesk/tiledesk-server versions 2.18.6 through 2.18.12 carry the targeted variant, propagated to npm through routine publishes by the legitimate maintainer from the compromised GitHub repository."
  https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/
  https://thehackernews.com/2026/05/megalodon-github-attack-targets-5561.html
  https://hackread.com/github-repositories-megalodon-supply-chain-attack/
  https://www.theregister.com/security/2026/05/22/megalodon-chums-the-waters-in-55k-github-repo-poisonings/5245342
• SEO Poisoning Campaign Leverages Gemini And Claude Code Impersonation To Deliver Infostealer
  "Financially motivated eCrime actors will likely continue to expand opportunistic campaigns by impersonating AI platforms. These campaigns generate direct supply chain risk for enterprises, as threat actors target software developer tooling, including AI coding assistants and package managers, to compromise developer workstations. In early March 2026, EclecticIQ analysts identified an ongoing infostealer campaign targeting Gemini CLI and Claude Code users. Threat actors use SEO poisoning to surface fake domains above legitimate results, directing victims to attacker-controlled infrastructure that mimics genuine AI agent installation pages."
  https://blog.eclecticiq.com/seo-poisoning-campaign-leverages-gemini-and-claude-code-impersonation-to-deliver-infostealer
  https://www.infosecurity-magazine.com/news/gemini-claude-infostealers-seo/
• Ghostwriter Targets Ukraine Government Entities With Prometheus Phishing Malware
  "The Belarus-aligned threat actor known as Ghostwriter (aka UAC-0057 and UNC1151Ukraine's National Security and Defense Council) has been observed using lures related to Prometheus, a Ukrainian online learning platform, to target government organizations in the country. The activity, per the Computer Emergency Response Team of Ukraine (CERT-UA), involves sending phishing emails to government entities using compromised accounts. It's been active since the spring of 2026."
  https://thehackernews.com/2026/05/ghostwriter-targets-ukraine-government.html
  https://therecord.media/oysterfresh-belarus-linked-campaign-targets-ukraine
  https://securityaffairs.com/192538/apt/ghostwriter-is-back-using-a-ukrainian-learning-platform-as-bait-to-hit-government-targets.html
• FBI Warns Of Kali365 Phishing-As-a-Service After April Microsoft 365 Attacks
  "Cybercriminals are using a new, easy-to-use service to trick people into giving them access to their Microsoft 365 accounts, according to the FBI. The law enforcement agency published an advisory on Thursday about Kali365 — a Telegram-based service for cybercriminals that allows them to capture legitimate "OAuth" tokens enabling widespread access to Microsoft 365 environments. Multiple cybersecurity companies warned last month that they were seeing hundreds of attacks enabled by Kali365. The tool, which the FBI referred to as a Phishing-as-a-Service platform, “lowers the barrier of entry, providing less-technical attackers access to AI-generated phishing lures, automated campaign templates, real-time targeted individual/entity tracking dashboards, and OAuth token capture capabilities.”"
  https://therecord.media/fbi-warns-of-kali365-phishing-attacks
  https://www.ic3.gov/PSA/2026/PSA260521
  https://cyberscoop.com/fbi-phishing-kali365-microsoft365-access-tokens/
  https://hackread.com/fbi-kali365-phishing-service-microsoft-365-account/
  https://www.helpnetsecurity.com/2026/05/22/kali365-microsoft-365-phishing-fbi-warning/
• Analyzing Void Dokkaebi’s Cython-Compiled InvisibleFerret Malware
  "Void Dokkaebi, also tracked as Famous Chollima, is a North Korea-aligned intrusion set that systematically targets software developers who hold cryptocurrency wallet credentials, signing keys, and access to continuous integration/continuous delivery (CI/CD) pipelines and production infrastructure. As previously documented by TrendAI Research, the group poses as recruiters from cryptocurrency and AI firms, luring developers into cloning and executing code repositories as part of fabricated job interviews. TrendAI Research observed that InvisibleFerret, a Python-based malware family composed of multiple modules and delivered through the infection chain, has been obfuscated using Cython."
  https://www.trendmicro.com/en_us/research/26/e/analyzing-void-dokkaebi-invisibleferret-malware.html
• Paved With Intent: ROADtools And Nation-State Tactics In The Cloud
  "ROADtools is an open-source framework written in Python and built for red-teaming and research. It primarily targets the identity and authentication layers of Azure, and focuses on how accounts, applications and tokens operate in tenants. To avoid detection, ROADtools operates through legitimate Microsoft APIs and can mimic typical traffic. Further defense evasion can be achieved by configuring request attributes such as user-agent strings. These capabilities have made ROADtools a valuable asset for attackers. Nation-state threat actors have used it in recent cloud intrusions for discovery, persistence and defense evasion. Attackers involved in a targeted phishing campaign in early 2025 used tooling that matches ROADtools' token management capabilities."
  https://unit42.paloaltonetworks.com/roadtools-cloud-attacks/
• A New SonicWall Scanning Spike Echoes The Pattern That Preceded CVE-2026-0400
  "Between May 9 and May 18, 2026, GreyNoise observed a significant new spike in scanning of SonicWall SonicOS management interfaces. The May 12 peak — approximately 597,000 sessions — was the largest single-day total recorded on the SonicWall SonicOS API Scanner tag in the past 90 days, roughly 46× the typical daily volume for this tag in the 30 days before the elevation. Similar elevations in activity against this GreyNoise tag have preceded new vulnerability disclosures affecting SonicWall (Ten Days Before Zero, GreyNoise 2026). Activity on this tag spiked three times in an earlier sequence — on January 18, January 30, and February 14 — at 37, 25, and 10 days before the February 24 disclosure of CVE-2026-0400. The current spike may be a similar early warning."
  https://www.greynoise.io/blog/sonicwall-scanning-spike-echoes-pattern-preceded-cve-2026-0400
• Laravel-Lang Supply Chain Attack: Every Tag Across Multiple Composer Packages Rewritten To Steal CI Secrets
  "On May 22, 2026, an attacker with push access to the Laravel-Lang GitHub organization rewrote every git tag across multiple popular Composer packages within a single 15 minute window. Anyone running composer update or installing fresh against laravel-lang/http-statuses, laravel-lang/actions, or laravel-lang/attributes now pulls a payload that exfiltrates CI secrets to a typosquatted attacker domain. StepSecurity confirmed end to end exploitation in an isolated runner and has filed security issues in all four repositories."
  https://www.stepsecurity.io/blog/laravel-lang-supply-chain-attack
  https://socket.dev/blog/laravel-lang-compromise
  https://www.aikido.dev/blog/supply-chain-attack-targets-laravel-lang-packages-with-credential-stealer
  https://www.bleepingcomputer.com/news/security/laravel-lang-packages-hijacked-to-deploy-credential-stealing-malware/
  https://thehackernews.com/2026/05/laravel-lang-php-packages-compromised.html
• Malicious Postinstall Hook Found Across 700+ GitHub Repositories, Including Packagist And Node.js Projects
  "Socket researchers identified a coordinated supply chain campaign affecting eight packages on Packagist whose upstream repositories were modified to include the same malicious postinstall script. The script attempted to download a Linux binary from a GitHub Releases URL, save it to /tmp/.sshd, make it executable, and run it in the background. Although the affected packages were all Composer packages, the malicious code was not added to composer.json. Instead, it was inserted into package.json, targeting projects that ship JavaScript build tooling alongside PHP code. That cross-ecosystem placement is notable because developers and security teams reviewing PHP dependencies may focus on Composer metadata while overlooking package.json lifecycle hooks bundled inside the package."
  https://socket.dev/blog/malicious-postinstall-hook-found-across-700-github-repos
  https://thehackernews.com/2026/05/packagist-supply-chain-attack-infects-8.html
• Foul Play: Fake FIFA Websites Target Soccer Fans Looking For World Cup Tickets, Merchandise
  "As the FIFA World Cup 2026 in the United States, Canada, and Mexico draws closer, anticipation is building toward fever pitch. Many soccer fans may still be hunting for tickets, merchandise, travel and hospitality packages – and scammers know exactly how to exploit this demand. In other words, many people are already in the state of mind that scammers count on: interested, impatient and, indeed, maybe a little worried that the tickets or other goods will sell out. Which is ultimately what makes these scams so effective."
  https://www.welivesecurity.com/en/cybersecurity/foul-play-fake-fifa-world-cup-websites-tickets/
• Ghost CMS SQL Injection Flaw Exploited In Large-Scale ClickFix Campaign
  "A large-scale campaign is exploiting a critical SQL injection vulnerability (CVE-2026-26980) in Ghost CMS to inject malicious JavaScript code that triggers ClickFix attack flows. The campaign was discovered by XLab threat intelligence researchers at Chinese cybersecurity company Qianxin, who confirmed impact on more than 700 domains, including university portals, AI/SaaS companies, media outlets, fintech firms, security sites, and personal blogs. According to the researchers, threat actors planted malicious code on the websites of Harvard University, Oxford University, Auburn University, and DuckDuckGo."
  https://www.bleepingcomputer.com/news/security/ghost-cms-sql-injection-flaw-exploited-in-large-scale-clickfix-campaign/

Breaches/Hacks/Leaks

• FBI Director’s Former Apparel Brand Hit By Malware
  "Two months after Iran-linked hackers exfiltrated FBI Director Kash Patel's personal email inbox, the government official's name is tangled up in another cyber incident - this time through a MAGA swag shop he founded. A ClickFix attack on the Based Apparel site tried to trick shoppers into running a malicious command though a fake Cloudflare verification page on Thursday. The entire merchandise shop has been taken offline Friday."
  https://www.bankinfosecurity.com/fbi-directors-former-apparel-brand-hit-by-malware-a-31767
• Hackers Steal Patient And Billing Data From German Hospitals Via Third-Party Provider
  "German university hospitals are grappling with a large-scale patient data breach after unknown hackers targeted an external billing service provider used by medical centers across the country, according to statements from several affected medical institutions. The attack reportedly hit Unimed, a company that handles billing services for privately insured and self-paying patients on behalf of numerous German hospitals. Hospitals said the breach did not compromise their own clinical infrastructure or disrupt patient treatment."
  https://therecord.media/hackers-steal-patient-billing-data-german-hospitals
• Techie Claims Trump Mobile Website Was Leaking Thousands Of People's Data
  "The US President’s oft-maligned Trump Mobile venture may be facing another setback after a security buff claims he discovered a now-plugged website vulnerability that he says was leaking what could be tens of thousands of suckers' customers' details. The individual behind the discovery, who goes by "Louis," says he's a self-taught tech tinkerer and described himself as "just a nerd between jobs with too much time on my hands." He reckons the website’s data could be scooped up with a simple POST request."
  https://www.theregister.com/security/2026/05/22/trump-mobile-site-leaks-customer-data-as-phone-finally-ships/5244828

General News

• The Proliferation And Evolution Of AI-Powered Hacking Tools – From Dark Web Distribution To Autonomous Attacks
  "since the emergence of WormGPT in June 2023, AI-based hacking tools have spread to the dark web, Telegram, GitHub, and Hugging Face. the market has evolved into a mix of paid subscription SaaS and free open-source distributions. key capabilities have been segmented into phishing automation, malware development, reconnaissance, brute force, vulnerability exploitation, and social engineering."
  https://asec.ahnlab.com/en/93816/
• Netherlands Seizes 800 Servers Of Hosting Firm Enabling Cyberattacks
  "Financial crime investigators in the Netherlands (FIOD) arrested two men and seized 800 servers linked to a web hosting company that enabled cyberattacks, interference operations, and disinformation campaigns. FIOD arrested a 57-year-old suspect, who was the company director, and a 39-year-old who headed a separate firm that provided internet connectivity. According to the authorities, the suspects indirectly provided economic resources to Russian and Belarusian entities sanctioned by the European Union (EU)."
  https://www.bleepingcomputer.com/news/security/netherlands-seizes-800-servers-of-hosting-firm-enabling-cyberattacks/
• Former US Execs Plead Guilty To Aiding Tech Support Scammers
  "Two former executives of a call-tracking and analytics company pleaded guilty to concealing a years-long tech support fraud scheme that victimized individuals worldwide. Former CEO Adam Young (from Miami, Florida) and former CSO Harrison Gevirtz (from Las Vegas, Nevada) admitted to a misprision of a felony charge, which carries a maximum penalty of three years in federal prison, a fine of up to $250,000, or both, and are scheduled for sentencing on June 16."
  https://www.bleepingcomputer.com/news/security/former-us-execs-plead-guilty-to-aiding-tech-support-scammers/
• When The Scanner Starts Thinking: Learnings From Mythos & GPT 5.5 Cyber In Security Testing
  "Frontier AI models like Anthropic Mythos and OpenAI GPT 5.5 Cyber present a critical inflection point for enterprise security. While they unlock transformative potential for security engineers seeking to embed AI into their workflows, they also expand the attack surface for organizations facing increasingly sophisticated attacks when used by threat actors. Mythos and GPT 5.5 Cyber do something fundamentally different from previous models. They reason across attack paths, weigh exploitability, and generate security-relevant workflows. The threat chain remains the same. Attackers will continue to find what’s exposed, break in through a weak point, move laterally, and steal data. What’s changed is the expertise required, speed, and scale."
  https://www.zscaler.com/blogs/security-research/when-scanner-starts-thinking-learnings-mythos-gpt-5-5-cyber-security
• AI Attacks Are No Longer Experimental: Key Findings From The March-April 2026 AI Threat Landscape
  "Between late December 2025 and mid-February 2026, Gambit found that a single operator compromised nine Mexican government agencies, reaching tax records, civil registry data, patient files, and electoral infrastructure across a two-month campaign. What made it remarkable was not the scope but the method: the attacker ran the entire operation with commercial AI handling the exploitation work, and researchers only discovered what had happened after recovering materials from attacker-controlled servers. AI was not a productivity tool running in the background. It was the operational core of the attack."
  https://blog.checkpoint.com/research/ai-attacks-are-no-longer-experimental-key-findings-from-the-march-april-2026-ai-threat-landscape/
• Downtime Has Become a $600 Billion Business Problem
  "The average cost of downtime has reached $600 billion for the Global 2000, a 50% increase in two years. According to Splunk’s The Hidden Costs of Downtime report, unplanned outages and service degradation cost each company an average of $300 million. Delayed product launches, brand damage, and stock declines continue to affect companies after systems return online. Customer expectations, cybersecurity threats, rising incident costs, and regulatory pressure have made downtime a priority for technology leaders."
  https://www.helpnetsecurity.com/2026/05/22/splunk-average-downtime-cost-report/
• The New Economics Of Fraud: Cheaper, Faster, More Convincing
  "Scams have become one of the fastest-growing consumer risks, driven by AI-enabled impersonation, social engineering, and sophisticated attack methods, according to Visa’s Spring 2026 Biannual Threats Report. Fraud involves behavioral manipulation, fragmented ecosystems, and faster attack cycles that use AI to pressure people into authorizing payments themselves. The payments ecosystem continues to strengthen core defenses. Token fraud declined 9.6% and enumeration losses fell 16% from July through December 2025 compared with the same period in 2024. Improvements in tokenization, authentication, and network-level detection contributed to those results."
  https://www.helpnetsecurity.com/2026/05/22/visa-consumer-payment-fraud-report/
• Cloud Atlas Activity In The Second Half Of 2025 And Early 2026: New Tools And a New Payload
  "In 2025, we observed pervasive SSH tunnel activity, which has remained active into 2026, affecting many government organizations and commercial companies in Russia and Belarus. Behind some of this activity is Cloud Atlas, a group we have known since 2014. During our investigation, we identified new tools used by this group, as well as indicators of compromise. The group is back to sending out archives containing malicious shortcuts that launch PowerShell scripts. This technique is employed in addition to the previously described use of malicious documents, which exploit an old vulnerability in the Microsoft Office Equation Editor process (CVE-2018-0802) to download and execute malicious code. We have observed the use of third-party public utilities (Tor/SSH/RevSocks) to gain a foothold in infected systems and create additional backup control channels."
  https://securelist.com/cloud-atlas-2026/119895/
• Italy Disrupts CINEMAGOAL Piracy App That Stole Streaming Auth Codes
  "Italian authorities have dismantled a piracy ecosystem centered around the CINEMAGOAL app that provided access to various streaming platforms, including Netflix, Disney+, and Spotify. Unlike typical IPTV service providers that openly market themselves online and expose their operations, CINEMAGOAL's approach was stealthier, as it used an app that customers installed on their devices. During the large-scale anti-piracy operation called “Tutto Chiaro” (All Clear), Italian law enforcement conducted 100 searches across the country and seized materials that could help investigators identify involved individuals, as well as determine the amount of illegal profits."
  https://www.bleepingcomputer.com/news/legal/italy-disrupts-cinemagoal-piracy-app-that-stole-streaming-auth-codes/
  Why Pure Extortion Is Replacing Traditional Ransomware
  "Ransomware groups are quietly changing strategy in 2026. Instead of encrypting systems and causing immediate disruption, many attackers are now focusing on pure extortion: stealing sensitive data and threatening to leak it publicly if victims refuse to pay. This shift is happening for a simple reason. Encryption is noisy, risky, and easier for defenders to detect. Data theft is often faster, quieter, and in many cases more profitable. Several recent reports suggest attackers are increasingly prioritizing credential theft, long-term access, and exfiltration over traditional ransomware deployment. The pressure point is changing too. Companies are no longer paying just to restore operations, they are paying to avoid reputational damage, regulatory fallout, and exposure of sensitive internal documents."
  https://securityaffairs.com/192550/cyber-crime/why-pure-extortion-is-replacing-traditional-ransomware.html
• Claude Mythos AI Finds 10,000 High-Severity Flaws In Widely Used Software
  "Anthropic on Friday disclosed that Project Glasswing has helped uncover more than 10,000 high- or critical-severity vulnerabilities across some of the most "systemically" important software across the world since the cybersecurity initiative went live last month. Project Glasswing is a defensive effort launched by the artificial intelligence (AI) company to secure critical global software infrastructure. It grants a small set of about 50 partners exclusive, early access to Claude Mythos Preview, a frontier model with capabilities to autonomously identify vulnerabilities in widely-used software before bad actors can exploit them."
  https://thehackernews.com/2026/05/claude-mythos-ai-finds-10000-high.html
  https://www.anthropic.com/research/glasswing-initial-update
  https://securityaffairs.com/192576/ai/anthropics-glasswing-10000-vulnerabilities-found-in-one-month-and-the-patching-problem-has-never-been-more-obvious.html
• Dirty Frag, Copy Fail, Fragnesia: The Start Of a Worrisome Linux Security Trend
  "Dirty Frag, Copy Fail, and Fragnesia are less a random cluster of Linux bugs and more the public unveiling of how AI tools can pry open security holes with just a prompt or two. What they also have in common is their shared abuse of a core kernel abstraction: The page cache. What does this mean for you and me? Is this the rainstorm before a downpour of killer Linux security problems, or is this just a shower? It depends on who you ask."
  https://www.theregister.com/security/2026/05/23/dirty-frag-copy-fail-fragnesia-the-start-of-a-worrisome-linux-security-trend/5244742

อ้างอิง
Electronic Transactions Development Agency (ETDA)

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบ Microsoft ออกแพตช์แก้ไขช่องโหว่ Zero-Day ใน Microsoft Defender หลังพบว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริง [1]

1. รายละเอียดเหตุการณ์
   Microsoft ออกแพตช์แก้ไขช่องโหว่ Zero-Day ใน Microsoft Defender โดยมีช่องโหว่ที่สำคัญจำนวน 2 รายการดังนี้
   1.1 CVE-2026-41091 (CVSS v3.1: 7.8) เป็นช่องโหว่ประเภท Elevation of Privilege (EoP) ใน Microsoft Defender เกิดจากข้อบกพร่อง Improper Link Resolution Before File Access (Link Following / Symlink Handling) ซึ่งทำให้ Microsoft Defender ตรวจสอบหรือเข้าถึงไฟล์ผ่านลิงก์ (symbolic link / hard link) อย่างไม่ปลอดภัย ส่งผลให้ผู้โจมตีที่มีสิทธิ์ในเครื่องอยู่แล้วสามารถใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์ (Local Privilege Escalation) ไปสู่สิทธิ์ที่สูงขึ้นในระบบได้ [2]
   1.2 CVE-2026-45498 (CVSS v3.1: 7.5) เป็นช่องโหว่ประเภท Denial of Service (DoS) ใน Microsoft Defender ซึ่งอาจทำให้ผู้โจมตีสามารถทำให้บริการหรือกระบวนการของ Microsoft Defender หยุดทำงานหรือไม่สามารถให้บริการได้ (Availability Impact) ส่งผลให้ระบบป้องกันมัลแวร์อาจทำงานผิดปกติหรือหยุดตอบสนองชั่วคราว [3]

2. ผลกระทบที่อาจเกิดขึ้น
   2.1 ยกระดับสิทธิ์จากผู้ใช้ทั่วไปไปเป็น SYSTEM-level privileges
   2.2 ปิดการทำงานหรือหลบเลี่ยงการป้องกันของ Microsoft Defender
   2.3 เข้าถึงข้อมูลสำคัญหรือ Credential ภายในระบบ
   2.4 ใช้เป็นฐานการโจมตีไปยังระบบอื่น
   2.5 เพิ่มความสามารถในการคงอยู่ในระบบ (Persistence) และหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัย

3. ระบบที่ได้รับผลกระทบ
   ระบบที่ใช้งาน Microsoft Defender Antivirus หรือ Microsoft Defender for Endpoint

4. แนวทางการป้องกันและแก้ไข
   4.1 ติดตั้งแพตช์ความปลอดภัยล่าสุดจาก Microsoft ทันที
   4.2 ตรวจสอบการยกระดับสิทธิ์ที่ผิดปกติ
   4.3 ตรวจสอบการปิดการทำงานของ Defender

5. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
   5.1 จำกัดสิทธิ์ผู้ใช้งานภายใน
   5.2 เปิดใช้งาน Tamper Protection เพื่อป้องกันการแก้ไขค่าของ Microsoft Defender
   5.3 ใช้ Application Control / WDAC / AppLocker เพื่อลดโอกาสการรันโค้ดที่ไม่ได้รับอนุญาต
   5.4 เฝ้าระวัง Event Logs ที่เกี่ยวข้องกับ Defender Service, Security Center และ Privilege Escalation
   5.5 แยกระบบที่มีความเสี่ยงสูงออกจากเครือข่ายสำคัญ
   
   แหล่งอ้างอิง
   [1] https://dg.th/7w6lp1cg0u
   [2] https://dg.th/h9a71ny8k2
   [3] https://dg.th/lm57t0a1wx

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบ Microsoft ออกมาตรการป้องกันและแก้ไขช่องโหว่ความปลอดภัยใน ASP.NET Machine Key และ ASP.NET Core [1]

1. รายละเอียดช่องโหว่
   บริษัท Microsoft ได้ออกประกาศแจ้งเตือนด้านความมั่นคงปลอดภัยไซเบอร์เกี่ยวกับการโจมตีที่มุ่งเป้าไปยังระบบเว็บแอปพลิเคชันที่พัฒนาด้วย ASP.NET และ ASP.NET Core หมายเลข CVE-2026-45585 (CVSS v3.1: 6.8) หรือที่เรียกว่า “YellowKey” โดยพบว่าผู้ไม่หวังดีสามารถใช้ Machine Key ที่เปิดเผยสู่สาธารณะ หรือใช้ประโยชน์จากช่องโหว่ด้านการตรวจสอบ Cryptographic Signature Verification เพื่อปลอมแปลงข้อมูลยืนยันตัวตนและยกระดับสิทธิ์ในระบบได้ [2]

ทั้งนี้ หน่วยงานสามารถดูรายละเอียดเพิ่มเติมได้ที่ https://dg.th/wc6dv0xjog

2. ระบบที่ได้รับผลกระทบ ได้แก่
   • Microsoft.AspNetCore.DataProtection เวอร์ชัน 10.0.0 ถึง 10.0.6 โดยเฉพาะระบบที่ทำงานบน Linux, macOS และระบบ Non-Windows

3. พฤติกรรมการโจมตี
   ผู้โจมตีสามารถใช้ Machine Keys ที่รั่วไหลหรือถูกเผยแพร่สาธารณะ สร้าง ViewState ปลอมที่ผ่านการตรวจสอบความถูกต้องของระบบ ASP.NET ได้ เมื่อเซิร์ฟเวอร์ประมวลผลข้อมูลดังกล่าว ระบบจะทำการถอดรหัสและรันโค้ดอันตรายภายในหน่วยความจำของ IIS Web Server ส่งผลให้ผู้โจมตีสามารถควบคุมระบบจากระยะไกล (Remote Code Execution: RCE)

4. ผลกระทบ
   4.1 เข้าควบคุมเว็บเซิร์ฟเวอร์หรือระบบงานสำคัญ
   4.2 เข้าถึงข้อมูลสำคัญหรือข้อมูลส่วนบุคคล รวมถึงแก้ไขข้อมูลสำคัญภายในระบบ
   4.3 ปลอมแปลง Session, Cookie หรือ Password Reset Token
   4.4 ใช้ระบบที่ถูกโจมตีเป็นฐานสำหรับโจมตีระบบอื่นภายในองค์กร
   4.5 แก้ไขหรือลบข้อมูลสำคัญขององค์กร

5. แนวทางการป้องกันและลดความเสี่ยง
   5.1 อัปเดต Microsoft.AspNetCore.DataProtection เป็นเวอร์ชัน 10.0.7 หรือเวอร์ชันล่าสุดโดยทันที
   5.2 ตรวจสอบไฟล์ web.config และการตั้งค่าของ IIS ว่ามีการกำหนดค่า Machine Keys แบบ Static หรือไม่
   5.3 ตรวจสอบระบบย้อนหลังเพื่อค้นหาร่องรอยการฝัง Web Shell, Godzilla Framework เป็นต้น

6. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
   6.1 Rotate ASP.NET Machine Keys และ Data Protection Keys ใหม่ทันที โดยสร้างกุญแจใหม่ที่มีความซับซ้อนสูง และไม่ใช้ค่าที่คัดลอกจากสาธารณะ หรือ Git Repository
   6.2 ปิดการใช้งาน Machine Keys แบบ Static
   6.3 จำกัดการเข้าถึงระบบจากภายนอก
   6.4 เปิดใช้งาน Web Application Firewall (WAF)
   6.5 ปิดฟังก์ชันหรือบริการที่ไม่จำเป็นชั่วคราว
   6.6 บังคับ Reset Session และ Authentication Token เป็นระยะ
   
   แหล่งอ้างอิง
   [1] https://dg.th/tfcokpxrz0
   [2] https://dg.th/wuarfe8z9j

เมื่อวันที่ 21 พฤษภาคม 2569 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 2 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

• CVE-2025-34291 Langflow Origin Validation Error Vulnerability
• CVE-2026-34926 Trend Micro Apex One (On-Premise) Directory Traversal Vulnerability

ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/05/21/cisa-adds-two-known-exploited-vulnerabilities-catalog
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Financial Sector

• 2026 Report: Industrialized Attacks Target Financial Services
  "The financial services industry’s digital transformation has created a dangerous visibility gap. With 73% of firms unable to see which APIs expose sensitive data, attackers are exploiting the connective tissue of modern banking. Download this exclusive report to see the latest threat intelligence for an industry under attack. Key findings include:"
  https://www.akamai.com/lp/soti/financial-services-security-trends
  https://www.akamai.com/content/dam/site/en/documents/state-of-the-internet/2026/financial-services-security-trends-report-pdf-preview.pdf
  https://www.bankinfosecurity.com/ai-botnets-drive-surge-in-financial-sector-ddos-attacks-a-31730

Industrial Sector

• Siemens RUGGEDCOM APE1808 Devices
  "A buffer overflow vulnerability in the User-ID Authentication Portal (aka Captive Portal) service of Palo Alto Networks PAN-OS software allows an unauthenticated attacker to execute arbitrary code with root privileges on the PA-Series and VM-Series firewalls by sending specially crafted packets. Siemens is preparing fix versions and recommends countermeasures for products where fixes are not, or not yet available. Customers are advised to consult and implement the workarounds provided in Palo Alto Networks' upstream security notifications. [1] https://security.paloaltonetworks.com/"
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-139-02
• ScadaBR
  "Successful exploitation of these vulnerabilities could allow an attacker to perform unauthenticated remote code execution."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-139-03
• ZKTeco CCTV Cameras
  "Successful exploitation of this vulnerability could result in information disclosure, including capture of camera account credentials."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-139-04
• Real-World ICS Security Tales From The Trenches
  "Industrial control systems (ICS) and operational technology (OT) environments are often described as quiet, highly controlled worlds. In reality, they contain a range of risks, unexpected configurations, and operational complexities that are difficult to fully uncover through standard penetration testing or conventional risk assessments. SecurityWeek spoke with several ICS security experts and companies about their most memorable experiences in the field. These are not theoretical scenarios or lab simulations — they are real situations they encountered while working directly with organizations."
  https://www.securityweek.com/real-world-ics-security-tales-from-the-trenches/
• ABB CoreSense HM And CoreSense M10
  "An update is available that resolves vulnerability in the product versions listed as affected in this advisory. A path traversal vulnerability in these products can allow unauthenticated users to gain access to restricted directories. Exploiting this vulnerability can lead to complete system compromise and exposure of sensitive information."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-139-01
• Kieback & Peter DDC Building Controllers
  "Successful exploitation of this vulnerability could allow an attacker to take control of the victim's browser."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-139-05

New Tooling

• CVE Lite CLI: Open-Source Dependency Vulnerability Scanner
  "Dependency vulnerability scanning in JavaScript and TypeScript projects has long sat at the end of the development pipeline. Pull requests get opened, continuous integration runs, and a security scanner returns a list of CVE identifiers that developers then have to triage hours or days after writing the code. CVE Lite CLI, now an officially recognized OWASP Incubator Project, moves that check to the developer’s terminal. The open-source tool, maintained by Sonu Kapoor, reads a project’s lockfile, queries the Open Source Vulnerabilities database, and returns copy-and-run fix commands scoped to the relevant package manager. It supports npm, pnpm, Yarn, and Bun."
  https://www.helpnetsecurity.com/2026/05/20/cve-lite-cli-open-source-dependency-vulnerability-scanner/
  https://github.com/OWASP/cve-lite-cli
• Microsoft Open-Sources RAMPART And Clarity To Secure AI Agents During Development
  "Microsoft has unveiled two new open-source tools called RAMPART and Clarity to assist developers in better testing the security of artificial intelligence (AI) agents. RAMPART, short for Risk Assessment and Measurement Platform for Agentic Red Teaming, functions as a Pytest-native safety and security testing framework for writing and running safety and security tests for AI agents, covering both adversarial and benign issues, as well as various harm categories."
  https://thehackernews.com/2026/05/microsoft-open-sources-rampart-and.html
  https://github.com/microsoft/RAMPART

Vulnerabilities

• Drupal Core - Highly Critical - SQL Injection - SA-CORE-2026-004
  "Drupal core includes a database abstraction API to ensure that queries executed against the database are sanitized to prevent SQL injection attacks. A vulnerability in this API allows an attacker to send specially crafted requests, resulting in arbitrary SQL injection for sites using PostgreSQL databases. This can lead to information disclosure, and in some cases privilege escalation, remote code execution, or other attacks. This vulnerability can be exploited by anonymous users. This SQL injection vulnerability only affects sites using PostgreSQL. However, the third-party dependency updates in these releases apply to all sites."
  https://www.drupal.org/sa-core-2026-004
• Exploit Released For New PinTheft Arch Linux Root Escalation Flaw
  "A recently patched Linux privilege escalation vulnerability now has a publicly available proof-of-concept (PoC) exploit that allows local attackers to gain root privileges on Arch Linux systems. The vulnerability, named PinTheft by the V12 security team and still waiting to be assigned a CVE ID for easier tracking, exists in the Linux kernel's RDS (Reliable Datagram Sockets) and was patched earlier this month. "PinTheft is a Linux local privilege escalation exploit for an RDS zerocopy double-free that can be turned into a page-cache overwrite through io_uring fixed buffers," V12 said in a Tuesday advisory."
  https://www.bleepingcomputer.com/news/linux/exploit-released-for-new-pintheft-arch-linux-root-escalation-flaw/
  https://github.com/v12-security/pocs/tree/09e835b587bf71249775654061ae4c79e92cf430/pintheft
  https://securityaffairs.com/192456/security/pintheft-another-linux-privilege-escalation-another-working-exploit-this-time-targeting-arch.html
• Microsoft Shares Mitigation For YellowKey Windows Zero-Day
  "Microsoft has shared mitigations for YellowKey, a recently disclosed Windows BitLocker zero-day vulnerability that grants access to protected drives. The security flaw was disclosed last week by an anonymous security researcher known as 'Nightmare Eclipse,' who described it as a backdoor and published a proof-of-concept (PoC) exploit. Nightmare Eclipse said that exploiting this zero-day involves placing specially crafted 'FsTx' files on a USB drive or EFI partition, rebooting into WinRE, and then triggering a shell with unrestricted access to the BitLocker-protected storage volume by holding down the CTRL key."
  https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-mitigation-for-yellowkey-windows-zero-day/
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45585
  https://thehackernews.com/2026/05/microsoft-releases-mitigation-for.html
  https://www.securityweek.com/microsoft-rolls-out-mitigations-for-yellowkey-bitlocker-bypass/
  https://securityaffairs.com/192449/hacking/microsoft-issues-yellowkey-mitigation-no-patch-yet.html
  https://www.helpnetsecurity.com/2026/05/20/yellowkey-bitlocker-mitigation-cve-2026-45585/
• Firefox 151 Packs Big Privacy Upgrades Into a Small Update
  "Mozilla has published release notes for Firefox browser version 151.0, and this update includes several genuinely meaningful privacy and security improvements."
  https://www.malwarebytes.com/blog/privacy/2026/05/firefox-151-packs-big-privacy-upgrades-into-a-small-update
• Second Time, Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration
  "For the second time in five months, Anthropic Claude Code's network sandbox lets a process inside reach hosts the user's policy says to block, and exfiltrate any data the process touches. Every Claude Code release from 2.0.24 (sandbox GA on 2025-10-20) through 2.1.89 was vulnerable to a SOCKS5 hostname null-byte injection. About 5.5 months and ~130 versions, including the release that silently fixed the first sandbox bypass. Both findings ended in a silent fix and no Claude Code security advisory."
  https://oddguan.com/blog/second-time-same-sandbox-anthropic-claude-code-network-allowlist-bypass-data-exfiltration/
  https://www.securityweek.com/anthropic-silently-patches-claude-code-sandbox-bypass/
  https://www.theregister.com/security/2026/05/20/even-claude-agrees-hole-in-its-sandbox-was-real-and-dangerous/5243662
• CISA Adds Seven Known Exploited Vulnerabilities To Catalog
  "CISA has added seven new vulnerabilities to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
  CVE-2008-4250 Microsoft Windows Buffer Overflow Vulnerability
  CVE-2009-1537 Microsoft DirectX NULL Byte Overwrite Vulnerability
  CVE-2009-3459 Adobe Acrobat and Reader Heap-Based Buffer Overflow Vulnerability
  CVE-2010-0249 Microsoft Internet Explorer Use-After-Free Vulnerability
  CVE-2010-0806 Microsoft Internet Explorer Use-After-Free Vulnerability
  CVE-2026-41091 Microsoft Defender Elevation of Privilege Vulnerability
  CVE-2026-45498 Microsoft Defender Denial of Service Vulnerability"
  https://www.cisa.gov/news-events/alerts/2026/05/20/cisa-adds-seven-known-exploited-vulnerabilities-catalog
• Hackers Bypass SonicWall VPN MFA Due To Incomplete Patching
  "Threat actors brute-forced VPN credentials and bypassed multi-factor authentication (MFA) on SonicWall Gen6 SSL-VPN appliances to deploy tools used in ransomware attacks. During the intrusions, the hacker took between 30 and 60 minutes to log in, do network reconnaissance, test credential reuse on internal systems, and log out. SonicWall warned in a security advisory for CVE-2024-12802 that installing the firmware update alone on Gen6 devices does not fully mitigate the vulnerability, and a manual reconfiguration of the LDAP server is required. Failing to do so leaves open the possibility of bypassing MFA protection."
  https://www.bleepingcomputer.com/news/security/hackers-bypass-sonicwall-vpn-mfa-due-to-incomplete-patching/
• Google Publishes Exploit Code Threatening Millions Of Chromium Users
  "Google on Wednesday published exploit code for an unfixed vulnerability in its Chromium browser codebase that threatens millions of people using Chrome, Microsoft Edge, and virtually all other Chromium-based browsers. The proof-of-concept code exploits the Browser Fetch programming interface, a standard that allows long videos and other large files to be downloaded in the background. An attacker can use the exploit to create a connection for monitoring some aspects of a user’s browser usage and as a proxy for viewing sites and launching denial-of-service attacks. Depending on the browser, the connections either reopen or remain open even after it or the device running it has rebooted."
  https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/

Malware

• After Two Years, Telegram Smishing Is Back, And Account Takeovers Are Here To Stay
  "Following the Telegram account takeover campaign in 2024, a smishing attack has recently been identified that uses Telegram security issues to steal users’ account information. threat actors hijack Telegram accounts by tricking users into entering their phone numbers and login codes on phishing sites. once an account is compromised, it can lead to personal information and chats being leaked, as well as secondary damage. let’s take a look at the main Telegram login smishing schemes and the security tips you should keep in mind."
  https://asec.ahnlab.com/en/93790/
• Steganography Secrets: Malware Hidden In Plain Sight
  "Threat actors are abusing image file hosting websites and file sharing services to deliver malware while evading enterprise security controls. Unlike more common, relatively simplistic, modern-day threats, these threat actors appear to be more sophisticated and less likely to send large-scale, minimally targeted attacks. The threat actors use a combination of steganography, encodings, and multiple delivery mechanisms to deliver remote access trojans (RATs), information stealers, and other malware, and are often successful at evading Endpoint Detection and Response (EDR) tools. The evidence for greater threat actor effort is also made apparent by the increased use of personally identifying information to customize email subjects and attachments, as compared to regular phishing. This report covers the infection chain, the image file hosting websites, and the malware used in steganographic campaigns."
  https://cofense.com/blog/steganography-secrets-malware-hidden-in-plain-sight
• Misconfigured, Enrolled And Dormant: Anatomy Of a P2Pinfect Kubernetes Compromise
  "FortiGuard Labs recently identified persistent P2Pinfect presences within Google Kubernetes Engine (GKE) clusters at several client companies, with one compromise spanning six months. The compromises originated from exposed Redis instances, which allowed the botnet to gain an initial foothold. The botnet's beaconing was repeatedly flagged in FortiCNAPP's Composite Alerts, underscoring how a single misconfiguration can enable long-term compromise in cloud environments. The IOCs observed across our customers also had significant overlap."
  https://www.fortinet.com/blog/threat-research/misconfigured-enrolled-and-dormant-anatomy-of-a-p2pinfect-kubernetes-compromise
• Volume Obfuscation Game: The Lead Data Brokers Out To Waste Your Time
  "Group-IB has observed a growing number of data advertisements targeting organizations worldwide across multiple industries, circulating within Chinese-language cybercrime ecosystems on dark web forums and Telegram. These sources typically advertise a large volume of data in short time frames, however Group-IB’s past analyses revealed that most claims consist of data compiled from prior breaches, generated and contain no indications of a data breach. A combination of rapid, high-volume messaging, frequent low-credibility claims, plus the lack of wider understanding and analysis of these sources and data contributes to a misunderstanding of their nature, operations and credibility."
  https://www.group-ib.com/blog/lead-data-obfuscation-brokers/
  Fake Word Phishing Reveals Enterprise Blind Spot In Trusted Remote Access Tools
  "A fake Word Online phishing page has exposed a growing enterprise blind spot: attackers using trusted tools to gain remote access without raising immediate alarms. The attack chain observed by ANY.RUN moved from an Outlook email to an MSI installer, silent execution, ScreenConnect remote access, and HideUL-based concealment. For CISOs, this is a warning that phishing investigations must focus on full behavior, not just malicious files."
  https://hackread.com/fake-word-phishing-enterprise-blind-spot-trusted-remote-access-tools/
• How An Image Could Compromise Your Mac: Understanding An ExifTool Vulnerability (CVE-2026-3102)
  "ExifTool is a widely adopted utility for reading and writing metadata in image, PDF, audio, and video files. It is available both as a standalone command-line application and as a library that can be embedded in other software. In this article, we break down CVE-2026-3102, an ExifTool vulnerability discovered by Kaspersky’s Global Research and Analysis Team (GReAT) in February 2026 and patched by the developers within the same month. Affecting macOS systems with ExifTool version 13.49 and earlier, this flaw could let an attacker run arbitrary commands by hiding instructions inside an image file’s metadata."
  https://securelist.com/exiftool-compromise-mac/119866/
• Webworm: New Burrowing Techniques
  "SET researchers analyzed the 2025 activity of Webworm, a China-aligned APT group that started out targeting organizations in Asia, but has recently shifted its focus to Europe. Even though this is our first public blogpost on the group, we have been observing Webworm’s activities ever since Symantec first reported on this threat actor in 2022. Over the years, we have seen that this threat actor continually changes its tactics, techniques, and procedures (TTPs)."
  https://www.welivesecurity.com/en/eset-research/webworm-new-burrowing-techniques/
  https://thehackernews.com/2026/05/webworm-deploys-echocreep-and-graphworm.html
  https://www.infosecurity-magazine.com/news/webworm-apt-evolves-tactics/
  https://www.helpnetsecurity.com/2026/05/20/webworm-apt-campaign-targets-europe/
• Ukraine Says Russia Is Deploying AI-Powered Malware On The Battlefield
  "Russia’s use of artificial intelligence in its cyberwar against Ukraine has expanded beyond fake news and propaganda campaigns, according to Ukrainian government officials. Moscow is now embedding AI directly into malware to generate malicious commands “on the fly.” A new report from Ukraine’s National Security and Defense Council says Russia’s use of AI across cyber operations expanded dramatically over the past year, reshaping everything from social engineering campaigns to malware development and creating what Ukrainian officials describe as a growing imbalance between attackers and defenders."
  https://therecord.media/ukraine-says-russia-using-ai-malware-on-battlefield
• Tracking TamperedChef Clusters Via Certificate And Code Reuse
  "This article documents novel activity clusters that have significant overlap with the publicly described threat known as TamperedChef (aka EvilAI). TamperedChef-style malware is trojanized productivity software, such as PDF editors or calendars, that deliver malicious payloads. These campaigns typically employ malicious ads that direct users to sites hosting the applications. While this style of malware shares many similarities in technical operation, installation lures and distribution methods, we do not attribute it to a single author or group."
  https://origin-unit42.paloaltonetworks.com/tracking-tampered-chef-clusters/
• Premium Deception: Uncovering a Global Android Carrier Billing Fraud Campaign
  "zLabs has identified a sophisticated Android malware campaign conducting carrier billing fraud through premium SMS abuse across Malaysia, Thailand, Romania, and Croatia. The campaign comprises almost 250 malicious applications that selectively target users based on their mobile operator, silently subscribing victims to premium services without consent."
  https://zimperium.com/blog/premium-deception-uncovering-a-global-android-carrier-billing-fraud-campaign
  https://www.darkreading.com/mobile-security/fake-android-apps-carrier-billing-fraud
  https://www.infosecurity-magazine.com/news/android-carrier-billing-fraud-four/
• VELVET CHOLLIMA Infostealer Campaign Using Trading App As Lure
  "Hybrid Analysis has identified a low-detection malicious installer masquerading as a legitimate cryptocurrency trading application called Tralert FX. The sample, a 100 MB Windows MSI submitted to VirusTotal in March 2026, achieved only a 3/52 detection rate. This low detection rate was largely due to a valid EV code signing certificate issued to a likely front company, AgilusTech LLC. What initially appeared to be a routine low-confidence detection quickly escalated into the exposure of a sophisticated, long-running, multi-stage infostealer campaign with infrastructure spanning five GitLab repositories, a dedicated C2 server, and a network of cryptocurrency trading lure domains."
  https://hybrid-analysis.blogspot.com/2026/05/velvet-chollima-infostealer-campaign.html

Breaches/Hacks/Leaks

• GitHub Confirms Breach Of 3,800 Repos Via Malicious VSCode Extension
  "GitHub has confirmed that roughly 3,800 internal repositories were breached after one of its employees installed a malicious VS Code extension. The company has since removed the unnamed trojanized extension from the VS Code marketplace and has secured the compromised device. "Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version, isolated the endpoint, and began incident response immediately," the company said."
  https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/
  https://thehackernews.com/2026/05/github-investigating-teampcp-claimed.html
  https://therecord.media/github-confirms-teampcp-hack-customers-unaffected
  https://www.darkreading.com/application-security/github-confirms-breach-4k-internal-repos-stolen
  https://www.helpnetsecurity.com/2026/05/20/github-breached-teampcp/
  https://www.infosecurity-magazine.com/news/github-confirms-breach-vs-code/
  https://www.securityweek.com/github-confirms-hack-impacting-3800-internal-repositories/
  https://securityaffairs.com/192440/cyber-crime/a-malicious-vs-code-extension-just-breached-github-s-internal-repositories.html
  https://www.theregister.com/devops/2026/05/20/github-says-internal-repos-exfiltrated-after-poisoned-vs-code-extension-attack/5243206
  https://cyberscoop.com/github-internal-repositories-vs-code-extension-attack/
  https://hackread.com/github-breach-teampcp-repositories-vs-code-extension/
• Grafana Breach Caused By Missed Token Rotation After TanStack Attack
  "The Grafana data breach was caused by a single GitHub workflow token that slipped through the rotation process following the TanStack npm supply-chain attack last week. In the ongoing Shai-Hulud malware campaign attributed to TeamPCP hackers, dozens of TanStack packages infected with credential-stealing code were published on the npm index, compromising developer environments, including Grafana's. When the malicious npm package was released, Grafana’s CI/CD workflow consumed it, and the info-stealer module executed in its GitHub environment, exfiltrating GitHub workflow tokens to the attackers."
  https://www.bleepingcomputer.com/news/security/grafana-breach-caused-by-missed-token-rotation-after-tanstack-attack/

General News

• What Will Make AI BOMs Real?
  "Standards bodies, open-source projects, and commercial vendors are already building meaningful momentum for realizing the promise of AI BOM. OWASP, with its CycloneDX SBOM standard, and the Linux Foundation, with its SPDX standard, have both released AI-specific extensions. The OWASP AI SBOM Initiative holds weekly open meetings and has developed the OWASP AI BOM Generator, the first open-source tool to automatically generate AIBOMs from Hugging Face models in CycloneDX format. And the SPDX standard added dedicated AI and dataset profiles in version 3.0, providing field mappings for model training and data provenance. Meanwhile, the OpenSSF AI/ML Working Group formalized a model-signing specification in 2025, with contributions from Google, HiddenLayer, and NVIDIA. Additionally, CISA's AI SBOM Tiger Team published foundational guidance in 2025, though the agency's significant personnel cuts this year have cast uncertainty over many of its ongoing initiatives."
  https://www.darkreading.com/cybersecurity-analytics/what-make-ai-bom-real
  https://www.darkreading.com/cyber-risk/make-ai-bom-usable-modern-security-program
• Communicating Cyber Risk In Dollars Boards Understand
  "In this Help Net Security interview, Nick Nieuwenhuis, Cybersecurity Architect at Nedscaper, explains why cybersecurity has not delivered the resilience that decades of investment have promised. He argues that spending has leaned too heavily on technical controls while neglecting people, processes, and organizational dynamics. He unpacks the gap between security teams and boards, pointing to weak risk communication and a reliance on qualitative heatmaps over hard evidence. He pushes back on root cause analysis as a reductionist habit, makes the case for treating resilience as a serious capability, and outlines what stronger organizations do differently, including investment in communication, rehearsed playbooks, and continuous learning across the security function."
  https://www.helpnetsecurity.com/2026/05/20/nick-nieuwenhuis-nedscaper-cyber-resilience-strategy/
• When Your AI Assistant Has The Keys To Production
  "Large language models in operational roles query telemetry, propose configuration changes, and in some deployments execute those changes against live infrastructure. Ticket drafting and alert summarization were the starting point. Vendors describe this work as autonomous remediation or self-healing infrastructure. A recent survey on agentic AI in network and IT operations gives it a more useful name: a confused-deputy problem waiting to happen."
  https://www.helpnetsecurity.com/2026/05/20/agentic-ai-security-llm-research/
  https://arxiv.org/pdf/2605.12729
• Typosquatting Is No Longer a User Problem. It's a Supply Chain Problem
  "On December 24, 2025, Trust Wallet users started losing money. Not because they clicked a phishing link. Not because they reused a weak password. Not because they did anything wrong at all. A self-replicating npm worm called Shai-Hulud had spent months harvesting developer credentials: GitHub tokens, npm publishing keys, and Chrome Web Store API credentials. Those keys allowed attackers to push a trojanized version of the Trust Wallet Chrome extension through official channels. Chrome's verification passed it."
  https://thehackernews.com/2026/05/typosquatting-is-no-longer-user-problem.html
• Threat Spotlight: CypherLoc, An Advanced Browser-Locking Scareware Targeting Millions
  "Barracuda Research, the threat intelligence arm of Barracuda, has identified CypherLoc, a sophisticated web‑based scareware kit that combines advanced evasion techniques, aggressive browser controls and psychological manipulation to push victims into calling fraudulent technical support phone numbers. Since the start of 2026, Barracuda researchers have observed around 2.8 million attacks featuring this kit. CypherLoc shows how scareware has evolved from simple frozen‑screen scams into stealthy, browser‑resident attack frameworks that rely on user fear rather than malware installation. In the case of CypherLoc, this includes the new and innovative use of encrypted loaders, hash-gated execution, and page replacement during operational runtime."
  https://blog.barracuda.com/2026/05/20/threat-spotlight-cypherloc-scareware
  https://www.infosecurity-magazine.com/news/researchers-cypherloc-scareware/
• Ukraine Identifies Infostealer Operator Tied To 28,000 Stolen Accounts
  "The Ukrainian cyberpolice, working in conjunction with U.S. law enforcement, has identified an 18-year-old man from Odesa suspected of running an infostealer malware operation targeting users of an online store in California. According to the Ukrainian police, the threat actor used information-stealing malware between 2024 and 2025 to infect users’ devices and steal browser sessions and account credentials. Infostealers are a popular type of malware that harvests sensitive data, including passwords, browser cookies, session tokens, crypto wallets, and payment information, from infected devices and sends it to cybercriminals for account theft, fraud, and resale."
  https://www.bleepingcomputer.com/news/security/ukraine-identifies-infostealer-operator-tied-to-28-000-stolen-accounts/
  https://therecord.media/ukraine-probes-teen-suspect-cyber-theft-scheme
• Processes And Culture Top Reasons Behind Data Breaches
  "Municipal leaders, utility personnel, and even one retired city auditor were eager to learn which cyber threats are targeting local governments, and more importantly how to address them because, as one panelist emphasized: "Nowadays, you will eventually be hit." Massachusetts state officials and technology specialists gathered to discuss the findings of a new study that examined all the breaches in 2024 against MA residents and found some troubling security gaps persist. Those same gaps – weak passwords and insufficient patch management - affect businesses nationwide. The threat vectors also echoed what vendors, like Verizon Business' Data Breach Investigation reports, have been saying for years: System intrusions and internet-facing vulnerabilities are how attackers gain access."
  https://www.darkreading.com/cyberattacks-data-breaches/processes-and-culture-top-reasons-behind-data-breaches
• ISC2 Research Deep Dive: AI And Emerging Technologies Signal Disruption For Cybersecurity
  "For cybersecurity professionals, emerging technologies are no longer distant innovations. They are active forces reshaping day-to-day work. Nowhere is this more evident than with artificial intelligence (AI). As organizations accelerate adoption of AI, security teams are being asked to harness AI’s potential while simultaneously defending against the new risks it introduces. The result is a security landscape defined by opportunity and unease, where the same technologies driving efficiency are also expanding the attack surface."
  https://www.isc2.org/Insights/2026/05/ai-and-emerging-technologies-disrupt-cybersecurity
  https://www.darkreading.com/cybersecurity-analytics/cyber-pros-ai

อ้างอิง
Electronic Transactions Development Agency (ETDA)

เมื่อวันที่ 20 พฤษภาคม 2569 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 7 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

• CVE-2008-4250 Microsoft Windows Buffer Overflow Vulnerability
• CVE-2009-1537 Microsoft DirectX NULL Byte Overwrite Vulnerability
• CVE-2009-3459 Adobe Acrobat and Reader Heap-Based Buffer Overflow Vulnerability
• CVE-2010-0249 Microsoft Internet Explorer Use-After-Free Vulnerability
• CVE-2010-0806 Microsoft Internet Explorer Use-After-Free Vulnerability
• CVE-2026-41091 Microsoft Defender Elevation of Privilege Vulnerability
• CVE-2026-45498 Microsoft Defender Denial of Service Vulnerability

ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/05/20/cisa-adds-seven-known-exploited-vulnerabilities-catalog

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนหน่วยงานและผู้ดูแลระบบที่ใช้งาน n8n Workflow Automation Platform ให้เร่งตรวจสอบและอัปเดตระบบโดยด่วน หลังมีรายงานช่องโหว่ จำนวน 5 รายการ ซึ่งอาจถูกใช้โดยผู้โจมตีที่มีบัญชีผู้ใช้และมีสิทธิ์สร้างหรือแก้ไข workflow เพื่อทำ Prototype Pollution นำไปสู่ Remote Code Execution (RCE) บนเครื่องที่รัน n8n หรืออ่านไฟล์สำคัญจากเซิร์ฟเวอร์ได้ [1]

1. รายละเอียดช่องโหว่
   n8n ได้ออกแพตช์แก้ไขช่องโหว่สำคัญหลายรายการ ดังนี้
   1.1 CVE-2026-42231 (CVSS v4.0: 8.8) [2] เป็นช่องโหว่ในไลบรารี xml2js ที่ใช้ประมวลผล XML request body ใน webhook handler ของ n8n ทำให้ผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถส่ง XML payload ที่ออกแบบมาเป็นพิเศษเพื่อทำ Prototype Pollution และเมื่อเชื่อมโยงกับการทำงานของ Git node อาจนำไปสู่การรันโค้ดบน n8n host ได้ ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.32, 2.17.4 และ 2.18.1 ขึ้นไป [3]
   1.2 CVE-2026-42232 (CVSS v4.0: 8.8) [4] เป็นช่องโหว่ Prototype Pollution ใน XML Node โดยผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถทำให้เกิด global prototype pollution และเมื่อใช้ร่วมกับ node อื่น อาจนำไปสู่ RCE บน n8n host ได้ ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.32, 2.17.4 และ 2.18.1 ขึ้นไป [5]
   1.3 CVE-2026-44789 (CVSS v4.0: 9.4) เป็นช่องโหว่ใน HTTP Request Node จากการตรวจสอบค่า pagination parameter ที่ไม่เพียงพอ ทำให้ผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถทำ global prototype pollution และนำไปสู่ RCE บน n8n host ได้ ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.43, 2.20.7 และ 2.22.1 ขึ้นไป [6]
   1.4 CVE-2026-44790 (CVSS v4.0: 9.4) เป็นช่องโหว่ใน Git Node ที่ทำให้ผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถ inject CLI flags ในการทำงานของ Git Push operation และอ่านไฟล์ใด ๆ จาก n8n server ได้ ซึ่งอาจนำไปสู่การยึดระบบหรือขโมยข้อมูลสำคัญ เช่น credentials, environment variables หรือ configuration files ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.43, 2.20.7 และ 2.22.1 ขึ้นไป [7]
   1.5 CVE-2026-44791 (CVSS v4.0: 9.4) เป็นช่องโหว่ที่สามารถ bypass แพตช์ของ CVE-2026-42232 ใน XML Node ได้ และเมื่อนำไปใช้ร่วมกับ node อื่น อาจทำให้เกิด RCE บน n8n host ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.43, 2.20.7 และ 2.22.1 ขึ้นไป [8]

2. ลักษณะการโจมตี
   การโจมตีช่องโหว่กลุ่มนี้โดยทั่วไปต้องอาศัยบัญชีผู้ใช้ที่มีสิทธิ์สร้างหรือแก้ไข workflow บน n8n ก่อน จากนั้นผู้โจมตีอาจใช้ XML Node, HTTP Request Node หรือ Git Node เพื่อทำ Prototype Pollution ขยายผลไปยังการรันโค้ดบนเครื่องที่รัน n8n หรืออ่านไฟล์สำคัญจากระบบได้
   แม้ช่องโหว่เหล่านี้ไม่ได้เป็น unauthenticated RCE โดยตรง แต่มีความเสี่ยงสูงในองค์กรที่มีผู้ใช้หลายราย, เปิดให้ทีมภายในสร้าง workflow, เชื่อมต่อ n8n กับระบบสำคัญ หรือเก็บ secrets/API keys ไว้ใน environment และ credentials ของระบบ automation

3. ผลกระทบ
   3.1 ผู้โจมตีอาจสามารถรันโค้ดบนเครื่องที่รัน n8n ได้
   3.2 อาจเกิดการอ่านไฟล์สำคัญจากเซิร์ฟเวอร์ เช่น configuration, environment variables, credentials หรือไฟล์ระบบอื่น
   3.3 อาจกระทบต่อระบบที่เชื่อมต่อกับ n8n เช่น API, SaaS, ฐานข้อมูล, ระบบ CI/CD หรือระบบภายในหน่วยงาน
   3.4 อาจทำให้ข้อมูลสำคัญรั่วไหล หรือถูกใช้เพื่อขยายผลการโจมตีไปยังระบบอื่น
   3.5 หน่วยงานที่อนุญาตให้ผู้ใช้หลายรายสร้างหรือแก้ไข workflow มีความเสี่ยงสูงเป็นพิเศษ

4. ผลิตภัณฑ์ที่ได้รับผลกระทบ
   4.1 n8n เวอร์ชันก่อน 1.123.32, 2.17.4 และ 2.18.1 ได้รับผลกระทบจาก CVE-2026-42231 และ CVE-2026-42232
   4.2 n8n เวอร์ชันก่อน 1.123.43, 2.20.7 และ 2.22.1 ได้รับผลกระทบจาก CVE-2026-44789, CVE-2026-44790 และ CVE-2026-44791

5. แนวทางการแก้ไขและป้องกัน
   5.1 อัปเดต n8n เป็นเวอร์ชัน 1.123.43, 2.20.7 หรือ 2.22.1 ขึ้นไป เพื่อครอบคลุมช่องโหว่ชุดล่าสุด
   5.2 จำกัดสิทธิ์การสร้างและแก้ไข workflow ให้เฉพาะผู้ใช้ที่จำเป็นและเชื่อถือได้เท่านั้น
   5.3 ตรวจสอบผู้ใช้ที่มีสิทธิ์แก้ไข workflow, API keys, credentials และ secrets ที่เชื่อมต่อกับ n8n
   5.4 ตรวจสอบ workflow ที่มีการใช้งาน XML Node, HTTP Request Node และ Git Node โดยเฉพาะ workflow ที่ถูกสร้างหรือแก้ไขก่อนการอัปเดต
   5.5 หากยังไม่สามารถอัปเดตได้ทันที ให้จำกัดการใช้งาน node ที่เกี่ยวข้อง และลดสิทธิ์ผู้ใช้ทั่วไปไม่ให้สร้างหรือแก้ไข workflow ชั่วคราว
   5.6 แยก n8n ออกจากระบบสำคัญด้วย network segmentation และหลีกเลี่ยงการรัน n8n ด้วยสิทธิ์สูงเกินจำเป็น
   5.7 ตรวจสอบ log การแก้ไข workflow, การเรียก webhook, การใช้ Git node, การเรียก HTTP request ผิดปกติ และพฤติกรรมที่อาจบ่งชี้การอ่านไฟล์หรือรันคำสั่งบนระบบ
   5.8 หมุนเวียนหรือเปลี่ยน credentials/secrets ที่ n8n ใช้งาน หากพบว่าระบบเคยอยู่ในเวอร์ชันที่ได้รับผลกระทบหรือมีพฤติกรรมต้องสงสัย

แหล่งอ้างอิง
[1] https://dg.th/schny7tzqu
[2] https://dg.th/9gs65w8i7o
[3] https://dg.th/p6hzxy2mw7
[4] https://dg.th/34drz9wg8e
[5] https://dg.th/pwl4qj35mv
[6] https://dg.th/65veai9m0b
[7] https://dg.th/wz1iuf68hv
[8] https://dg.th/e324xtvda1

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนผู้ดูแลระบบและผู้ใช้บริการผลิตภัณฑ์ F5 NGINX, BIG-IP และ BIG-IQ ถึงประกาศอัปเดตความปลอดภัยจาก F5 เพื่อแก้ไขช่องโหว่ความปลอดภัยหลายรายการที่มีความรุนแรงสูง ได้แก่ ช่องโหว่ Heap Buffer Overflow ใน NGINX, ช่องโหว่การใช้งาน API ที่มีสิทธิ์สูงอย่างไม่ถูกต้องใน BIG-IP iControl REST และช่องโหว่ Remote Code Execution ใน BIG-IP และ BIG-IQ Configuration utility โดยเฉพาะช่องโหว่ CVE-2026-42945 ซึ่งมีรายงานว่าถูกนำไปใช้โจมตีจริงแล้ว และมี Proof of Concept (PoC) เผยแพร่สาธารณะ หากไม่ดำเนินการแก้ไข อาจส่งผลให้ระบบหยุดให้บริการ ถูกยกระดับสิทธิ์ หรือถูกสั่งรันคำสั่งบนระบบโดยไม่ได้รับอนุญาตได้

1. รายละเอียดภัยคุกคาม
   F5 ได้เผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญในผลิตภัณฑ์ NGINX, BIG-IP และ BIG-IQ จำนวน 3 รายการ
   1.1 CVE-2026-42945 [1] เป็นช่องโหว่ประเภท Heap Buffer Overflow ใน ngx_http_rewrite_module ของ NGINX มีคะแนน CVSS v3.1: 8.1 โดยผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนอาจส่งคำขอ HTTP ที่ถูกดัดแปลงมาเป็นพิเศษ เพื่อทำให้ระบบ NGINX เกิดสภาวะปฏิเสธการให้บริการ หรือ Denial of Service (DoS) ได้
   ในกรณีที่ระบบปิดใช้งาน Address Space Layout Randomisation (ASLR) ช่องโหว่นี้อาจถูกใช้เพื่อสั่งรันโค้ดบนระบบเป้าหมายได้ ทั้งนี้ มีรายงานว่าช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีจริงแล้ว
   1.2 CVE-2026-41225 [2] เป็นช่องโหว่จากการใช้งาน API ที่มีสิทธิ์สูงอย่างไม่ถูกต้องใน BIG-IP iControl REST มีคะแนน CVSS v3.1: 9.1 โดยผู้โจมตีที่ผ่านการยืนยันตัวตน ที่สามารถเข้าถึงเครือข่ายไปยัง iControl REST endpoint ผ่านพอร์ตจัดการของ BIG-IP หรือผ่าน Self IP addresses อาจใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์ หรือข้ามข้อจำกัดของ Appliance mode บนระบบที่ได้รับผลกระทบได้
   1.3 CVE-2026-41957 [3] เป็นช่องโหว่ Remote Code Execution ในส่วน Configuration utility ของ BIG-IP และ BIG-IQ มีคะแนน CVSS v3.1: 8.8 โดยช่องโหว่ดังกล่าวเกิดจากการ Deserialisation of Untrusted Data โดยผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว อาจสามารถสั่งรันคำสั่งระบบ สร้างหรือลบไฟล์ หรือปิดบริการต่าง ๆ บนระบบที่ได้รับผลกระทบได้

2. ระบบที่อาจได้รับผลกระทบ [4]
   2.1 ผลิตภัณฑ์ NGINX และส่วนขยายที่เกี่ยวข้อง สำหรับ CVE-2026-42945

   • NGINX Plus: เวอร์ชัน R32 ถึง R36
   • NGINX Open Source: เวอร์ชัน 0.6.27 ถึง 0.9.7 ซึ่งไม่มีแพตช์แก้ไข และเวอร์ชัน 1.0.0 ถึง 1.30.0
   • NGINX Instance Manager: เวอร์ชัน 2.16.0 ถึง 2.22.0
   • F5 WAF for NGINX: เวอร์ชัน 5.9.0 ถึง 5.12.1
   • NGINX App Protect WAF: เวอร์ชัน 4.9.0 ถึง 4.16.0 และ 5.1.0 ถึง 5.8.0
   • F5 DoS for NGINX: เวอร์ชัน 4.8.0
   • NGINX App Protect DoS: เวอร์ชัน 4.3.0 ถึง 4.7.0
   • NGINX Gateway Fabric: เวอร์ชัน 1.3.0 ถึง 1.6.2 และ 2.0.0 ถึง 2.6.0
   • NGINX Ingress Controller: เวอร์ชัน 3.5.0 ถึง 3.7.2, 4.0.0 ถึง 4.0.1 และ 5.0.0 ถึง 5.4.2
     2.2 ผลิตภัณฑ์ BIG-IP สำหรับ CVE-2026-41225
   • BIG-IP ทุกโมดูล: เวอร์ชัน 16.1.0 ถึง 16.1.6, 17.1.0 ถึง 17.1.3, 17.5.0 ถึง 17.5.1 และ 21.0.0
     2.3 ผลิตภัณฑ์ BIG-IP และ BIG-IQ สำหรับ CVE-2026-41957
   • BIG-IP ทุกโมดูล: เวอร์ชัน 16.1.0 ถึง 16.1.6, 17.1.0 ถึง 17.1.3 และ 17.5.0 ถึง 17.5.1
   • BIG-IQ Centralised Management: เวอร์ชัน 8.4.0

3. ผลกระทบ
   3.1 ช่องโหว่ CVE-2026-42945 หากถูกโจมตีสำเร็จ ผู้โจมตีอาจทำให้ระบบ NGINX หยุดให้บริการ หรือในบางเงื่อนไขอาจนำไปสู่การสั่งรันโค้ดบนระบบที่ปิดใช้งาน ASLR ได้
   3.2 ช่องโหว่ CVE-2026-41225 ผู้โจมตีที่มีสิทธิ์สูงและสามารถเข้าถึง iControl REST endpoint อาจยกระดับสิทธิ์ หรือข้ามข้อจำกัดของ Appliance mode บน BIG-IP ได้
   3.3 ช่องโหว่ CVE-2026-41957 อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้วสามารถสั่งรันคำสั่งระบบ สร้างหรือลบไฟล์ หรือปิดบริการต่าง ๆ บน BIG-IP หรือ BIG-IQ ที่ได้รับผลกระทบได้ ซึ่งอาจส่งผลกระทบต่อความมั่นคงปลอดภัยและความพร้อมใช้งานของระบบ

4. แนวทางการตรวจสอบและป้องกัน
   4.1 ตรวจสอบว่าผลิตภัณฑ์ F5 NGINX, BIG-IP และ BIG-IQ ที่ใช้งานอยู่ อยู่ในรายการเวอร์ชันที่ได้รับผลกระทบหรือไม่
   4.2 อัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบให้เป็นเวอร์ชันล่าสุดที่ F5 เผยแพร่เพื่อแก้ไขช่องโหว่โดยทันที โดยมีรายละเอียดดังนี้

   • สำหรับ CVE-2026-42945 สามารถดูรายละเอียด และวิธีการแก้ไขได้ที่ https://dg.th/0erhxq7cku [5]
   • สำหรับ CVE-2026-41225 สามารถดูรายละเอียด และวิธีการแก้ไขได้ที่ https://dg.th/bqd6eozv0x [6]
   • สำหรับ CVE-2026-41957 สามารถดูรายละเอียด และวิธีการแก้ไขได้ที่ https://dg.th/2gwar9zxcq [7]
     4.3 ตรวจสอบการเปิดใช้งานและการเข้าถึง iControl REST และ Configuration utility โดยเฉพาะการเข้าถึงผ่าน Self IP addresses
     4.4 ตรวจสอบบันทึกการเข้าถึงและบันทึกเหตุการณ์ของระบบ เพื่อค้นหาพฤติกรรมผิดปกติที่อาจเกี่ยวข้องกับการพยายามโจมตีช่องโหว่ดังกล่าว
     4.5 จำกัดการเข้าถึงส่วนบริหารจัดการระบบให้เฉพาะเครือข่ายหรือผู้ดูแลระบบที่ได้รับอนุญาตเท่านั้น

ThaiCERT ขอเน้นย้ำว่าช่องโหว่ CVE-2026-42945 มีรายงานว่าถูกนำไปใช้โจมตีจริงแล้ว และมี PoC เผยแพร่สาธารณะ ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ F5 NGINX, BIG-IP และ BIG-IQ ควรเร่งตรวจสอบเวอร์ชันที่ใช้งาน อัปเดตแพตช์ หรือดำเนินมาตรการลดความเสี่ยงชั่วคราวตามคำแนะนำของผู้ผลิตโดยเร็วที่สุด เพื่อลดความเสี่ยงจากการหยุดชะงักของบริการ การยกระดับสิทธิ์ และการสั่งรันคำสั่งบนระบบโดยไม่ได้รับอนุญาต

แหล่งอ้างอิง
[1] https://dg.th/lijcm1auhk
[2] https://dg.th/v8ue9bckoz
[3] https://dg.th/6szalgqfoe
[4] https://dg.th/4k6q7rpc0z
[5] https://dg.th/0erhxq7cku
[6] https://dg.th/bqd6eozv0x
[7] https://dg.th/2gwar9zxcq

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand