โพสต์ถูกสร้างโดย NCSA_THAICERT

NCSA_THAICERT

เมื่อวันที่ 9 มิถุนายน 2569 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 7 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

CVE-2026-7473 Arista Extensible Operating System Incomplete Comparison with Missing Factors Vulnerability
CVE-2026-11645 Google Chromium V8 Out-of-Bounds Read and Write Vulnerability
CVE-2026-20245 Cisco Catalyst SD-WAN Manager Improper Encoding or Escaping of Output Vulnerability

ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/06/09/cisa-adds-three-known-exploited-vulnerabilities-catalog

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

Industrial Sector

Schneider Electric Modicon Network Managed Switches
"Schneider Electric is aware of a RADIUS protocol vulnerability affecting its Modicon Network Managed Switch product. The Modicon Network Managed Switch product provides connectivity for multiple Ethernet devices, network management, enhanced cyber security and more advanced switching features. Failure to apply the mitigation provided below may risk forgery attacks in RADIUS Protocol, which could result in modification of any valid Response (Access-Accept, Access-Reject, or Access-Challenge) to any other response which could result in the possibility of denial of service and loss of confidentiality, integrity of the devices connected to the switch."
https://www.cisa.gov/news-events/ics-advisories/icsa-26-160-01
Threat Landscape For Industrial Automation Systems. Q1 2026
"The percentage of ICS computers on which malicious objects were blocked continued to decrease, reaching 19.6% in Q1 2026. This is the lowest value in three years, and it is 1.4 times lower than in Q2 2023. Regionally, the percentage figures ranged from 9.1% in Northern Europe to 27.4% in Africa. The difference between the highest and lowest percentage figures across regions is quite significant: the percentage in Africa is 3.0 times that in Northern Europe (see the chart in the “Statistics across all threats. All threats” section)."
https://ics-cert.kaspersky.com/publications/reports/2026/06/09/threat-landscape-for-industrial-automation-systems-q1-2026/
Siemens KACO Blueplanet Inverters
"KACO blueplanet Inverters contain multiple vulnerabilities that could allow an attacker to derive the credentials from the devices serial number and misuse them to gain unauthorized access. KACO new energy GmbH has released new versions for several affected products and recommends to update to the latest versions. KACO new energy GmbH is preparing further fix versions and recommends countermeasures for products where fixes are not, or not yet available."
https://www.cisa.gov/news-events/ics-advisories/icsa-26-160-02
Schneider Electric EcoStruxure Panel Server
"Schneider Electric is aware of its vulnerability in its EcoStruxure Panel Server offer. The EcoStruxure Panel Server is a high performance, modular gateway with enhanced cybersecurity that provides easy and fast connections to multiple concurrent edge control or cloud applications. Failure to apply the remediations provided below may risk unauthorized authentication, which could lead to access to sensitive information."
https://www.cisa.gov/news-events/ics-advisories/icsa-26-160-03

Vulnerabilities

SAP Patches Critical NetWeaver, Commerce Vulnerabilities
"Enterprise software maker SAP on Tuesday released 15 new security notes, including four that resolve critical-severity vulnerabilities in NetWeaver, Commerce, and Data Hub. The most severe of the resolved bugs is CVE-2026-44748 (CVSS score of 9.9), described as an XML Signature Wrapping issue in the SAML Authentication of NetWeaver AS ABAP and ABAP Platform. An authenticated attacker with normal privileges could “obtain a valid signed message and send modified signed XML documents with tampered identity information to the verifier,” application security firm Onapsis explains."
https://www.securityweek.com/sap-patches-critical-netweaver-commerce-vulnerabilities/
https://www.bleepingcomputer.com/news/security/sap-fixes-critical-flaws-in-netweaver-and-commerce-cloud/
Adobe Patches 123 Vulnerabilities
"Adobe’s latest Patch Tuesday updates fix 123 vulnerabilities across 11 products. Of the total, 57 vulnerabilities were patched in Adobe Experience Manager. The vast majority are XSS flaws that allow arbitrary code execution, and three issues have been described as improper input validation that can lead to a security feature bypass. Two critical issues with a CVSS score of 10, both allowing arbitrary code execution, have been patched in Adobe Campaign Classic."
https://www.securityweek.com/adobe-patches-123-vulnerabilities/
Google Patches New Chrome Zero-Day Flaw Exploited In The Wild
"Google has released emergency updates to patch another Chrome zero-day vulnerability that has been exploited in the wild, the fifth such flaw patched since the start of the year. "Google is aware that an exploit for CVE-2026-11645 exists in the wild," the company said in a Monday security advisory. The company fixed the zero-day for users in the Stable Desktop channel, with patched versions rolling out worldwide to Windows (149.0.7827.102), Mac (149.0.7827.103), and Linux (149.0.7827.102) systems two weeks after an anonymous security researcher reported it to Google."
https://www.bleepingcomputer.com/news/security/google-patches-fifth-chrome-zero-day-bug-exploited-in-attacks-this-year/
https://thehackernews.com/2026/06/chrome-v8-zero-day-cve-2026-11645.html
https://www.infosecurity-magazine.com/news/google-patch-chrome-vulnerability/
https://www.securityweek.com/google-patches-5th-chrome-zero-day-exploited-in-2026/
https://securityaffairs.com/193371/hacking/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2026.html
https://www.malwarebytes.com/blog/bugs/2026/06/update-chrome-google-patches-actively-exploited-vulnerability-and-73-others
https://www.theregister.com/security/2026/06/09/chromes-zero-day-whac-a-mole-continues-with-fifth-exploited-bug-of-the-year/5252689
https://www.helpnetsecurity.com/2026/06/09/google-chrome-zero-day-cve-2026-11645/
Microsoft June 2026 Patch Tuesday Fixes 3 Zero-Day, 200 Flaws
"Today is Microsoft's June 2026 Patch Tuesday, with security updates for 200 flaws and three publicly disclosed zero-day vulnerabilities. This Patch Tuesday addresses 33 "Critical" vulnerabilities, 28 of which are remote code execution, 4 are elevation of privilege, and 1 is an information disclosure flaw."
https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/
https://blog.talosintelligence.com/microsoft-patch-tuesday-for-june-2026-snort-rules-and-prominent-vulnerabilities/
https://www.darkreading.com/vulnerabilities-threats/blame-ai-patch-tuesday-record-206-cves
https://cyberscoop.com/microsoft-patch-tuesday-june-2026/
https://www.securityweek.com/microsoft-patches-200-vulnerabilities/
https://securityaffairs.com/193417/security/microsoft-releases-record-breaking-patch-tuesday-with-208-cves.html
https://www.theregister.com/patches/2026/06/09/ai-is-making-patch-tuesday-kinda-fun-again/5253225
New Veeam Vulnerability Exposes Backup Servers To RCE Attacks
"Veeam has released security updates to patch a critical Backup & Replication security flaw that can be exploited to gain remote code execution (RCE) on domain-joined backup servers. The vulnerability (tracked as CVE-2026-44963 and reported by WatchTowr security researcher Sina Kheirkhah) affects Veeam Backup & Replication (VBR) 12.3.2.4465 and all earlier version 12 builds, and was fixed in version 12.3.2.4854. While any domain user with low privileges can exploit this vulnerability, the flaw only impacts Veeam Backup & Replication installations that are joined to a domain."
https://www.bleepingcomputer.com/news/security/new-veeam-vulnerability-exposes-backup-servers-to-rce-attacks/
https://www.veeam.com/kb4869
https://thehackernews.com/2026/06/veeam-backup-replication-rce-flaw-lets.html
https://securityaffairs.com/193385/uncategorized/critical-veeam-rce-flaw-lets-low-privilege-users-take-over-backup-servers.html
OpenSSL Patches High-Severity Vulnerability Found With AI
"The latest OpenSSL releases patch 18 vulnerabilities, including a high-severity issue that could allow remote code execution. The high-severity vulnerability, tracked as CVE-2026-45447, is a heap user-after-free bug in a function used for PKCS#7 (Public-Key Cryptography Standard #7) verification. Discovered by a Calif researcher in collaboration with Claude AI and Anthropic Research, the bug can be triggered using a specially crafted PKCS#7 or S/MIME signed message during PKCS#7 signature verification."
https://www.securityweek.com/openssl-patches-high-severity-vulnerability-found-with-ai/
Critical PhpBB Flaw Lets Attackers Hijack Any Account With One Request
"A critical flaw in the phpBB forum software has been disclosed that lets attackers hijack any account, including administrators, with a single unauthenticated request and no password. Tracked as PTT-2026-004 and rated 9.4 on the CVSS scale, the flaw is pending an official CVE ID. The authentication bypass was discovered by Dan Stefan Alexandru of Pentest-Tools.com and reported to phpBB on June 4. Every phpBB version up to 3.3.16 is affected in its default database-authentication mode, meaning a standard install is exposed out of the box. The 4.0.0 alpha is vulnerable too."
https://www.infosecurity-magazine.com/news/phpbb-authentication-bypass/
CISA Adds Three Known Exploited Vulnerabilities To Catalog
"CISA has added three new vulnerabilities to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
CVE-2026-7473 Arista Extensible Operating System Incomplete Comparison with Missing Factors Vulnerability
CVE-2026-11645 Google Chromium V8 Out-of-Bounds Read and Write Vulnerability
CVE-2026-20245 Cisco Catalyst SD-WAN Manager Improper Encoding or Escaping of Output Vulnerability"
https://www.cisa.gov/news-events/alerts/2026/06/09/cisa-adds-three-known-exploited-vulnerabilities-catalog
Microsoft Defender 'RoguePlanet' Zero-Day Grants SYSTEM Privileges
"A security researcher has released a new Microsoft Defender zero-day exploit named "RoguePlanet" just hours after Microsoft fixed two previously disclosed flaws during June 2026 Patch Tuesday. The researcher, known as Nightmare Eclipse, says the new vulnerability affects fully patched Windows 10 and Windows 11 devices, allowing attackers to spawn a command prompt with SYSTEM privileges via a Microsoft Defender race condition vulnerability. The researcher shared a proof-of-concept exploit on Tuesday afternoon in a self-hosted Git repository after saying that GitHub and GitLab repositories hosting their exploits had previously been removed by Microsoft."
https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-rogueplanet-zero-day-grants-system-privileges/
Ghost-Sender - Universal Email Spoofing Against Exchange Online
"Using Exchange Online (or on-premises exchange in hybrid mode) in combination with an external MX record, such as a third-party email server or spam protection solution, can allow the spoofing of emails from any sender to any recipient in the target tenant. This is regardless of the configured SPF, DKIM, and DMARC policies of the spoofed sender’s domain, and the emails are delivered without any further warning. It is possible to send emails from anyone, including external and internal email addresses. For internal senders, Outlook even resolves the sender’s profile picture."
https://labs.infoguard.ch/posts/ghost-sender/
https://www.darkreading.com/vulnerabilities-threats/exchange-flaw-attackers-spoof-email-address

Malware

Phishing For Lobsters: How We Tricked OpenClaw Into Spilling Secrets
"Many enterprises are plugging AI agents directly into the inbox. Agents triage email, retrieve internal data, and even respond to emails. The inbox is also the place that’s most exposed and vulnerable to phishing attacks. Varonis Threat Labs explored whether the same phishing techniques that have tricked humans for decades would also work on the AI agents working on their behalf. We created an OpenClaw AI agent named Pinchy to test whether the agent would pass or fail versions of classic phishing simulations. The results were mixed."
https://www.varonis.com/blog/openclaw-phishing
https://www.bleepingcomputer.com/news/security/openclaw-ai-agent-found-falling-for-phishing-attacks-spills-user-data/
Technical Analysis Of MLTBackdoor
"In May 2026, Zscaler ThreatLabz identified a new malware family that we track as MLTBackdoor that is likely leveraged by a ransomware-related threat actor. MLTBackdoor has been observed by ThreatLabz being delivered in a multi-stage ClickFix infection chain. MTLBackdoor supports a set of commands like downloading and uploading files from the victim’s system. However, one of the most powerful features is the ability to load Beacon Object Files (BOFs) to expand its capabilities. In this blog post, ThreatLabz provides a technical analysis of MLTBackdoor, including its core features, configuration, obfuscation, network communication protocol, and capabilities."
https://www.zscaler.com/blogs/security-research/technical-analysis-mltbackdoor
Hackers Pose As Women Seeking Romance To Spy On Russian Soldiers
"A previously undocumented cyber espionage group has been attempting to compromise the smartphones, computers and Telegram accounts of Russian military personnel by posing as women seeking romantic relationships, researchers have found. The group, dubbed SiribClone by Russian cybersecurity firm F6, has been active since at least the summer of 2025 and has primarily targeted members of the Russian armed forces stationed in border regions and combat zones."
https://therecord.media/hackers-pose-as-women-seeking-romance-russian-military
Inside The Miasma Software Supply Chain Attack Toolkit
"The infamous Miasma worm goes open source. Multiple GitHub repositories with name Miasma-Open-Source-Release started appearing since yesterday. Most of them are likely published through compromised developer accounts. We have seen this in the past when Team PCP open sourced the Mini Shai-Hulud payload which in turn, likely motivated further software supply chain attacks. We managed to obtain the source code from one such repository (yanked now). As the developers of PMG, we are continuously looking to update our benchmark of attacker TTPs against which we evaluate PMG, especially its sandbox features."
https://safedep.io/inside-the-miasma-supply-chain-attack-toolkit/
https://www.theregister.com/cyber-crime/2026/06/09/miasma-supply-chain-attack-toolkit-goes-public-on-github/5253074
Blinding The Watchmen: Abusing Cloud Logging Services For Defense Evasion And Visibility
"Cloud logging services provide comprehensive visibility into actions performed within cloud resources, making them essential for security monitoring. However, this reliance also makes logging services a high-value target for attackers. An attacker who exploits these services could create weak spots, evade detection, and in certain scenarios, establish continuous visibility within a target’s environment. Services such as Amazon Web Services (AWS) CloudTrail and Google Cloud are powerful for defenders, and prime targets for attackers seeking to remain undetected by disrupting the flow of logs."
https://unit42.paloaltonetworks.com/cloud-logging-defense-evasion/
From Cause To Cash: a Cross-Border Look At Hacktivist Activity
"While tracking the activities of 4BID we uncovered a new string of campaigns that appear to be the work of several interconnected actors. While politically motivated groups generally limit their scope to specific nations – for 4BID and its peers, primarily Russian and occasionally Belarusian organizations – our latest findings reveal a shift. The actual geographic footprint of these attacks became broader than expected, striking companies across Kazakhstan, the UAE, Syria, and Egypt. What triggered our investigation was spotting a cluster of indicators of compromise within a breached Russian organization’s infrastructure. We used these footprints to successfully track down other environments hit by the same threat actors and piece together the bigger picture."
https://securelist.com/tr/hacktivists-broaden-attack-geography/120115/
AI Brands As Bait: How Threat Actors Are Using The AI Hype In Social Engineering
"As threat actors operationalize AI to accelerate attacks, they are also leveraging the wider global interest around AI itself as a social engineering lure. In recent months, Microsoft Threat Intelligence has observed a growing number of campaigns that impersonate the branding of popular AI platforms such as ChatGPT, Microsoft Copilot, DeepSeek, and Anthropic’s Claude as lures. These campaigns, which don’t represent compromise of services, span phishing, malvertising, and search engine optimization (SEO)-driven attacks that ultimately lead to credential theft, financial fraud, or malware infection."
https://www.microsoft.com/en-us/security/blog/2026/06/08/ai-brands-as-bait-how-threat-actors-are-using-the-ai-hype-in-social-engineering/

Breaches/Hacks/Leaks

French Govt Messaging Service Breached In Account Hijacking Attack
"DINUM, the digital affairs directorate of the French government, warned that hackers used a hijacked user account to breach Tchap, the French government's encrypted messaging platform. Developed in-house by DINUM in collaboration with ANSSI (the French Cybersecurity Agency) in 2018, Tchap is an instant messaging service and collaboration tool based on the decentralized Matrix protocol, designed exclusively for the French public sector. Tchap has now reached over 300,000 monthly users and over 500,000 downloads on Google's Play Store after Prime Minister François Bayrou mandated the use of Tchap and banned foreign apps for work communications for all civil servants in early August 2025."
https://www.bleepingcomputer.com/news/security/french-govt-messaging-service-breached-in-account-hijacking-attack/
https://www.theregister.com/security/2026/06/09/france-probes-compromise-of-gov-messaging-platform-after-account-hijack/5252717
https://www.helpnetsecurity.com/2026/06/09/tchap-french-government-secure-messaging-platform-breach/
Qilin NHS Breach Tally Grows As Essex Trust Confirms Stolen Records
"The patient tally from the Synnovis ransomware attack continues to grow two years later, with Mid and South Essex NHS Foundation Trust confirming it was caught up in the breach. The trust told The Register that the Synnovis breach affected about 2,380 records relating to patients who underwent specialist diagnostic testing. The disclosure follows a similar announcement by Bedfordshire Hospitals NHS Foundation Trust, which earlier this month said that almost 33,000 patient records had been caught up in the same breach."
https://www.theregister.com/cyber-crime/2026/06/09/qilin-nhs-breach-tally-grows-as-essex-trust-confirms-stolen-records/5252663
Maine Govt Portal Lists 10M Discord Data Breach Notice, But Filing Shows Red Flags
"A data breach notice submitted to the Maine Attorney General’s office has named Discord Inc. as the affected company, but the filing includes several details that make the claim difficult to treat as confirmed. The notice, submitted on June 8, 2026, lists Discord Inc. of San Francisco, California, as the entity involved. It claims that more than 10 million people were affected by an incident described as “Insider wrongdoing.” The number of affected Maine residents is listed as unknown."
https://hackread.com/maine-govt-portal-discord-data-breach-notice/
Handala Claims Israeli Radar Hack, But Evidence Shows Phone Admin Panel
"An Iranian-linked hacker group called Handala claimed to have hit Israeli military targets with massive cyberattacks on Sunday, June 7 2026. The group used the Telegram messaging app to announce they had successfully disrupted signal networks across Israel’s military radar systems. What’s interesting here is the timing of the announcement, as Handala’s claim perfectly coincides with a chaotic real-world development, as Israel and Iran broke their two-month ceasefire by trading heavy missile strikes on the same day."
https://hackread.com/handala-israeli-radar-hack-evidence-phone-admin-panel/
ServiceNow Discloses Security Incident Exposing Customer Data
"ServiceNow is warning about a security incident after attackers exploited an unauthenticated access flaw through a vulnerable API endpoint, allowing them to query data from customer instances. The company quietly warned impacted customers through a support bulletin and direct support cases after detecting "anomalous activity" related to the issue. The bulletin, which is hidden behind ServiceNow's customer support login portal, states that the company applied a security update to hosted customer instances on June 5, 2026."
https://www.bleepingcomputer.com/news/security/servicenow-discloses-security-incident-exposing-customer-data/

General News

May 2026 Dark Web Breach Incident Trend Report
"the May 2026 Dark Web Breach Incident Trend Report is organized around the major cases of Data Breaches posted on the deep web and dark web forums. due to the nature of the source, some of the information may not be fully verifiable as to whether it is true or not, and is therefore subject to verification."
https://asec.ahnlab.com/en/94028/
Dark Web Threat Actor Trend Report May 2026
"the May 2026 Dark Web Threat Actor Trend Report summarizes the trends of threat actors and hacktivists operating on the deep web and dark web. some statements are not factually verifiable."
https://asec.ahnlab.com/en/94033/
May 2026 Dark Web Issue Trend Report
"the May 2026 Dark Web Issue Trend Report summarizes the Major Issues that occurred on the deep web and dark web. it stated that due to the nature of the sources, some of the information cannot be fully verified for factual accuracy."
https://asec.ahnlab.com/en/94034/
The Real Problem With “Spot The Phish” Training In 2026
"Users are shown examples of suspicious emails and asked to identify the clues: bad grammar, odd links, fake branding, strange attachments. The idea is simple. Teach employees to recognize the signs and phishing risk goes down. The problem is that modern phishing does not always present obvious signs anymore."
https://cofense.com/blog/the-real-problem-with-spot-the-phish-training-in-2026
Mythos Preview Can Weaponize N-Day Vulnerabilities In Hours
"Mythos Preview can develop working exploits from newly disclosed software vulnerabilities in hours, cutting down a process that has historically taken days or weeks, according to Anthropic. Anthropic’s recent cybersecurity research has largely focused on zero-days, vulnerabilities unknown to software vendors. The new study examines N-days, vulnerabilities that have already been disclosed and patched but remain present on unpatched systems."
https://www.helpnetsecurity.com/2026/06/09/anthropic-mythos-preview-n-day-exploits-firefox-windows/
https://red.anthropic.com/2026/n-days/
https://www.securityweek.com/claude-mythos-turns-n-days-into-n-hours-with-rapid-exploit-creation/
Treating AI Agents Like Service Accounts For Federated Query Security
"In this interview with Help Net Security, Paras Malhotra, CISO at Starburst, explains how the company handles data governance across federated query environments. Topics include layering Starburst’s access controls above native source permissions, tiering vendor risk across more than 200 partners and connectors, and building audit trails for autonomous agents. The conversation covers how AIDA turns natural language into SQL while guarding against prompt injection, and how the company treats AI agents querying through MCP endpoints as scoped service accounts with short-lived credentials and accountable owners."
https://www.helpnetsecurity.com/2026/06/09/paras-malhotra-starburst-federated-query-security/
Malware Ships With Bugs That Defenders Could Use Against It
"Static analysis tools have spent years scanning legitimate software for security bugs before it goes out the door. The same scanners work on malware, and malware carries a steady supply of its own bugs. Researchers ran four of these tools across 658 leaked malware projects and found that close to 90 percent contained at least one recognized software weakness. The malware code came from VX-Underground, a public repository of leaked samples. The scanners were Cppcheck, Bandit, Snyk, and Semgrep. For comparison, the team ran the same analysis on 249 open-source projects, among them the most-downloaded Python and JavaScript packages and a group of security tools that includes nmap, sqlmap, and zap. The team picked smaller community projects on purpose, so the comparison would sit closer to the size and staffing of malware work."
https://www.helpnetsecurity.com/2026/06/09/malware-source-code-bugs-research/
https://arxiv.org/pdf/2606.05945
Will AI Kill The Bug Bounty Industry?
"AI is disruptive. Anthropic’s Claude Mythos model, and its successors, promise to be even more disruptive: they could threaten the existing bug bounty and/or in-house offensive security industries. AI has been widely adopted by both cybersecurity attackers and defenders. Attackers use it to help find bugs and craft attacks from sophisticated social engineering through to developing exploit and malware code. Defenders use it to help detect attacks in progress, detect deepfakes, and help code new software, and for bug bounty hunters and offensive security practitioners, to unearth bugs to fix them before they can be exploited."
https://www.securityweek.com/will-ai-kill-the-bug-bounty-industry/
Global Cyber Attacks Ease In May 2026, But Ransomware Surges 48% As Threats Reorganize
"In May 2026, global cyber-attack activity eased from April’s sharp rebound, though the underlying trends offer little genuine comfort. Organizations experienced an average of 2,055 weekly cyber-attacks, a 2% increase year over year and a short term 7% decrease month over month. While the monthly decline may read as stabilization, ransomware activity surged to its highest year-over-year growth rate of 2026, and GenAI-driven data exposure risks continued to deepen across enterprise environments. Check Point Research data consistently shows that short-term volume moderation does not equal reduced risk. Adversaries keep recalibrating timing, tools, and targeting, and May is a clear example of that pattern."
https://blog.checkpoint.com/research/global-cyber-attacks-ease-in-may-2026-but-ransomware-surges-48-as-threats-reorganize/
CISA Is Rethinking How It Prioritizes Risks And Vulnerabilities For Feds, Private Sector
"The Cybersecurity and Infrastructure Agency wants to fundamentally reevaluate how it prioritizes risks and vulnerabilities, both for privately-owned critical infrastructure and within the federal government, acting director Nick Andersen said Tuesday. The plans include a binding operational directive for federal agencies set to be published Wednesday and getting more specific with critical infrastructure owners and operators about which assets they need to protect most and how, Andersen said while speaking at an event hosted by Axonius in Washington, D.C. and talking with reporters afterwards."
https://cyberscoop.com/cisa-cyber-risk-prioritization-vulnerability-directive/
**https://therecord.media/cisa-to-transform-how-it-assesses-cyber-vulns-risks
75% Of Firms Deploy Vulnerable Code Amid Pressure On CISOs, Report Finds**
"Nearly all CISOs have felt pressured to suppress or delay compliance-related cybersecurity issues in code, especially when business deadlines need to be hit, a new report has warned. According to the research, released on Jun 8 by Checkmarx, 95% of CISOs said they faced pressure to deprioritize or delay reporting of security issues by other parts of the business. As a result of this pressure, 75% of those surveyed said that their organization had knowingly deployed vulnerable code into a production environment."
https://www.infosecurity-magazine.com/news/firms-deploy-vulnerable-code/
AI Coding Adoption Hits 97% But Governance Lags Behind
"Nearly all software development teams have adopted AI coding assistants, but fewer than a third govern how the tools are used and that gap is capping the productivity AI promises. The figures come from an independent survey of 831 software engineers and DevOps professionals carried out by the research firm UserEvidence for Black Duck in March 2026. It found 97% actively using the tools but just 30% with a fully governed approach to oversight."
https://www.infosecurity-magazine.com/news/ai-coding-adoption-governance-lags/

อ้างอิง
Electronic Transactions Development Agency (ETDA)

NCSA_THAICERT

Industrial Sector

NAVTOR NavBox
"Successful exploitation of this vulnerability could allow a local attacker to gain unauthorized access to SOAP methods, resulting in a disruption of operations."
https://www.cisa.gov/news-events/ics-advisories/icsa-26-155-01
Hitachi Energy ITT600 Explorer
"Hitachi Energy is aware of vulnerabilities that affect ITT600 Explorer product versions listed in this document. These vulnerabilities can be exploited to carry out Denial of Service (DoS) attack on the product. The vulnerabilities only affect Hitachi Energy Integrated Testing Tool ITT600 SA Explorer without affecting IEC 61850 system endpoints. Please refer to the Recommended Immediate Actions for information about the mitigation/remediation."
https://www.cisa.gov/news-events/ics-advisories/icsa-26-155-02
B&R PPT30 Operating System
"B&R is aware of a vulnerability in the product versions listed as affected in the advisory. An attacker who successfully exploits this vulnerability could make the OPC-UA server of the product inaccessible."
https://www.cisa.gov/news-events/ics-advisories/icsa-26-155-03
Hitachi Energy RTU500
"Hitachi Energy is aware of vulnerabilities that affect RTU500 product versions listed in this document. If exploited, these vulnerabilities primarily impact product availability, with potential secondary impacts on confidentiality and integrity. Please refer to the Recommended Immediate Actions for information about the mitigation/remediation."
https://www.cisa.gov/news-events/ics-advisories/icsa-26-155-04
Hitachi Energy MACH HiDraw
"Hitachi Energy is aware of a buffer overflow vulnerability that affects MACH HiDraw product versions listed in this document. Successful exploitation of this vulnerability could lead to a buffer overflow condition, potentially resulting in application outages (denial of service) and possible arbitrary code execution. Please refer to the Recommended Immediate Actions for information about the mitigation/remediation."
https://www.cisa.gov/news-events/ics-advisories/icsa-26-155-05

New Tooling

DockSec: Open-Source AI-Powered Docker Security Scanner
"DockSec is an OWASP Incubator Project that combines three container security scanners with a language-model layer for explanation and remediation. Created by Advait Patel, the Python tool runs Trivy, Hadolint, and Docker Scout against a developer’s Dockerfile and image, correlates the findings, returns a 0-100 security score, and proposes line-specific fixes. DockSec requires Python 3.12 and ships under the MIT license. It supports four language-model backends: OpenAI, Anthropic, Google Gemini, and local models served through Ollama, with a scan-only mode that operates offline and requires no API key."
https://www.helpnetsecurity.com/2026/06/08/docksec-open-source-ai-docker-security-scanner/
https://github.com/OWASP/DockSec

Vulnerabilities

Popping Root On UniFi OS Server: Unauthenticated RCE Chain Detection & Analysis
"Ubiquiti’s Security Advisory Bulletin 064 covers vulnerabilities across the UniFi OS device family that chain into unauthenticated remote code execution. An attacker bypasses the front-end authentication gateway to reach an internal API endpoint that runs an attacker-controlled value as a shell command, all without credentials. We confirmed the full chain end-to-end, turning a single request into a reverse shell with full root privileges. The severity comes from what the appliance controls: it is the management plane for the network it runs. Root on it, therefore, exposes every stored secret, lets an attacker forge admin sessions that survive the patch, and, in physical deployments, can compromise managed devices including door controls and security cameras."
https://bishopfox.com/blog/popping-root-on-unifi-os-server-unauthenticated-rce-chain-detection-analysis
https://www.bleepingcomputer.com/news/security/critical-unifi-os-bug-lets-hackers-gain-root-without-authentication/
Security Advisory – Action Required – Active Exploitation Of Check Point VPN Authentication Bypass (CVE-2026-50751)
"Check Point Research has identified active exploitation of CVE-2026-50751, a critical authentication bypass vulnerability affecting Check Point Remote Access VPN and Mobile Access deployments configured to use the deprecated IKEv1 key exchange protocol. By exploiting a logic flaw in certificate validation, an attacker can establish a VPN session without possession of a valid password, effectively bypassing authentication requirements. Additional post-authentication activity is required to access internal resources or escalate privileges."
https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/
https://www.bleepingcomputer.com/news/security/check-point-links-vpn-zero-day-attacks-to-qilin-ransomware-gang/
https://www.darkreading.com/vulnerabilities-threats/check-point-vpn-flaw-exploited-early-may
https://thehackernews.com/2026/06/critical-check-point-vpn-flaw-exploited.html
https://www.helpnetsecurity.com/2026/06/08/check-point-cve-2026-50751-qilin-ransomware/
https://www.theregister.com/cyber-crime/2026/06/08/attackers-had-month-long-head-start-on-patched-check-point-vpn-zero-day/5252438
CISA Adds Two Known Exploited Vulnerabilities To Catalog
"CISA has added two new vulnerabilities to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
CVE-2026-42271 BerriAI LiteLLM Command Injection Vulnerability
CVE-2026-50751 Check Point Security Gateway Improper Authentication Vulnerability"
https://www.cisa.gov/news-events/alerts/2026/06/08/cisa-adds-two-known-exploited-vulnerabilities-catalog
Gogs Patches Critical Zero-Day Enabling Remote Code Execution
"Gogs has patched a critical security zero-day flaw that can allow attackers to compromise Internet-facing instances and access any repositories (including private ones). This argument injection vulnerability has yet to be assigned a CVE ID, can only be exploited by authenticated attackers without admin privileges, and affects all Gogs releases up to and including 0.14.2 and 0.15.0+dev. They can exploit this vulnerability to compromise the targeted server, read any repository (including private repos), steal credentials, move laterally to other systems on the network, and alter any hosted source code."
https://www.bleepingcomputer.com/news/security/gogs-patches-critical-zero-day-enabling-remote-code-execution/
Off By !: Exploiting a Use-After-Free In The Linux Kernel
"In this blog post, we discuss a use-after-free vulnerability that we found in the nftables subsystem of the Linux kernel in early 2025. This vulnerability was patched upstream on 5 February 2026 and assigned CVE-2026-23111. This blog post covers a technical analysis of the vulnerability and how we exploited it to perform a local privilege escalation from an unprivileged user to root on Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS, and Ubuntu 24.04 LTS."
https://blog.exodusintel.com/2026/06/08/off-by-exploiting-a-use-after-free-in-the-linux-kernel/
https://thehackernews.com/2026/06/one-character-linux-kernel-flaw-enables.html

Malware

NFCShare Android Malware Spreads Via Fake Banking App Updates On GitHub
"New variants of the NFCShare Android malware are being distributed as fake updates for legitimate banking apps hosted on GitHub. The malware has evolved and is now targeting customers of multiple banks and financial institutions across Europe in a phishing campaign aimed at stealing payment card data. After tricking victims with a fake verification screen to place the cards near the mobile device's near-field communication (NFC) chip, NFCShare reads the information using Android’s IsoDep interface and EMV commands."
https://www.bleepingcomputer.com/news/security/nfcshare-android-malware-spreads-via-fake-banking-app-updates-on-github/
Shai-Hulud Descends To Hades: Miasma Worm Campaign Spreads With New PyPI Wave
"Socket detected a coordinated PyPI compromise involving 37 malicious wheel artifacts across 19 packages. The compromised releases shipped a *-setup.pth file that attempts to execute automatically during Python startup, download the Bun JavaScript runtime, and run an obfuscated JavaScript payload named _index.js. Socket’s AI malware detection system identified the malicious package cluster minutes after publication. The attack is cross-runtime, and the tradecraft is unmistakably Shai-Hulud / Miasma. Python packages provide the delivery vehicle, but the payload runs under Bun as a heavily obfuscated JavaScript stealer."
https://socket.dev/blog/shai-hulud-descends-to-hades-miasma-pypi-wave
https://www.bleepingcomputer.com/news/security/new-shai-hulud-attack-trojanizes-19-science-focused-pypi-packages/
https://www.darkreading.com/application-security/hades-campaign-pypi-shai-hulud
Fighting Spyware: An Update From WhatsApp
"WhatsApp caught and disrupted spear phishing attempts linked to NSO, a spyware firm blacklisted by the US government. Today, we’re asking the court to hold NSO in contempt for violating a permanent injunction that barred them from ever targeting WhatsApp and its users. Spyware is a national security threat, which is why we are supporting a growing coalition of privacy advocates and security researchers against spyware, and donating to the Spyware Accountability Initiative."
https://about.fb.com/news/2026/06/fighting-spyware-an-update-from-whatsapp/
https://www.bleepingcomputer.com/news/security/whatsapp-says-it-disrupted-new-nso-spyware-phishing-attacks/
https://thehackernews.com/2026/06/meta-blocks-nso-groups-new-whatsapp.html
https://therecord.media/whatsapp-says-nso-targeted-users-with-attacks-against-court-order
https://cyberscoop.com/meta-contempt-complaint-nso-group-spyware/
https://hackread.com/whatsapp-blocked-pegasus-spyware-campaign-nso/
https://www.securityweek.com/whatsapp-catches-spyware-firm-nso-defying-no-hacking-court-order/
https://securityaffairs.com/193333/security/meta-accuses-nso-of-violating-whatsapp-court-injunction.html
https://www.theregister.com/security/2026/06/08/nso-group-back-in-metas-crosshairs-after-alleged-whatsapp-targeting/5252105
https://www.helpnetsecurity.com/2026/06/08/meta-whatsapp-nso-group-phishing-campaign/
From Fake Amazon Security Alert To HarborWatch Agent: ClickFix Delivery Of a Custom Monitoring RAT
"Threat actors do not always need to compromise a major company to weaponize its trust; they simply need to borrow its name. In the following campaign threat, cybercriminals utilize social engineering, lookalike domains, and fake verification tactics to turn a routine security alert into a ClickFix malware delivery with the goal of convincing recipients to unknowingly infect themselves. The Cofense Phishing Defense Center has identified an Amazon-themed malware delivery campaign that abuses the ClickFix self-infection technique to deliver a custom monitoring RAT known as HarborWatch Agent. This campaign highlights a growing trend in the threat landscape where attackers are abusing trusted brands and fake verification to turn users into the mechanism of their own infection."
https://cofense.com/blog/from-fake-amazon-security-alert-to-harborwatch-agent-clickfix-delivery-of-a-custom-monitoring-rat
Don't Fear The Repo: UNK_DeadDrop Phishing Campaign Targets Developers To Steal Cryptocurrency
"Since at least 2022, North Korea-aligned threat actors have made a concerted effort not only to target cryptocurrency and decentralized finance organizations, but specifically to target developers using fake recruiter personas, malicious npm/PyPI packages (TraderTraitor / Jade Sleet), and trojanized cryptocurrency trading applications (AppleJeus / Citrine Sleet). These often masquerade as technical assessments or coding challenges and use techniques such as ClickFix or abusing Visual Studio Code’s features to execute malware. Approaches often occur over LinkedIn, Slack, Telegram, or in a multi-platform manner, with a consistent aim of targeting developer assets such as API tokens, cryptocurrency wallets, and credentials."
https://www.proofpoint.com/us/blog/threat-insight/dont-fear-repo-unkdeaddrop-phishing-campaign-targets-developers-steal
https://www.infosecurity-magazine.com/news/north-korean-hackers-developers/
https://www.theregister.com/security/2026/06/08/suspected-norks-send-250-fake-dev-job-pitches-to-steal-crypto/5252526
Old WinRAR Flaw Fuels Attacks On Ukraine: How Unmanaged Software Keeps The Door Open
"When Russia annexed Crimea in 2014, the Russia-aligned cyber threat landscape was defined by a handful of known actors: Pawn Storm (also known as APT28), Sandworm, Earth Koshchei (also known as APT29), Turla, and Earth Dahu (also known as Gamaredon). A decade later, those groups remain active, but they have been joined by a much larger number of distinct activity clusters targeting Ukraine. One pattern cuts across these clusters: the rapid adoption of vulnerabilities in widely used software. CVE-2025-8088, the WinRAR vulnerability at the center of this report, was first reported in July 2025 as a zero-day used by Void Rabisu (ROMCOM) and has since been exploited by other groups, including Sandworm and Turla. SHADOW-EARTH-066 (known as UAC-0226) and Earth Dahu also exploited this vulnerability."
https://www.trendmicro.com/en_us/research/26/f/old-winrar-flaw-fuels-attacks-on-ukraine.html
When “Hi, This Is IT” Comes Through Microsoft Teams
"It's Friday afternoon. The week has been busy, and everyone is wrapping up before the weekend. One of your workers receives a message (Figure 1) through Microsoft Teams from what appears to be the IT Service Provider. The message is marked as external. The worker previews the message and sees, "Hi, this is the IT Department. We see an issue with your account." The message looks routine and is in MS Teams, not email. The worker accepts the message. The conversation proceeds and the "IT technician" explains that a login anomaly was detected and asks the worker to approve a multi-factor authentication (MFA) prompt to confirm their identity. The conversation continues for a few minutes to maintain credibility, but behind the scenes the compromise is already underway."
https://unit42.paloaltonetworks.com/microsoft-teams-phishing/

Breaches/Hacks/Leaks

SoFi Confirms Third-Party Data Breach At Hong Kong Subsidiary
"SoFi Hong Kong is warning that it suffered a data breach after hackers gained access to a database at a third-party vendor containing customer information. The company is a U.S.-based financial technology company that offers banking, investing, loans, and other personal finance services. The company also operates SoFi Hong Kong, which provides investment and securities services to customers in the region. In emails sent to customers and shared with BleepingComputer, SoFi said it discovered the incident on April 30, 2026, after detecting unauthorized access to a database of SoFi Securities (Hong Kong) Limited via one of its vendors."
https://www.bleepingcomputer.com/news/security/sofi-confirms-third-party-data-breach-at-hong-kong-subsidiary/
Over 20,000 Instagram Accounts Stolen In Meta AI Support Hack
"Meta has revealed that 20,225 Instagram users had their accounts hijacked in a recent incident where attackers used Meta's AI-powered support system to reset passwords. As BleepingComputer reported one week ago, the threat actors exploited a flaw in the company's High Touch Support (HTS) tool, an AI-assisted support system that helps users regain access after being locked out of their Instagram accounts. By exploiting the fact that HTS didn't verify whether email addresses were associated with the targeted Instagram accounts, they obtained password reset links that allowed them to log in and hijack accounts without two-factor authentication (2FA) enabled."
https://www.bleepingcomputer.com/news/security/meta-ai-support-data-breach-affects-20-000-instagram-accounts/
https://www.infosecurity-magazine.com/news/over-20000-instagram-accounts/
https://hackread.com/instagram-recovery-tool-bug-accounts-password-reset/
https://www.securityweek.com/meta-says-20000-instagram-accounts-hacked-via-ai-tool-abuse/
https://securityaffairs.com/193307/ai/meta-ai-recovery-tool-flaw-exposed-20000-instagram-accounts.html
https://www.helpnetsecurity.com/2026/06/08/instagram-ai-support-vulnerability-account-takeovers/
174,000 Impacted By Lansing Community College Data Breach
"Lansing Community College (LCC) is notifying over 174,000 people that their personal information was compromised in a data breach more than one year ago. The incident was identified in February 2025, roughly one week after hackers gained access to some of its systems using compromised credentials, the Lansing, Michigan public community college says in notification letters sent to the impacted individuals. Working with third-party cybersecurity experts, LCC determined that the hackers accessed personal information such as names, addresses, dates of birth, driver’s license details, and Social Security numbers."
https://www.securityweek.com/174000-impacted-by-lansing-community-college-data-breach/
Ransomware Sends Illinois High School On An Early Summer Vacation
"An Illinois high school won't reopen until Wednesday at the earliest after suffering a ransomware attack on Sunday, June 7. Evanston Township High School (ETHS), located 14 miles north of Chicago, said it would be closed today and tomorrow, and that the closure also affected summer school, sports camps, and on-campus activities, which are all canceled."
https://www.theregister.com/cyber-crime/2026/06/08/ransomware-attack-shuts-illinois-high-school-until-wednesday/5252322

General News

Iran Signed a Ceasefire — Its Hackers Didn't
"The United States and Iran have extended what began as a two-week ceasefire. The pause applies only to kinetic warfare, and even that didn't fully stop the shooting. The cyber front has no signs of a truce. The day before that ceasefire took effect, six federal agencies — the FBI, CISA, NSA, EPA, DOE, and U.S. Cyber Command's Cyber National Mission Force — issued a joint advisory warning that Iranian-affiliated actors had been manipulating programmable logic controllers inside U.S. critical infrastructure since at least March. Victim organizations across water, energy, and government services confirmed operational disruptions and financial losses. Hours after the ceasefire took effect, one IRGC-linked group announced it was pausing attacks on the U.S., for now, while vowing to revive them "when the time is right." Another pledged operations against Israel would continue “at full force.”"
https://www.darkreading.com/cyberattacks-data-breaches/iran-signed-ceasefire-hackers
Cybercriminals Create 19,000 FIFA-Themed Domains Ahead Of 2026 World Cup
"Fans looking for tickets, accommodation and match broadcasts are already encountering scams tied to the 2026 FIFA World Cup. The 2026 FIFA World Cup will bring millions of visitors and an estimated 6 billion spectators to a tournament spread across 16 host cities in the United States, Canada and Mexico. In a new report, Intel 471 describes the 2026 FIFA World Cup as “the largest and most complex cyberattack surface in sporting history.”"
https://www.helpnetsecurity.com/2026/06/08/fifa-world-cup-cyber-threats/
Everybody Is Vibe Coding But Nobody Told The Security Team
"In February 2025, Andrej Karpathy coined the term “vibe coding” to describe a new way of building software: rapid, AI-assisted development where users ‘fully give in to the vibes, embrace exponentials, and forget that the code even exists’.” Fast forward to 2026, and Anthropic CEO now predicts that 90% of code will be written by AI in 3-6 months. According to one survey, 84% of developers globally are using or planning to use AI coding tools in their workflow, up from 76% in 2024. Of those, 51% of professional developers use AI tools daily."
https://www.securityweek.com/everybody-is-vibe-coding-but-nobody-told-the-security-team/
The Hardest Fork
"Mythos is real. I know a big chunk of the industry thinks it's a marketing stunt, and I get why. I get it. But I've seen the findings, and they're bad. These aren't "whoops, this line right here is wrong, and that's RCE." They're novel combinations of a few dozen issues out of thousands of things every SAST scanner already finds, chained together into something much worse. It's real creativity, like Move 37. That's not a better scanner. That's a different category of threat."
https://thehackernews.com/2026/06/the-hardest-fork.html
52% Of Direct-To-IP Threats Are Missing From Intelligence Feeds
"Security tools are good at inspecting websites, domains, URLs, and files, so attackers are moving lower in the stack and communicating directly with IP addresses, where visibility is limited. According to Palo Alto Networks’ report, this creates a visibility gap that allows malicious traffic to blend into normal internet activity and evade detection. At the internet edge, this gap starves security systems of the telemetry needed to identify and block threats. Threat actors hide the signals security tools rely on, use shared infrastructure to avoid detection, and scale these techniques with AI."
https://www.helpnetsecurity.com/2026/06/08/palo-alto-networks-securing-ip-connections-report/

อ้างอิง
Electronic Transactions Development Agency (ETDA)

NCSA_THAICERT

New Tooling

AgentGG: Open-Source Agentic SAST Scanner
"Static analysis tools have spent years matching source code against known-bad patterns and handing engineers long lists of candidate issues to triage by hand. AgentGG approaches the same job with AI agents that read the code, follow imports, walk the call graph, and confirm a finding before they report it. The project is an open-source agentic SAST scanner released under the Apache 2.0 license."
https://www.helpnetsecurity.com/2026/06/05/agentgg-open-source-agentic-sast-scanner/
https://github.com/agentgg-dev/agentgg

Vulnerabilities

Chrome 149 Patches 429 Vulnerabilities
"Google this week promoted Chrome 149 to the stable channel with patches for 429 vulnerabilities, a record for a single Chrome refresh. Already exceeding several times the total number of Chrome security fixes released in 2025, the surge in Chrome flaws is likely driven by AI use, which led Google to lower Chrome bug bounties in April. Over 100 of the newly resolved security defects are critical and high-severity issues, most of which are use-after-free and insufficient validation of untrusted input flaws."
https://www.securityweek.com/chrome-149-patches-429-vulnerabilities/
Cisco Warns Of Unpatched SD-WAN Zero-Day Exploited In Attacks
"On Thursday, Cisco warned of a high-severity, unpatched zero-day in the Cisco Catalyst SD-WAN Manager (tracked as CVE-2026-20245) actively exploited in attacks enabling root privilege escalation. The zero-day flaw impacts all deployment types, including On-Prem Deployment, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed), and Cisco SD-WAN for Government (FedRAMP). In a Thursday advisory, Cisco said the issue stems from insufficient validation of user-supplied input, and it can allow local attackers with low privileges to execute arbitrary commands as root."
https://www.bleepingcomputer.com/news/security/new-cisco-sd-wan-flaw-exploited-in-zero-day-attacks-to-gain-root/
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
https://thehackernews.com/2026/06/cisco-catalyst-sd-wan-manager-cve-2026.html
https://www.securityweek.com/cisco-warns-of-7th-sd-wan-zero-day-exploited-in-2026/
https://securityaffairs.com/193203/security/cisco-sd-wan-has-a-new-root-level-problem-and-theres-no-fix-yet.html
https://www.theregister.com/security/2026/06/05/yet-another-cisco-sd-wan-0-day-under-attack-and-no-patch-in-sight/5251855
https://www.helpnetsecurity.com/2026/06/05/cisco-sd-wan-cve-2026-20245-0-day-exploited/
CISA Adds One Known Exploited Vulnerability To Catalog
"CISA has added one new vulnerability to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
CVE-2026-28318 SolarWinds Serv-U Uncontrolled Resource Consumption Vulnerability"
https://www.cisa.gov/news-events/alerts/2026/06/05/cisa-adds-one-known-exploited-vulnerability-catalog
https://www.bleepingcomputer.com/news/security/cisa-hackers-now-exploit-solarwinds-serv-u-flaw-to-crash-servers/
https://thehackernews.com/2026/06/cisa-adds-actively-exploited-solarwinds.html
https://securityaffairs.com/193245/security/u-s-cisa-adds-solarwinds-serv-u-flaw-to-its-known-exploited-vulnerabilities-catalog.html
AI Agent Uncovers 21 Zero-Days In FFmpeg; Chrome Patches Record 429 Bugs
"Two things landed within days of each other this week. A security startup reported 21 previously unknown vulnerabilities in FFmpeg, the media library inside almost everything that touches video, all of them found by an autonomous AI agent. The same week, Google shipped Chrome 149 with patches for 429 security bugs, the most ever in a single release."
https://thehackernews.com/2026/06/ai-agent-uncovers-21-zero-days-in.html
Claude Opus Found a Four-Year-Old Hole In Zcash’s Privacy Layer. Nobody Knows If Someone Already Used It.
"On May 29, the security researcher Taylor Hornby found a critical vulnerability in Zcash Orchard privacy pool using Claude Opus 4.8. The Zcash team hired Hornby specifically to look for this kind of issue. He found one fast enough to be embarrassing. The Orchard pool is the newest and most advanced shielded transaction system in the cryptocurrency Zcash. Introduced in 2022, it allows users to send and receive ZEC while keeping transaction details private. It uses zero-knowledge proofs to validate transactions without revealing amounts or participants. The bug: a specific check that was supposed to validate transaction inputs wasn’t actually enforcing the rules it appeared to enforce. An attacker could have exploited the flaw to feed false inputs into that check and generate ZEC from nothing, with the zero-knowledge proof system blessing the fraudulent transaction as valid."
https://securityaffairs.com/193224/hacking/claude-opus-found-a-four-year-old-hole-in-zcashs-privacy-layer-nobody-knows-if-someone-already-used-it.html

Malware

VerdantBamboo: Just Another BRICKSTORM In The Firewall
"In September 2025, Volexity conducted an incident response engagement that began after suspicious network traffic was observed from a Linux-based virtual machine appliance on a customer’s network. The virtual machine was an Egnyte Storage Sync system, which is designed to facilitate syncing local on-premise files with the cloud. Volexity discovered that instead of connecting to a domain affiliated with Egnyte, the appliance was connecting to a threat-actor-controlled domain behind Cloudflare IP addresses. The appliance was also making TLS connections to one of Google’s public DNS servers (8.8.8.8). It appeared to be using Google to perform queries via DNS over HTTPS, as there was no DNS activity for the domain observed in the connections. Later in the investigation, this was confirmed to be the case after Volexity obtained snapshots of the Storage Sync system for analysis."
https://www.volexity.com/blog/2026/06/04/verdantbamboo-just-another-brickstorm-in-the-firewall/
https://www.bleepingcomputer.com/news/security/chinese-apt-deploys-new-malware-to-keep-access-to-hacked-networks/
Suspicious Polyfill Login Prompts Pop Up On Toshiba, Muji Websites
"Tech giant Toshiba and mega-retailer Muji warned visitors that suspicious sign-in screens popping up on their websites could collect credentials. Both Japanese companies advised users who entered their account login data in the authentication screens to change their passwords to access the service. The login pop-ups were generated by the external service hosted at polyfill[.]io, which in 2024 introduced malicious code in scripts delivered by its CDN."
https://www.bleepingcomputer.com/news/security/suspicious-polyfill-login-prompts-pop-up-on-toshiba-muji-websites/
New Mac Stealer SHub Reaper Is Spoofing Apple, Google, And Microsoft
"Threat actors are using fake websites for popular software to distribute an updated version of SHub Stealer, a piece of macOS malware. What’s different about this malware and why Mac users should care? The malware is using a technique for distribution that is automating ClickFix, which we have seen before. This technique makes it more difficult for Mac users to spot the cyberattack. Let’s dive in."
https://moonlock.com/mac-stealer-shub-reaper
https://hackread.com/reaper-macos-infostealer-script-editor-crypto-passwords/
Silent Ransom Group (SRG): Uncovering DNS Fast Flux Infrastructure
"The Silent Ransom Group (SRG), also known as Luna Moth, Chatty Spider, and UNC3753, is a sophisticated cyber extortion group that has been active since at least 2022. Unlike traditional ransomware groups that encrypt data, SRG focuses on data theft and extortion without relying on encryption. The group is particularly known for targeting industries that handle sensitive information, such as law firms, healthcare, hotels, finance, and insurance . The FBI recently issued an advisory about the SRG, which is actively targeting U.S.-based law firms and other industries through social engineering and in-person attacks. In this threat intelligence report, Resecurity highlights the notable tactics used by the SRG — specifically, the use of Clearnet Data Leak Sites (DLS) and DNS Fast Flux, an evasion technique used by cybercriminals to hide servers behind a continuously rotating network of compromised devices (often a botnet) acting as proxies. By changing the DNS records and using short Time-To-Live (TTL) values, attackers make their malicious infrastructure resilient against takedowns."
https://www.resecurity.com/blog/article/silent-ransom-group-srg-uncovering-dns-fast-flux-infrastructure
https://securityaffairs.com/193215/cyber-crime/silent-ransom-group-srg-switching-to-dns-fast-flux-infrastructure.html
PCPJack Hijacked 230 AWS, GCP, And Azure Servers To Run a Hidden SMTP Relay Network
"SentinelOne documented PCPJack in April 2026, covering how the campaign gains initial access and harvests credentials from compromised Linux servers. What that report didn't cover was what happens next. During a routine infrastructure hunting session, our team found an open directory on 213.136.80[.]73, a server already tied to PCPJack's C2 infrastructure. No authentication required. Twelve files sitting exposed on port 8444, including source code, compiled binaries, and deployment state logs. A second open directory on port 9443 exposed the operator's live working directory, active scanners, exploitation tooling, and a Sliver C2 configuration, all accessible at the same time."
https://hunt.io/blog/pcpjack-230-cloud-servers-smtp-proxy-network-sliver-chisel
https://thehackernews.com/2026/06/pcpjack-hijacks-230-aws-google-cloud.html
https://securityaffairs.com/193189/cyber-crime/pcpjack-exposed-researchers-uncover-230-node-cloud-email-relay-network.html
Android Spyware Asin Targets Arabic Users Via Fake News, PDF And War Map Apps
"Arabic-speaking users have emerged as the target of a new Android spyware codenamed Asin, according to findings from ESET. The Slovakian cybersecurity company said it first detected the malware spread via multiple campaigns in early 2025, with each attack wave making use of distinct websites mimicking utilities, war-related updates, and a government news source:"
https://thehackernews.com/2026/06/android-spyware-asin-targets-arabic.html
ReliaQuest's Agentic AI Uncovers New China-Linked Cluster OP-512
"ReliaQuest’s Agentic AI recently surfaced what we assess with moderate-high confidence to be a new China-linked cluster, which we’re tracking as “OP-512.” Our AI agent stitched together a high volume of seemingly unrelated suspicious events across a customer’s environment into one high-priority incident, revealing a coordinated intrusion that manual review alone would have been unlikely to reconstruct at the same speed, if at all. ReliaQuest threat research analysts then reviewed and validated the findings."
https://reliaquest.com/blog/threat-spotlight-reliaquests-agentic-ai-uncovers-new-china-linked-cluster-op-512
https://thehackernews.com/2026/06/new-threat-cluster-op-512-targets.html
Seeking Counsel: Ongoing Targeted Campaign Against US Law Firms
"From January through May 2026, Mandiant identified a financially motivated data theft extortion campaign executed by the threat cluster UNC3753 (also tracked as "Luna Moth," “Chatty Spider,” and "Silent Ransom Group") targeting dozens of organizations across professional, legal, and financial services in the United States. UNC3753 leverages voice phishing (vishing) and social engineering deception techniques to achieve remote access into corporate environments. Using pretexts such as data migration or invoice related emails, the threat actors initiate phone conversations posing as IT support and convince targets to host screen-sharing sessions and download remote monitoring and management (RMM) utilities. Once inside the environment, the threat actors either directly conduct searches to locate and exfiltrate highly sensitive data, or manipulate the victim into executing these actions on their behalf. This data typically includes proprietary legal agreements, personally identifiable information (PII), and financial records for subsequent extortion demands."
https://cloud.google.com/blog/topics/threat-intelligence/targeted-campaign-us-law-firms
https://www.bleepingcomputer.com/news/security/silent-ransom-group-targets-law-firms-with-fake-it-support-calls/
https://www.theregister.com/cyber-crime/2026/06/05/if-you-dont-fall-for-these-extortionists-calls-theyll-show-up-with-usb-sticks/5251891
Threat Brief: Active Exploitation Of PAN-OS CVE-2026-0257
"Palo Alto Networks Unit 42 has observed active exploitation of PAN-OS vulnerability CVE-2026-0257 by an unidentified threat actor attempting to access GlobalProtect. This security flaw involves an authentication bypass in the portal and gateway components of vulnerable versions of PAN-OS software, which could allow unauthorized attackers to circumvent security controls and initiate VPN connections. This CVE was added to the Known Exploited Vulnerability (KEV) catalog on May 29."
https://unit42.paloaltonetworks.com/active-exploitation-of-pan-os-cve-2026-0257/
FSB’s Matryoshka #3/3 – Gamaredon’s Gifts That Keeps Unpacking – GammaSteel
"Gamaredon is a cyberespionage group specialized in long-term and persistent intrusion operations targeting Ukraine. Officially operated by Russia’s FSB, the group is focusing government, military, and critical infrastructure networks, and is still actively operating at the time of this publication. This report analyses over a decade of malware families and establishes a unified naming taxonomy to cut through the fragmented nomenclature. The infection chain is designed to be invisible: by hiding inside legitimate Windows features and abusing trusted platforms like Telegram, Cloudflare, and standard cloud storage, Gamaredon leaves almost no trace on infected machines."
https://blog.sekoia.io/fsbs-matryoshka-3-3-gamaredons-gifts-that-keeps-unpacking-gammasteel/
Miasma Worm Hits 73 Microsoft GitHub Repositories In Major Supply Chain Attack
"Microsoft's GitHub repositories have become the latest to fall victim to the ongoing Miasma self-replicating supply chain attack campaign. The incident impacted 73 Microsoft repositories across four of its GitHub organizations, including Azure, Azure-Samples, Microsoft, and MicrosoftDocs, per OpenSourceMalware. The development has GitHub to disable access to those repositories. "Access to this repository has been disabled by GitHub Staff due to a violation of GitHub's terms of service," reads the message when attempting to access the "Azure/azure-functions-host" repository. "If you are the owner of the repository, you may reach out to GitHub Support for more information.""
https://thehackernews.com/2026/06/miasma-worm-hits-73-microsoft-github.html
https://safedep.io/miasma-worm-ai-coding-agent-config-injection/
https://falconfeeds.io/blogs/shai-hulud-npm-pypi-supply-chain-worm-analysis/

Breaches/Hacks/Leaks

Nightclub Giant RCI Says Data Breach Affects 40,000 Individuals
"Adult nightclub giant RCI Hospitality Holdings has informed authorities that a data breach disclosed in April affects roughly 40,000 individuals. RCI Hospitality is one of the largest adult nightclub operators in the United States, and its portfolio also includes sports bars and dance clubs. The company told the SEC in mid-April that its RCI Internet Services subsidiary discovered an insecure direct object reference (IDOR) vulnerability on March 23 in an IIS web server, allowing unauthorized access to personal information."
https://www.securityweek.com/nightclub-giant-rci-says-data-breach-affects-40000-individuals/
Attackers Obtained Encrypted Password Vaults From Some Dashlane User Accounts
"Dashlane has disclosed new details about a brute-force attack that let a threat actor access some customer accounts and copy encrypted vaults. Dashlane said it found no evidence that the attackers compromised its internal systems. The company first acknowledged the incident on May 31 after users reported receiving account suspension emails and experiencing login problems. “Your account has been temporarily suspended for security reasons as someone has attempted to register a new device and didn’t enter the correct token after several tries,” the emails read, instructing affected users to contact customer support to restore access."
https://www.helpnetsecurity.com/2026/06/05/dashlane-brute-force-attack-vaults-customer-accounts/
Oxford Uni Student Data Pwned Yet Again - This Time Via Career Platform Breach
"Oxford University students seeking work will be dismayed to learn that crooks have breached a second external platform provider for the university in as many months. The institution’s CareerConnect platform, provided by Group GTI, was the target of the intrusion, which exposed users’ full names and email addresses. Those who don’t use single sign-on (SSO) had their encrypted passwords leaked, too. CareerConnect forms part of Oxford University’s career services department, supporting students and alumni to find work opportunities. It is available to students, alumni, research staff, and recruiters."
https://www.theregister.com/security/2026/06/06/oxford-university-data-pwned-again-by-career-platform-breach/5251754

General News

Nightmare Eclipse Incident Shows The Researcher-Vendor Fights May Never Fully Go Away
"Microsoft reopened some wounds and has reignited debate over the past couple weeks about vulnerability disclosure and the sometimes adversarial dynamic it creates between security researchers and vendors. The latest controversy ensued when Microsoft threatened criminal legal action against a security researcher who publicly disclosed a series of zero-day vulnerabilities with proof-of-concept exploits. Microsoft insisted it received no details about the vulnerabilities prior to release, adding that the defects were not responsibly disclosed and put its customers at unnecessary risk."
https://cyberscoop.com/microsoft-coordinated-vulnerability-disclosure-debacle/
C-Suite Impersonation In The Gulf: How Threat Actors Are Targeting UAE & Saudi Executives In 2026
"When a senior executive at a Dubai-based energy conglomerate receives a WhatsApp message that appears to come directly from their CEO — complete with the right profile photo, a familiar tone, and an urgent wire transfer request. This type of CEO fraud, CEO impersonation scam, or executive impersonation attack is becoming one of the most effective forms of financial cybercrime targeting Gulf organizations. According to Cyble’s Middle East & Africa Threat Landscape Report: Q1 2026 report, executive impersonation has emerged as one of the most targeted and financially damaging attack vectors facing organizations in the UAE, Saudi Arabia, and Qatar in 2026."
https://cyble.com/blog/ceo-fraud-executive-impersonation-gulf-firms/
https://cyble.com/resources/research-reports/meta-cyber-threat-landscape-report-q1-2026/
Adaptive, Agentic AI Worms Loom As Next Enterprise Threat
"The hunt is on to find protections against the coming generation of adaptive AI worm malware, to head off a global incident on the scale of other famous worm events, such as NotPetya, Stuxnet, MSBlast, or the SQL Slammer worm. AI adaptive worms will be autonomous agents that rapidly self-propagate by searching for zero-day bugs, known but unpatched software flaws, and unprotected secrets — and they will be able to do this across multiple environments, morphing dynamically as they go."
https://www.darkreading.com/cyber-risk/adaptive-agentic-ai-worms-enterprise-cyber-threat
AI Is Helping Low-Skill Hackers Pull Off Advanced Cyberattacks
"Anthropic has published an analysis of cyber-related misuse of its AI systems, examining 832 accounts that were banned for malicious cyber activity between March 2025 and March 2026. The company mapped the observed behavior to the MITRE ATT&CK framework, which documents tactics and techniques used by attackers. “These 832 cases are just a subset of the total number of accounts banned during this period, but they represent those where we had enough detail to conduct a thorough assessment of the attackers’ techniques,” the company said."
https://www.helpnetsecurity.com/2026/06/05/anthropic-ai-cyber-activity-analysis/
Most Pros Have Seen AI Hallucinations In IT Operations
"Autonomous AI is taking action inside enterprise IT environments. Software is restarting services, isolating risky devices, and applying patches without waiting for a human to approve the step. The capability is spreading at the same time IT professionals are reporting frequent encounters with AI output errors that can carry operational impact. Ivanti’s 2026 AI Maturity Report, drawn from responses by 1,500 IT professionals across six countries, finds that 68% have personally seen AI produce hallucinations with potential operational impact. About 52% of those respondents say their team caught the errors before they caused issues. The remaining 16% report cases where the errors slipped through and reached production environments.

https://www.helpnetsecurity.com/2026/06/05/ai-hallucinations-it-operations-research/

อ้างอิง
Electronic Transactions Development Agency (ETDA)

NCSA_THAICERT

เตือนผู้ใช้ Instagram เปิดใช้ 2FA หลังพบช่องโหว่ใน.png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

ShinyHunters เผยแพร่ข้อมูลที่อ้างว่าขโมยจาก DentaQuest อ.png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

ตรวจพบมัลแวร์บอตเน็ตใหม่ C0XMO มุ่งเป้าช่องโ.png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

CISA เพิ่มช่องโหว่ SolarWinds Serv-U ใน KEV หลังพบการถูกใช้.png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

Claude Opus 4.8 พบช่องโหว่ในระบบความเป็นส่วนตัวของ .png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

พบการโจมตีช่องโหว่ระดับวิกฤตบนปลั๊กอิน Ever.png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนการพบช่องโหว่ระดับร้ายแรงในซอฟต์แวร์ Visual Studio Code (VS Code) และสภาพแวดล้อม GitHub.dev ช่องโหว่นี้เปิดโอกาสให้ผู้ไม่หวังดีขโมยสิทธิ์การเข้าถึง (GitHub OAuth Token) ผ่านการหลอกให้เหยื่อเปิดไฟล์หรือลิงก์อันตราย ส่งผลให้ผู้โจมตีสามารถสวมรอยเข้าถึงพื้นที่จัดเก็บซอร์สโค้ด (Repository) ขององค์กร และอาจนำไปสู่การโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) ภัยคุกคามนี้ส่งผลกระทบโดยตรงต่อนักพัฒนา และองค์กรที่มีการเชื่อมต่อบัญชี GitHub เข้ากับระบบดังกล่าว [(1), (2)]

1.รายละเอียดของภัยคุกคาม
ช่องโหว่นี้เกิดจากข้อบกพร่องในการจัดการสิทธิ์ของบัญชีผู้ใช้งานบน GitHub.dev ซึ่งเป็นสภาพแวดล้อมการเขียนโค้ดบนเว็บเบราว์เซอร์ ผู้โจมตีจะอาศัยเทคนิค Social Engineering เพื่อหลอกให้นักพัฒนาเปิดลิงก์ที่สร้างขึ้นมาเป็นพิเศษ หรือเปิดไฟล์สมุดบันทึกโค้ด (Jupyter Notebook) ที่แฝงคำสั่งอันตราย หากการหลอกลวงสำเร็จ ผู้โจมตีจะสามารถดึงข้อมูลโทเคนยืนยันตัวตน (OAuth Token) ของเหยื่อออกไปได้ โทเคนนี้จะเปิดทางให้ผู้โจมตีได้รับสิทธิ์เทียบเท่าเจ้าของบัญชี สามารถเข้าถึงความลับขององค์กร เปลี่ยนแปลงไฟล์ซอร์สโค้ด (Commit/Pull Request) หรือแทรกแซงระบบส่งมอบซอฟต์แวร์อัตโนมัติ (CI/CD Pipelines) ปัจจุบันมีรายงานการเผยแพร่ชุดโค้ดทดสอบการเจาะระบบ (Proof-of-Concept) สู่สาธารณะแล้ว ทำให้มีโอกาสสูงที่จะเกิดการโจมตีจริง [(3), (4)]

2.ผลิตภัณฑ์และผู้ใช้งานที่อาจได้รับผลกระทบ
2.1 ผู้ใช้งาน GitHub.dev ที่เปิด Repository, ไฟล์ Jupyter Notebook หรือลิงก์จากแหล่งที่ไม่น่าเชื่อถือ
2.2 ผู้ใช้งาน Visual Studio Code ที่เชื่อมต่อบัญชี GitHub
2.3 นักพัฒนาโปรแกรมที่ตรวจสอบโค้ดจากบุคคลภายนอก เช่น Pull Request, Repository สาธารณะ หรือไฟล์ที่ได้รับจากภายนอกองค์กร
2.4 หน่วยงานที่มี Repository ส่วนตัวหรือ Repository สำคัญบน GitHub
2.5 องค์กรที่มีการใช้ GitHub ร่วมกับระบบพัฒนาและส่งมอบซอฟต์แวร์ เช่น CI/CD, GitHub Actions หรือระบบจัดการซอร์สโค้ดภายใน
2.6 บัญชีผู้ใช้งานที่มีสิทธิ์สูง เช่น Maintainer, Admin หรือบัญชีที่สามารถแก้ไข Repository สำคัญขององค์กรได้

3.คำแนะนำในการตรวจสอบและป้องกัน
ThaiCERT ขอแนะนำให้ผู้ใช้งาน หน่วยงาน และองค์กรที่มีการใช้งาน Visual Studio Code, GitHub.dev และ GitHub ดำเนินการดังนี้
3.1 หลีกเลี่ยงการเปิดลิงก์ GitHub.dev, ไฟล์ Jupyter Notebook หรือ Repository จากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะไฟล์ที่ได้รับจากบุคคลภายนอกหรือแหล่งสาธารณะ
3.2 ตรวจสอบและทบทวนสิทธิ์ของ GitHub OAuth App, GitHub App และ Personal Access Token ที่เชื่อมต่อกับบัญชีผู้ใช้งาน
3.3 ยกเลิก Token หรือแอปพลิเคชันที่ไม่ทราบที่มา ไม่ได้ใช้งานแล้ว หรือมีสิทธิ์เกินความจำเป็น
3.4 ตรวจสอบสิทธิ์การเข้าถึง Repository โดยเฉพาะบัญชีที่มีสิทธิ์อ่านหรือเขียน Repository ส่วนตัวขององค์กร
3.5 จำกัดสิทธิ์ของผู้ใช้งานตามหลัก Least Privilege โดยให้เข้าถึงเฉพาะ Repository และระบบงานที่จำเป็นเท่านั้น
3.6 เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับบัญชี GitHub ทุกบัญชี โดยเฉพาะบัญชีที่มีสิทธิ์สูง
3.9 พิจารณาใช้นโยบายจำกัดการใช้งาน OAuth App และ GitHub App ในระดับองค์กร เพื่อป้องกันการเชื่อมต่อแอปพลิเคชันที่ไม่ได้รับอนุญาต
3.10 แนะนำให้นักพัฒนาเปิดตรวจสอบโค้ดจากภายนอกในสภาพแวดล้อมแยกต่างหาก เพื่อลดผลกระทบหากไฟล์หรือโค้ดดังกล่าวมีคำสั่งอันตรายแฝงอยู่

4.มาตรการลดความเสี่ยงเร่งด่วน
4.1 ผู้ใช้งานควรออกจากระบบ GitHub.dev และล้าง Cookies หรือ Site Data ของ github.dev ในเว็บเบราว์เซอร์ เพื่อให้ระบบแสดงหน้าต่างยืนยันสิทธิ์ใหม่ก่อนใช้งาน
4.2 หากเคยเปิดลิงก์หรือไฟล์ที่ไม่น่าเชื่อถือผ่าน GitHub.dev ควรตรวจสอบกิจกรรมของบัญชี GitHub โดยทันที
4.3 ผู้ดูแลระบบควรตรวจสอบ Audit Log ของ GitHub Organization เพื่อค้นหากิจกรรมผิดปกติ เช่น การเข้าถึง Repository ที่ไม่สัมพันธ์กับการใช้งานปกติ การสร้าง Token การติดตั้งแอปพลิเคชัน หรือการเปลี่ยนแปลงสิทธิ์
4.4 ตรวจสอบ Repository สำคัญว่ามีการแก้ไขไฟล์ Workflow, Script, Dependency หรือไฟล์กำหนดค่าที่เกี่ยวข้องกับระบบ CI/CD โดยไม่ได้รับอนุญาตหรือไม่
4.5 หากพบพฤติกรรมที่น่าสงสัย ควรยกเลิก Token ที่เกี่ยวข้อง เปลี่ยนรหัสผ่าน ตรวจสอบแอปพลิเคชันที่เชื่อมต่อ และบังคับให้ผู้ใช้งานเข้าสู่ระบบใหม่
4.6 องค์กรควรกำหนดแนวทางให้ผู้ใช้งานหลีกเลี่ยงการเปิดไฟล์ Notebook หรือลิงก์ GitHub.dev จากภายนอก จนกว่าจะตรวจสอบแหล่งที่มาและความน่าเชื่อถือแล้ว
4.7 เพิ่มการเฝ้าระวังเหตุการณ์ผิดปกติที่เกี่ยวข้องกับ GitHub API, GitHub Actions, Repository Permission และการเชื่อมต่อจากตำแหน่งหรืออุปกรณ์ที่ไม่คุ้นเคย

5.แนวทางรับมือเมื่อพบความผิดปกติ
หากหน่วยงานตรวจพบพฤติกรรมผิดปกติที่เกี่ยวข้องกับบัญชี GitHub, GitHub.dev หรือ Repository ขององค์กร เช่น มีการเข้าถึง Repository จากปลายทางที่ไม่คุ้นเคยหรือมีการติดตั้งแอปพลิเคชันที่ไม่ทราบที่มา มี Commit หรือ Pull Request ที่ไม่ได้เกิดจากผู้ใช้งานจริง หรือพบสัญญาณว่า Token อาจถูกนำไปใช้โดยไม่ได้รับอนุญาต ควรดำเนินการดังนี้
5.1 ระงับหรือจำกัดสิทธิ์บัญชีผู้ใช้งานที่เกี่ยวข้องชั่วคราวตามความเหมาะสม
5.2 ยกเลิก GitHub OAuth Token, Personal Access Token และ Session ที่อาจเกี่ยวข้องกับเหตุการณ์
5.3 เปลี่ยนรหัสผ่านบัญชีผู้ใช้งาน และตรวจสอบการเปิดใช้งาน MFA
5.4 ตรวจสอบ OAuth App, GitHub App และส่วนขยายที่เชื่อมต่อกับบัญชีหรือ Organization
5.5 ตรวจสอบ Audit Log, Security Log, GitHub API Log และประวัติการเข้าถึง Repository
5.6 ตรวจสอบ Repository สำคัญว่ามีการเปลี่ยนแปลงไฟล์ โค้ด Workflow หรือค่าการตั้งค่าโดยไม่ได้รับอนุญาตหรือไม่
5.7 ตรวจสอบ Secrets ที่เกี่ยวข้องกับ Repository, GitHub Actions และระบบ CI/CD หากสงสัยว่ามีการรั่วไหลควรดำเนินการ Rotate Secrets โดยทันที
5.8 ตรวจสอบระบบอื่นที่เชื่อมต่อกับ GitHub เช่น ระบบ Build, Deployment, Container Registry, Cloud Platform หรือระบบจัดเก็บ Artifact
5.9 เก็บรักษาหลักฐานที่เกี่ยวข้อง เช่น Audit Log, Commit History, Pull Request, Token Activity และข้อมูลการเชื่อมต่อ เพื่อใช้ในการสืบสวนเหตุการณ์
GitHub.dev.png

แหล่งอ้างอิง

[1] https://dg.th/6t2hj1uk7f

[2] https://dg.th/l6pfw0hvob

[3] https://dg.th/xphdeb6ylv

[4] https://dg.th/srkn7wt2hg

ด้วยความปรารถนาดี สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) / ThaiCERT

#ข่าวไซเบอร์ #CyberSecurity #ThaiCERT #GitHub #VSCode #GitHubDev #OAuthToken #SupplyChainAttack #DeveloperSecurity #AppSec #CICD #GitHubSecurity

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนผู้ใช้งาน หน่วยงาน และองค์กรที่มีการใช้งาน Cisco Unified Communications Manager (Unified CM) และ Cisco Unified Communications Manager Session Management Edition (Unified CM SME) ให้เร่งตรวจสอบเวอร์ชันซอฟต์แวร์และสถานะการเปิดใช้งานบริการที่เกี่ยวข้อง

ทั้งนี้ ช่องโหว่นี้มีผลกระทบเฉพาะระบบที่เปิดใช้งานบริการ WebDialer โดยบริการดังกล่าวถูกปิดใช้งานเป็นค่าเริ่มต้น อย่างไรก็ตาม หากหน่วยงานมีการเปิดใช้งานบริการดังกล่าวอยู่ ควรเร่งตรวจสอบและดำเนินการอัปเดตตามคำแนะนำของผู้ผลิตโดยเร็ว เนื่องจากมีรายงานว่ามีโค้ดตัวอย่างสำหรับใช้ทดสอบการโจมตีเผยแพร่ต่อสาธารณะแล้ว แม้ในขณะนี้ยังไม่มีรายงานยืนยันว่าช่องโหว่นี้ถูกนำไปใช้โจมตีจริงในวงกว้าง [1]

1.รายละเอียดช่องโหว่ที่สำคัญ
Cisco Unified Communications Manager เป็นระบบที่ใช้สำหรับบริหารจัดการระบบโทรศัพท์ไอพี การกำหนดเส้นทางการโทร การจัดการอุปกรณ์สื่อสาร และบริการด้านการสื่อสารภายในองค์กร หากระบบดังกล่าวถูกโจมตีสำเร็จ อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสื่อสารภายในองค์กร รวมถึงอาจถูกใช้เป็นจุดเริ่มต้นในการขยายผลไปยังระบบอื่นที่เชื่อมต่ออยู่ในเครือข่าย โดยรายละเอียดช่องโหว่มีดังนี้

CVE-2026-20230 (CVSS v3.1 เท่ากับ 8.6): เป็นช่องโหว่ประเภท Server-Side Request Forgery (SSRF) ใน Cisco Unified CM และ Cisco Unified CM SME เกิดจากการตรวจสอบข้อมูลใน HTTP request บางประเภทไม่เหมาะสม ทำให้ผู้ไม่หวังดีที่ไม่ต้องยืนยันตัวตนสามารถส่งคำขอที่ถูกสร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ที่ได้รับผลกระทบได้ หากโจมตีสำเร็จ ผู้ไม่หวังดีอาจทำให้อุปกรณ์ส่งคำขอไปยังตำแหน่งที่ไม่พึงประสงค์ หรือเขียนไฟล์ลงในระบบปฏิบัติการของอุปกรณ์ ซึ่งอาจถูกนำไปใช้ต่อในการยกระดับสิทธิ์เป็น root ได้ [2]

2.ผลกระทบที่อาจเกิดขึ้น
หากหน่วยงานมีการใช้งาน Cisco Unified CM หรือ Cisco Unified CM SME ที่ได้รับผลกระทบ และเปิดใช้งานบริการ WebDialer อาจเกิดผลกระทบดังนี้
2.1 ผู้ไม่หวังดีอาจโจมตีระบบได้ โดยไม่ต้องมีบัญชีผู้ใช้งาน
2.2 อาจทำให้ระบบส่งคำขอไปยังปลายทางภายในหรือปลายทางที่ไม่พึงประสงค์ผ่านช่องโหว่ SSRF
2.3 อาจมีการเขียนไฟล์ลงในระบบปฏิบัติการของอุปกรณ์โดยไม่ได้รับอนุญาต
2.4 อาจถูกนำไปใช้ต่อเพื่อยกระดับสิทธิ์เป็น root
2.5 อาจกระทบต่อระบบโทรศัพท์ไอพี ระบบสื่อสารภายใน และบริการที่พึ่งพา Cisco Unified CM
2.6 อาจถูกใช้เป็นจุดเริ่มต้นในการโจมตีระบบอื่นภายในเครือข่าย
2.7 อาจเพิ่มความเสี่ยงต่อระบบสำคัญขององค์กร หากระบบสื่อสารดังกล่าวเชื่อมต่อกับเครือข่ายภายในหรือระบบบริหารจัดการอื่น
2.8 การมีโค้ดตัวอย่างเผยแพร่สู่สาธารณะอาจเพิ่มโอกาสที่ผู้ไม่หวังดีจะนำช่องโหว่นี้ไปใช้ทดสอบหรือโจมตีระบบที่ยังไม่ได้อัปเดต

3.ผลิตภัณฑ์ที่ได้รับผลกระทบ
3.1 Cisco Unified Communications Manager Release 14 เวอร์ชันก่อนหน้า 14SU6
3.2 Cisco Unified Communications Manager Release 15 เวอร์ชันก่อนหน้า 15SU5 หรือเวอร์ชันที่ยังไม่ได้ติดตั้ง COP patch ที่เกี่ยวข้อง
3.3 Cisco Unified Communications Manager Session Management Edition Release 14 เวอร์ชันก่อนหน้า 14SU6
3.4 Cisco Unified Communications Manager Session Management Edition Release 15 เวอร์ชันก่อนหน้า 15SU5 หรือเวอร์ชันที่ยังไม่ได้ติดตั้ง COP patch ที่เกี่ยวข้อง

4.คำแนะนำในการตรวจสอบและป้องกัน [3][4]
ThaiCERT ขอแนะนำให้ผู้ใช้งาน หน่วยงาน และองค์กรที่มีการใช้งาน Cisco Unified CM หรือ Cisco Unified CM SME ดำเนินการดังนี้
4.1 ตรวจสอบเวอร์ชันซอฟต์แวร์ของระบบ หากเป็นเวอร์ชันที่ได้รับผลกระทบ ควรวางแผนอัปเดตเป็นเวอร์ชันที่ Cisco แนะนำโดยเร็ว
4.2 สำหรับ Cisco Unified CM และ Unified CM SME Release 14 ควรอัปเดตเป็นเวอร์ชัน 14SU6 หรือใหม่กว่า
4.3 สำหรับ Cisco Unified CM และ Unified CM SME Release 15 ควรอัปเดตเป็นเวอร์ชัน 15SU5 เมื่อพร้อมใช้งาน หรือดำเนินการติดตั้ง COP patch ตามคำแนะนำของ Cisco
4.4 ตรวจสอบว่าสภาพแวดล้อมของหน่วยงานมีการเปิดใช้งาน WebDialer service หรือไม่ หากไม่มีความจำเป็นในการใช้งาน ควรพิจารณาปิดใช้งานบริการดังกล่าวเพื่อลดความเสี่ยง
4.5 จำกัดการเข้าถึงหน้าเว็บบริหารจัดการ Cisco Unified CM ให้เข้าถึงได้เฉพาะผู้ดูแลระบบหรือเครือข่ายที่ได้รับอนุญาตเท่านั้น
4.6 ตรวจสอบ firewall, proxy, DNS, SIEM และระบบเฝ้าระวังอื่น ๆ เพื่อค้นหาการเชื่อมต่อหรือ HTTP request ที่ผิดปกติไปยังระบบ Cisco Unified CM
4.7 ตรวจสอบ log ของระบบ Cisco Unified CM โดยเฉพาะช่วงเวลาที่มีการเข้าถึงบริการ WebDialer หรือมีพฤติกรรมการใช้งานที่ผิดปกติ
4.8 หากยังไม่สามารถอัปเดตแพตช์ได้ทันที ควรใช้มาตรการลดความเสี่ยงชั่วคราว เช่น จำกัดการเข้าถึงระบบ ปิดบริการที่ไม่จำเป็น และเพิ่มการเฝ้าระวัง log ที่เกี่ยวข้อง
โดยท่านสามารถติดตามวิธีการแก้ไขจาก Cisco โดยตรงได้ที่ https://dg.th/zmu4g126wq

5.แนวทางรับมือเมื่อพบความผิดปกติ
หากหน่วยงานตรวจพบพฤติกรรมผิดปกติที่เกี่ยวข้องกับ Cisco Unified CM หรือ Cisco Unified CM SME เช่น มีการเข้าถึงบริการ WebDialer จากปลายทางที่ไม่คุ้นเคย มี HTTP request ที่ผิดปกติ มีการเปลี่ยนแปลงไฟล์หรือค่าการตั้งค่าโดยไม่ทราบสาเหตุ หรือพบสัญญาณว่าอาจมีการยกระดับสิทธิ์ ควรดำเนินการดังนี้
5.1 แยกระบบที่เกี่ยวข้องออกจากเครือข่ายหรือจำกัดการเชื่อมต่อชั่วคราวตามความเหมาะสม
5.2 เก็บรักษา log และข้อมูลหลักฐานที่เกี่ยวข้อง เช่น access log, system log, network log และข้อมูลการเปลี่ยนแปลงไฟล์
5.3 ตรวจสอบสถานะของ WebDialer service และบริการอื่นที่เกี่ยวข้อง
5.4 ตรวจสอบบัญชีผู้ดูแลระบบและบัญชีที่มีสิทธิ์สูงว่ามีการใช้งานผิดปกติหรือไม่
5.5 ตรวจสอบว่ามีไฟล์ใหม่ ไฟล์ที่ถูกแก้ไข หรือการเปลี่ยนแปลงค่าระบบที่ไม่สอดคล้องกับการดูแลระบบตามปกติหรือไม่
5.6 ตรวจสอบระบบอื่นในเครือข่ายที่อาจได้รับผลกระทบจากการเชื่อมต่อผ่าน Cisco Unified CM
5.7 ดำเนินการอัปเดตแพตช์หรือใช้มาตรการลดความเสี่ยงตามคำแนะนำของ Cisco
5.8 หากพบหลักฐานการบุกรุกหรือมีความเสี่ยงต่อระบบสำคัญ ควรดำเนินการสืบสวนเหตุการณ์ตามกระบวนการ Incident Response ของหน่วยงาน

ThaiCERT ขอให้หน่วยงานที่มีการใช้งาน Cisco Unified CM และ Cisco Unified CM SME เร่งตรวจสอบทรัพย์สินสารสนเทศของหน่วยงาน ตรวจสอบสถานะการเปิดใช้งาน WebDialer service และดำเนินการอัปเดตซอฟต์แวร์หรือใช้มาตรการลดความเสี่ยงตามคำแนะนำของผู้ผลิตโดยเร็ว โดยเฉพาะหน่วยงานที่ใช้งานระบบดังกล่าวเป็นระบบสื่อสารหลักขององค์กร หรือเชื่อมต่อกับระบบสำคัญภายในเครือข่าย

Server-Side Request Forgery (SSRF).png

แหล่งอ้างอิง
[1] https://dg.th/7cwxtfa1i8
[2] https://dg.th/0xagp572uz
[3] https://dg.th/zevdchs39x
[4] https://dg.th/zmu4g126wq

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบการแจ้งเตือนเกี่ยวช่องโหว่ระดับความรุนแรงสูงในระบบ Oracle WebLogic Server ซึ่งแม้ทางบริษัทผู้พัฒนาจะได้ออก Patch เพื่อแก้ไขช่องโหว่มาตั้งแต่เดือนกรกฎาคม 2567 แล้วก็ตาม แต่ยังพบว่ามีระบบจำนวนมากที่ไม่ได้อัปเดต และยังถูกเปิดให้เข้าถึงได้ผ่านอินเทอร์เน็ต โดยล่าสุด สำนักงานความมั่นคงปลอดภัยไซเบอร์สหรัฐฯ (CISA) ได้ยืนยันว่าช่องโหว่นี้ถูกนำไปใช้โจมตีจริงแล้ว และได้เพิ่มลงในฐานข้อมูลภัยคุกคามระดับประเทศ (KEV) แล้ว [1]

รายละเอียดช่องโหว่
ช่องโหว่ CVE-2024-21182 (ระดับความรุนแรง CVSS 3.1: 7.5) [2] เป็นช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ Oracle WebLogic Server ภายใต้ระบบโครงสร้างพื้นฐานแอปพลิเคชัน (Oracle Fusion Middleware) การโจมตีผ่านช่องโหว่นี้ สามารถกระทำได้ง่ายผ่านเครือข่าย โดยผู้ไม่หวังดีจะอาศัยช่องทางการสื่อสารผ่านโปรโตคอล T3 และ IIOP (Internet Inter-ORB Protocol) เพื่อทำการเจาะระบบและเข้าควบคุม (Compromise) เซิร์ฟเวอร์ได้ทันทีโดยไม่ต้องใช้สิทธิ์ใด ๆ และไม่ต้องอาศัยการตอบสนองจากผู้ใช้งาน (Zero-click)

หากการโจมตีสำเร็จ ผู้เจาะระบบจะสามารถลักลอบเข้าถึงข้อมูลสำคัญทั้งหมดที่ Oracle WebLogic Server ดังกล่าวมีสิทธิ์ในการจัดการ [3]

ลักษณะการโจมตี
CISA ได้ประกาศเพิ่มช่องโหว่นี้ลงในฐานข้อมูล KEV (Known Exploited Vulnerabilities Catalog) เมื่อวันที่ 1 มิถุนายน 2569 พร้อมมีคำสั่งให้หน่วยงานของรัฐบาลกลางดำเนินการแก้ไขด่วนภายในวันที่ 4 มิถุนายน 2569 ตามข้อกำหนด Binding Operational Directive (BOD) 22-01

ช่องโหว่นี้สามารถถูกโจมตีผ่านเครือข่าย โดยเฉพาะระบบ Oracle WebLogic Server ที่เปิดให้เข้าถึงบริการผ่านโปรโตคอล T3 หรือ IIOP จากเครือข่ายภายนอก ปัจจุบันยังไม่มีการเปิดเผยรายละเอียดรูปแบบการโจมตี หรือข้อมูลตัวบ่งชี้การโจมตี (Indicators of Compromise: IoCs) สู่สาธารณะ [4]

ผลกระทบ
3.1 ผู้โจมตีที่ไม่ได้ยืนยันตัวตนอาจใช้ช่องโหว่ผ่านเครือข่ายเพื่อ compromise Oracle WebLogic Server
3.2 ผู้โจมตีอาจเข้าถึงข้อมูลสำคัญที่อยู่ภายใต้การเข้าถึงของ Oracle WebLogic Server
3.3 อาจเกิดการรั่วไหลของข้อมูลสำคัญของหน่วยงานหรือข้อมูลที่เกี่ยวข้องกับระบบแอปพลิเคชันภายใน
3.4 ระบบ WebLogic Server ที่เปิดบริการ T3 หรือ IIOP ออกสู่อินเทอร์เน็ต หรืออยู่ในเครือข่ายที่ควบคุมการเข้าถึงไม่รัดกุม มีความเสี่ยงสูงขึ้น
ผลิตภัณฑ์ที่ได้รับผลกระทบ
4.1 Oracle WebLogic Server 12.2.1.4.0
4.2 Oracle WebLogic Server 14.1.1.0.0
4.3 ระบบ Oracle Fusion Middleware ที่ใช้งาน Oracle WebLogic Server เวอร์ชันที่ได้รับผลกระทบ และยังไม่ได้ติดตั้งแพตช์ความปลอดภัยที่เกี่ยวข้อง
แนวทางการแก้ไขและป้องกัน
5.1 ติดตั้งแพตช์ความปลอดภัยจาก Oracle โดยเร็ว โดยอย่างน้อยต้องติดตั้ง Oracle Critical Patch Update ประจำเดือนกรกฎาคม 2567 หรือแพตช์รุ่นใหม่กว่าที่ครอบคลุมการแก้ไข CVE-2024-21182
5.2 ตรวจสอบระบบ Oracle WebLogic Server ภายในหน่วยงานว่ามีการใช้งานเวอร์ชัน 12.2.1.4.0 หรือ 14.1.1.0.0 หรือไม่ และจัดลำดับความสำคัญในการอัปเดตระบบที่เปิดให้เข้าถึงจากภายนอกก่อน
5.3 จำกัดการเข้าถึงโปรโตคอล T3 และ IIOP ให้เฉพาะระบบหรือเครือข่ายที่จำเป็นและเชื่อถือได้เท่านั้น
5.4 หลีกเลี่ยงการเปิด Oracle WebLogic Server หรือพอร์ตบริการที่เกี่ยวข้องกับ WebLogic ให้เข้าถึงจากอินเทอร์เน็ตโดยตรง หากไม่มีความจำเป็น
5.5 ใช้มาตรการควบคุมการเข้าถึงผ่าน firewall, network segmentation, VPN, allowlist และ access control เพื่อลดความเสี่ยงจากการโจมตีผ่านเครือข่าย
5.6 ตรวจสอบ log ของ Oracle WebLogic Server และอุปกรณ์เครือข่ายที่เกี่ยวข้อง เพื่อค้นหาการเชื่อมต่อที่ผิดปกติผ่าน T3/IIOP หรือความพยายามเข้าถึงจากแหล่งที่ไม่น่าเชื่อถือ
5.7 หากไม่สามารถติดตั้งแพตช์หรือดำเนินการลดความเสี่ยงตามคำแนะนำของผู้ผลิตได้ ควรพิจารณาปิดใช้งานระบบหรือแยกระบบออกจากเครือข่ายที่มีความเสี่ยงจนกว่าจะดำเนินการแก้ไขแล้วเสร็จ

Oracle WebLogic Server.png

แหล่งอ้างอิง

[1] https://dg.th/rsqmyd5hjo

[2] https://dg.th/rm30wvxu4l

[3] https://dg.th/76w2kbdqsp

[4] https://dg.th/fjrdq9p2wo

ด้วยความปรารถนาดี สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) / ThaiCERT

#ThaiCERT #CyberSecurity #Alert #NCSA #แจ้งเตือนภัยไซเบอร์ #OracleWebLogic #CVE202421182 #ช่องโหว่ความปลอดภัย #Patchด่วน #ภัยคุกคามไซเบอร์ #DataSecurity #WebLogicServer
#ความมั่นคงปลอดภัยไซเบอร์

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนผู้ใช้งาน หน่วยงาน และองค์กรที่มีการใช้งานอุปกรณ์ Acer Connect M6E 5G Portable WiFi Router ให้ตรวจสอบเวอร์ชันเฟิร์มแวร์และติดตามการอัปเดตจากผู้ผลิต เนื่องจากมีรายงานพบช่องโหว่หลายรายการในอุปกรณ์ดังกล่าว ซึ่งเกี่ยวข้องกับการควบคุมการเข้าถึง การตรวจสอบสิทธิ์ การตรวจสอบข้อมูลนำเข้า การป้องกันข้อมูลลับ และกลไกด้านความมั่นคงปลอดภัยของเฟิร์มแวร์ โดยช่องโหว่สำคัญที่ควรเร่งตรวจสอบ ได้แก่ CVE-2026-49185 และ CVE-2026-49186 ซึ่งอาจทำให้ผู้ไม่หวังดีสั่งรันคำสั่งบนอุปกรณ์ แก้ไขค่าการทำงานของระบบ เข้าถึงข้อมูลภายใน หรือใช้เป็นจุดเริ่มต้นในการโจมตีระบบเครือข่ายที่เชื่อมต่ออยู่ได้ [1]

1.รายละเอียดช่องโหว่ที่สำคัญ
1.1 CVE-2026-49185 (CVSS v3.1 เท่ากับ 9.8 ช่องโหว่นี้ถูกจัดอยู่ในประเภท Command Injection หรือการสั่งรันคำสั่งโดยไม่ได้รับอนุญาต หากถูกโจมตีสำเร็จ ผู้ไม่หวังดีอาจสามารถควบคุมอุปกรณ์ เปลี่ยนแปลงการตั้งค่า ติดตั้งเครื่องมือเพิ่มเติม ทำให้อุปกรณ์ทำงานผิดปกติ หรือใช้เป็นจุดเชื่อมต่อเพื่อขยายผลไปยังระบบอื่นในเครือข่ายได้ [2]
1.2 CVE-2026-49186 (CVSS v3.1 เท่ากับ 9.8 Lack of MQTT Broker Topic Access Control Lists ช่องโหว่นี้เกิดจาก MQTT Broker ภายในอุปกรณ์ไม่มีการบังคับใช้รายการควบคุมสิทธิ์ในระดับหัวข้อการสื่อสารอย่างเหมาะสม ทำให้ไคลเอนต์ที่สามารถเข้าถึงบริการดังกล่าวอาจสมัครรับข้อมูลด้วย wildcard เช่น # หรือ + เพื่อสำรวจข้อมูลระบบที่ไม่ควรเข้าถึง หรือส่งคำสั่งปลอมเพื่อควบคุมอุปกรณ์ได้ [3]

2.ผลกระทบที่อาจเกิดขึ้น
หากหน่วยงานมีการใช้งานอุปกรณ์ Acer Connect M6E 5G Portable WiFi Router ที่ได้รับผลกระทบ และยังไม่ได้ดำเนินการควบคุมความเสี่ยง อาจเกิดผลกระทบดังนี้
2.1 ผู้ไม่หวังดีอาจสามารถสั่งรันคำสั่งบนอุปกรณ์ได้โดยไม่ได้รับอนุญาต
2.2 อาจมีการเปลี่ยนแปลงค่าการตั้งค่าเครือข่ายหรือค่าการทำงานของอุปกรณ์
2.3 อาจมีการเข้าถึงข้อมูลของอุปกรณ์หรือข้อมูลที่เกี่ยวข้องกับเครือข่าย
2.4 อุปกรณ์อาจถูกใช้เป็นจุดเริ่มต้นในการโจมตีระบบอื่นภายในเครือข่าย
2.5 อาจเกิดการหยุดชะงักของบริการ การเชื่อมต่ออินเทอร์เน็ต หรือบริการเครือข่ายที่พึ่งพาอุปกรณ์ดังกล่าว
2.6 อาจมีการนำอุปกรณ์ไปใช้เป็นช่องทางสื่อสาร ควบคุม หรือสนับสนุนการโจมตีในระยะถัดไป
2.7 ในกรณีที่อุปกรณ์เชื่อมต่อกับระบบสำคัญ อาจเพิ่มความเสี่ยงต่อระบบงานภายใน ระบบให้บริการประชาชน หรือระบบที่มีข้อมูลสำคัญของหน่วยงาน
นอกจาก CVE-2026-49185 และ CVE-2026-49186 แล้ว รายงานจากผู้ผลิตยังระบุช่องโหว่อื่นที่เกี่ยวข้องกับการใช้ข้อมูลลับแบบฝังในระบบ การกำหนดสิทธิ์ไม่เหมาะสม การเปิดเผยข้อมูลผ่านระบบจัดเก็บข้อมูล การข้ามการยืนยันตัวตน การจัดการ eSIM โดยไม่มีการตรวจสอบสิทธิ์ การตรวจสอบใบรับรอง TLS ไม่เหมาะสม และการคงอยู่ของส่วนทดสอบหรือส่วนวินิจฉัยในเฟิร์มแวร์ ซึ่งสะท้อนว่าความเสี่ยงไม่ได้จำกัดอยู่เพียงช่องโหว่รายการใดรายการหนึ่ง แต่เป็นความเสี่ยงโดยรวมของอุปกรณ์และเฟิร์มแวร์ที่ใช้งานอยู่

3 ผลิตภัณฑ์ที่ได้รับผลกระทบ

ผลิตภัณฑ์ Acer Connect M6E 5G Portable WiFi Router ที่มีเฟิร์มแวร์เวอร์ชัน M6E_AI_1.00.000019 หรือก่อนหน้า

4.คำแนะนำในการตรวจสอบและป้องกัน
ThaiCERT ขอแนะนำให้ผู้ใช้งาน หน่วยงาน และองค์กรที่มีการใช้งานอุปกรณ์ Acer Connect M6E 5G Portable WiFi Router ดำเนินการดังนี้
4.1 จัดทำรายการอุปกรณ์เครือข่ายที่ใช้งานจริงในหน่วยงาน พร้อมระบุรุ่น เวอร์ชันเฟิร์มแวร์ ผู้รับผิดชอบ และสถานะการอัปเดต เพื่อให้สามารถติดตามความเสี่ยงและดำเนินการแก้ไขได้อย่างรวดเร็ว
4.2 ตรวจสอบเวอร์ชันเฟิร์มแวร์ของอุปกรณ์ หากเป็นเวอร์ชัน M6E_AI_1.00.000019 หรือก่อนหน้า ให้ถือว่าอยู่ในกลุ่มที่ได้รับผลกระทบ
4.3 จำกัดการเข้าถึงหน้าเว็บบริหารจัดการอุปกรณ์ ให้เข้าถึงได้เฉพาะผู้ดูแลระบบหรือเครือข่ายที่จำเป็นเท่านั้น
4.4 ตรวจสอบ log ของ firewall, proxy, DNS, endpoint, SIEM หรือระบบเฝ้าระวังอื่น ๆ เพื่อค้นหาพฤติกรรมผิดปกติ เช่น การเชื่อมต่อไปยังปลายทางที่ไม่คุ้นเคย การเปลี่ยนแปลงค่าการตั้งค่า หรือการใช้งานระบบบริหารจัดการนอกเวลาทำการ
4.5 หลีกเลี่ยงการนำอุปกรณ์ที่ยังไม่ได้อัปเดตเฟิร์มแวร์ไปใช้งานร่วมกับระบบสำคัญหรือเครือข่ายที่มีข้อมูลอ่อนไหว

5.แนวทางรับมือเมื่อพบความผิดปกติ
หากหน่วยงานตรวจพบว่าอุปกรณ์ Acer Connect M6E 5G Portable WiFi Router มีพฤติกรรมผิดปกติ เช่น มีการเปลี่ยนแปลงค่าการตั้งค่าโดยไม่ทราบสาเหตุ มีการเชื่อมต่อไปยังปลายทางภายนอกที่ไม่รู้จัก มีการรีสตาร์ทหรือทำงานผิดปกติ หรือพบสัญญาณว่าอาจมีการเข้าถึงระบบบริหารจัดการโดยไม่ได้รับอนุญาต ควรดำเนินการดังนี้
5.1 แยกอุปกรณ์ออกจากเครือข่ายชั่วคราวเพื่อลดความเสี่ยง
5.2 บันทึกข้อมูลสถานะของอุปกรณ์ เช่น เวอร์ชันเฟิร์มแวร์ การตั้งค่าเครือข่าย log และเวลาที่พบเหตุการณ์
5.3 เปลี่ยนรหัสผ่านบัญชีผู้ดูแลระบบและบัญชีที่เกี่ยวข้อง
5.4 ดำเนินการอัปเดตเฟิร์มแวร์เมื่อมีแพตช์จากผู้ผลิต และตรวจสอบการตั้งค่าหลังอัปเดต
5.5 หากพบหลักฐานการบุกรุกหรือมีความเสี่ยงต่อระบบสำคัญ ควรดำเนินการสืบสวนเหตุการณ์ตามกระบวนการ Incident Response ของหน่วยงาน

ThaiCERT ขอให้หน่วยงานที่มีการใช้งานอุปกรณ์รุ่นดังกล่าวเร่งตรวจสอบทรัพย์สินสารสนเทศของหน่วยงาน ประเมินความเสี่ยงตามบริบทการใช้งานจริง และดำเนินมาตรการลดความเสี่ยงชั่วคราวระหว่างรอเฟิร์มแวร์แก้ไขจากผู้ผลิต โดยเฉพาะกรณีที่อุปกรณ์ถูกใช้งานร่วมกับระบบสำคัญ ระบบเครือข่ายภายใน หรือระบบที่เกี่ยวข้องกับการให้บริการประชาชน

ช่องโหว่นี้อาจทำให้ผู้โจมตีสั่งรันคำสั่.png

แหล่งอ้างอิง

[1] https://dg.th/ujcr8n7zs2

[2] https://dg.th/z4lprakwg1

[3] https://dg.th/yekxl9z8sb

ด้วยความปรารถนาดี สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) / ThaiCERT

#ThaiCERT #CyberSecurity #Alert #NCSA #แจ้งเตือนภัยไซเบอร์ #ช่องโหว่ร้ายแรง #AcerConnectM6E #CVE202649185 #CVE202649186 #WiFiRouter #อัปเดตเฟิร์มแวร์
#ความมั่นคงปลอดภัยไซเบอร์

NCSA_THAICERT

เตือนผู้ดูแล WordPress อัปเดตปลั๊กอิน Kirki และ Burst Statist.png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

พบแคมเปญจารกรรมไซเบอร์ มุ่งเป้าบัญชี Outlook ข.png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

พบกลุ่มผู้ไม่หวังดีประยุกต์ใช้ AI พัฒนาระบ.png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

เมื่อวันที่ 3 มิถุนายน 2569 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 1 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

CVE-2026-45247 Mirasvit Full Page Cache Warmer Deserialization of Untrusted Data Vulnerability

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/06/03/cisa-adds-one-known-exploited-vulnerability-catalog
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

เมื่อวันที่ 2 มิถุนายน 2569 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 2 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

CVE-2022-0492 Linux Kernel Improper Authentication Vulnerability
CVE-2025-48595 Android Framework Integer Overflow Vulnerability

ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/06/02/cisa-adds-two-known-exploited-vulnerabilities-catalog
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คำแนะนำเกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) จำนวน 7 รายการ เมื่อวันที่ 4 มิถุนายน 2569 เพื่อให้ข้อมูลที่ทันเวลาเกี่ยวกับประเด็นด้านความมั่นคงปลอดภัย ช่องโหว่ และการโจมตีที่เกี่ยวข้องกับระบบ ICS โดยมีรายละเอียดดังนี้

ICSA-26-155-01 NAVTOR NavBox
ICSA-26-155-02 Hitachi Energy ITT600 Explorer
ICSA-26-155-03 B&R PPT30 Operating System
ICSA-26-155-04 Hitachi Energy RTU500
ICSA-26-155-05 Hitachi Energy MACH HiDraw
ICSA-24-184-03 Mitsubishi Electric Iconics Digital Solutions and Mitsubishi Electric Products (Update E)
ICSA-25-238-03 Schneider Electric Modicon M340 Controller and Communication Modules (Update A)

อ้างอิง
https://www.cisa.gov/news-events/ics-advisories