🕵️‍♂️ “Ransomware ยุคใหม่ใช้ AnyDesk และ Splashtop เป็นอาวุธ — แฝงตัวในเครื่ององค์กรแบบถูกกฎหมาย หลบแอนตี้ไวรัสได้เนียนกริบ” ในยุคที่การโจมตีไซเบอร์มีความซับซ้อนมากขึ้น กลุ่มแฮกเกอร์ที่ใช้ Ransomware ได้พัฒนาเทคนิคใหม่โดยอาศัยเครื่องมือที่ “ถูกกฎหมาย” อย่าง Remote Access Tools (RATs) เช่น AnyDesk, UltraViewer, RustDesk, Splashtop และ TightVNC เพื่อแฝงตัวในระบบองค์กรโดยไม่ถูกตรวจจับ รายงานจาก Seqrite Threat Intelligence ระบุว่า RAT เหล่านี้ถูกออกแบบมาเพื่อการดูแลระบบ IT และการสนับสนุนทางไกล ซึ่งมักถูก whitelist โดยองค์กร ทำให้แฮกเกอร์สามารถใช้เป็นช่องทางเข้าถึงระบบได้อย่างแนบเนียน โดยไม่ต้องสร้างมัลแวร์ใหม่ให้เสี่ยงถูกตรวจจับ ขั้นตอนการโจมตีเริ่มจากการขโมยหรือ brute-force รหัสผ่านเพื่อเข้าระบบ จากนั้นแฮกเกอร์จะ hijack โปรแกรม RAT ที่มีอยู่ หรือแอบติดตั้งใหม่แบบ silent install โดยใช้ไฟล์ที่มีลายเซ็นถูกต้อง ทำให้ระบบไม่สงสัย จากนั้นจะใช้เทคนิค registry run keys, scheduled tasks และ PowerRun เพื่อให้ RAT ทำงานด้วยสิทธิ์ SYSTEM เมื่อฝังตัวได้แล้ว แฮกเกอร์จะปิดบริการแอนตี้ไวรัส ลบ log และใช้เครื่องมือ shred file เพื่อทำลายหลักฐาน ก่อนจะปล่อย payload ransomware ที่แฝงมาในรูปแบบ “อัปเดตซอฟต์แวร์” และแพร่กระจายผ่านเครือข่ายโดยใช้ credential reuse หรือ deploy RAT ทั่วองค์กร รายงานยังระบุว่า RAT เหล่านี้ถูกใช้ในหลายแคมเปญ ransomware เช่น LockBit, Phobos, Dharma, MedusaLocker, Mallox, Beast, CERBER, GlobeImposter, Mimic, Dyamond, Makop และ RansomHub โดยการใช้ซอฟต์แวร์ที่มีลายเซ็นถูกต้องทำให้การโจมตีดูเหมือนการดูแลระบบตามปกติ ✅ ข้อมูลสำคัญจากข่าว ➡️ กลุ่ม ransomware ใช้ Remote Access Tools (RATs) ที่ถูกกฎหมายเพื่อแฝงตัวในระบบ ➡️ เครื่องมือที่ถูกใช้ ได้แก่ AnyDesk, UltraViewer, RustDesk, Splashtop, TightVNC ➡️ RAT เหล่านี้มักถูก whitelist โดยองค์กร ทำให้แฮกเกอร์ใช้ได้โดยไม่ถูกตรวจจับ ➡️ ขั้นตอนโจมตีเริ่มจากการขโมยรหัสผ่าน แล้ว hijack หรือ install RAT แบบเงียบ ➡️ ใช้ registry run keys, scheduled tasks และ PowerRun เพื่อให้ RAT ทำงานด้วยสิทธิ์ SYSTEM ➡️ แฮกเกอร์ปิดแอนตี้ไวรัส ลบ log และ shred file เพื่อทำลายหลักฐาน ➡️ ปล่อย ransomware ผ่าน RAT โดยแฝงเป็นอัปเดตซอฟต์แวร์ ➡️ RAT ถูกใช้ในแคมเปญ ransomware หลายกลุ่ม เช่น LockBit, Dharma, MedusaLocker ➡️ การใช้ซอฟต์แวร์ที่มีลายเซ็นถูกต้องช่วยให้การโจมตีดูเหมือนการดูแลระบบปกติ ✅ ข้อมูลเสริมจากภายนอก ➡️ RAT ถูกใช้ในงาน IT อย่างถูกต้อง เช่น remote support และการดูแลเซิร์ฟเวอร์ ➡️ Silent install มักใช้ flag เช่น /S, /VERYSILENT, /quiet เพื่อไม่ให้ผู้ใช้รู้ตัว ➡️ PowerRun เป็นเครื่องมือที่ช่วยให้โปรแกรมทำงานด้วยสิทธิ์ SYSTEM โดยไม่ต้อง UAC ➡️ การ whitelist ซอฟต์แวร์โดยไม่ตรวจสอบพฤติกรรม อาจเปิดช่องให้แฮกเกอร์ใช้ได้ ➡️ การโจมตีแบบนี้เรียกว่า “living off the land” คือใช้เครื่องมือที่มีอยู่ในระบบเพื่อหลบการตรวจจับ https://securityonline.info/ransomware-gangs-weaponize-anydesk-splashtop-and-other-legitimate-rats-to-bypass-security/

📱 “วิวัฒนาการของ iPhone Unlockers — จาก Jailbreak สู่เครื่องมือปลดล็อกแบบปลอดภัยด้วย Dr.Fone” ตั้งแต่ iPhone รุ่นแรกเปิดตัวในปี 2007 ผู้ใช้จำนวนมากต่างพยายามหาวิธี “ปลดล็อก” อุปกรณ์เพื่อให้ใช้งานได้อิสระมากขึ้น ไม่ว่าจะเป็นการติดตั้งแอปนอก App Store หรือเปลี่ยนเครือข่ายโทรศัพท์มือถือ แต่ในยุคแรก การปลดล็อกมักต้องพึ่งพา “Jailbreak” ซึ่งแม้จะให้เสรีภาพ แต่ก็เต็มไปด้วยความเสี่ยง เช่น เครื่องไม่เสถียร แบตหมดเร็ว หรือแม้แต่การโดนมัลแวร์ ต่อมาเกิดการปลดล็อกแบบ SIM Unlock เพื่อให้ผู้ใช้สามารถเปลี่ยนเครือข่ายได้ โดยมีทั้งวิธีขอปลดล็อกจากผู้ให้บริการอย่างถูกต้องตามสัญญา และวิธีใช้ชิปปลอมที่แอบเปลี่ยนการทำงานของ SIM ซึ่งแม้จะสะดวก แต่ก็เสี่ยงต่อการใช้งานไม่เสถียร หรือถูกนำไปใช้ในตลาดมืด Apple เองก็เริ่มเปิดทางให้ผู้ใช้สามารถปลดล็อกได้อย่างถูกต้อง เช่น การใช้ iCloud ลบข้อมูลผ่าน “Find My iPhone”, การ Restore ผ่าน iTunes หรือ Finder และการเข้า Recovery Mode เพื่อรีเซ็ตเครื่อง ซึ่งแม้จะปลอดภัย แต่ก็ต้องใช้ Apple ID เดิม และมักทำให้ข้อมูลหายทั้งหมด เมื่อระบบรักษาความปลอดภัยของ Apple แข็งแกร่งขึ้น ผู้ใช้ที่ลืมรหัสผ่าน หรือซื้อเครื่องมือสองที่ล็อกอยู่ ก็เริ่มหันไปใช้เครื่องมือจากผู้พัฒนาภายนอก เช่น Dr.Fone – Screen Unlock (iOS) ซึ่งออกแบบมาให้ปลดล็อกได้อย่างปลอดภัย ไม่ต้องพึ่งพาแฮกเกอร์ และรองรับการปลดล็อกหลายรูปแบบ เช่น Face ID, Touch ID, รหัสผ่าน, Apple ID, MDM และแม้แต่ SIM Lock Dr.Fone ยังรองรับ iOS ตั้งแต่เวอร์ชัน 7 ถึง 26 รวมถึง iPhone 17 series และสามารถทำงานผ่าน Recovery Mode หรือ DFU Mode โดยมีขั้นตอนที่ชัดเจนและปลอดภัย พร้อมคำแนะนำให้ผู้ใช้สำรองข้อมูลก่อนเริ่มกระบวนการ ✅ ข้อมูลสำคัญจากข่าว ➡️ การปลดล็อก iPhone เริ่มจาก Jailbreak ซึ่งเสี่ยงต่อความไม่เสถียรและมัลแวร์ ➡️ SIM Unlock มีทั้งแบบขอจากผู้ให้บริการและใช้ชิปปลอม ซึ่งมีข้อจำกัด ➡️ Apple มีวิธีปลดล็อกอย่างเป็นทางการ เช่น iCloud, iTunes/Finder และ Recovery Mode ➡️ เครื่องมือจากภายนอก เช่น Dr.Fone – Screen Unlock (iOS) ช่วยปลดล็อกได้หลายรูปแบบ ➡️ Dr.Fone รองรับ iOS 7–26 และ iPhone 17 series ➡️ สามารถปลดล็อก Face ID, Touch ID, รหัสผ่าน, Apple ID, MDM และ SIM Lock ➡️ ใช้ Recovery Mode หรือ DFU Mode เพื่อเริ่มกระบวนการปลดล็อก ➡️ มีคำแนะนำให้สำรองข้อมูลก่อนเริ่มใช้งานเพื่อความปลอดภัย ➡️ การปลดล็อกผ่าน Dr.Fone เป็นวิธีที่ถูกกฎหมายและไม่ต้องพึ่งพาแฮกเกอร์ ✅ ข้อมูลเสริมจากภายนอก ➡️ Jailbreaking คือการปรับแต่งระบบ iOS เพื่อให้เข้าถึงฟีเจอร์ที่ถูกจำกัด ➡️ SIM Unlock ช่วยให้ผู้ใช้เปลี่ยนเครือข่ายได้โดยไม่ต้องซื้อเครื่องใหม่ ➡️ Recovery Mode และ DFU Mode เป็นโหมดพิเศษที่ใช้ในการแก้ไขปัญหา iOS ➡️ Dr.Fone เป็นผลิตภัณฑ์จาก Wondershare ที่มีเครื่องมือจัดการข้อมูล iOS ครบวงจร ➡️ การปลดล็อกที่ถูกต้องตามกฎหมายต้องไม่เกี่ยวข้องกับเครื่องที่ถูกขโมยหรือ IMEI ที่ถูกบล็อก https://securityonline.info/the-evolution-of-iphone-unlockers-from-jailbreaks-to-secure-recovery-tools/

สิ่งที่นักการเมืองกลัวรัฐธรรมนูญ2560 คือความเข้มข้นด้านจริยธรรม บทความโดย : สุรวิชช์ วีรวรรณ คลิก >> https://mgronline.com/daily/detail/9680000094545

🧯 “Disaster Recovery ยุคใหม่: แผนรับมือภัยไซเบอร์และภัยธรรมชาติต้องเปลี่ยน — จากสำรองข้อมูลสู่การฟื้นธุรกิจในไม่กี่นาที” ในอดีต การสำรองข้อมูลและแผนฟื้นฟูระบบ (Disaster Recovery หรือ DR) เป็นเรื่องของฝ่ายไอทีและกฎหมายเท่านั้น แต่ในปี 2025 ทุกองค์กรต้องหันมาจริงจังกับเรื่องนี้ เพราะภัยคุกคามไม่ได้มาแค่จากไวรัสหรือไฟดับ แต่รวมถึง ransomware ที่สร้างโดย AI, ภัยธรรมชาติจากสภาพอากาศที่เปลี่ยนแปลง, และความเสี่ยงจากระบบ cloud และ SaaS ที่กระจายอยู่ทั่วทุกมุมของธุรกิจ บทความจาก CSO Online ได้สรุปแนวทางใหม่ในการวางแผน DR และ Business Continuity (BC) ที่ไม่ใช่แค่การสำรองข้อมูล แต่คือการ “ฟื้นธุรกิจให้กลับมาทำงานได้ภายในไม่กี่นาที” โดยใช้แนวคิด Minimum Viable Business (MVB) และเทคโนโลยีอย่าง AI, backup-as-a-service (BaaS), และ disaster recovery-as-a-service (DRaaS) เพื่อให้การฟื้นตัวเป็นไปอย่างอัตโนมัติและมีประสิทธิภาพ องค์กรต้องเริ่มจากการสร้างทีมข้ามสายงานที่รวมฝ่ายความปลอดภัย, กฎหมาย, การสื่อสาร, และฝ่ายปฏิบัติการ เพื่อวางแผนร่วมกันอย่างต่อเนื่อง ไม่ใช่แค่เขียนแผนแล้วเก็บไว้เฉย ๆ ต้องมีการทดสอบจริง เช่น tabletop exercise แบบ gamified ที่ช่วยให้ทีมเข้าใจสถานการณ์จริง และรู้หน้าที่ของตนเองเมื่อเกิดเหตุ นอกจากนี้ยังต้องปรับกลยุทธ์การสำรองข้อมูลจากแบบ 3-2-1 ไปเป็น 3-2-1-1-0 โดยเพิ่มการสำรองแบบ air-gapped และเป้าหมาย “zero error” เพื่อรับมือกับ ransomware และความผิดพลาดของระบบ โดยใช้ AI ช่วยตรวจสอบความถูกต้องของข้อมูลและแนะนำจุดที่ควรสำรอง สุดท้ายคือการจัดการหลังเกิดเหตุ — ไม่ใช่แค่กู้ข้อมูลกลับมา แต่ต้องวิเคราะห์ว่าเกิดอะไรขึ้น และใช้ข้อมูลสำรองเพื่อวิเคราะห์เชิงลึก เช่น การใช้ backup เพื่อทำ inference หรือวิเคราะห์แนวโน้มธุรกิจในอนาคต ✅ ข้อมูลสำคัญจากข่าว ➡️ DR และ BC กลายเป็นเรื่องสำคัญระดับ C-suite และได้รับงบประมาณเพิ่มขึ้น ➡️ แนวคิด Minimum Viable Business (MVB) คือการฟื้นฟูเฉพาะระบบที่จำเป็นก่อน ➡️ เทคโนโลยีที่ใช้ ได้แก่ AI, BaaS, DRaaS, และระบบ backup อัตโนมัติ ➡️ กลยุทธ์สำรองข้อมูลใหม่คือ 3-2-1-1-0 โดยเพิ่ม air-gapped backup และ zero error ➡️ การทดสอบแผนควรใช้ tabletop exercise แบบ gamified เพื่อให้ทีมเข้าใจจริง ➡️ การจัดการหลังเกิดเหตุต้องมี post-mortem และใช้ backup เพื่อวิเคราะห์ข้อมูล ➡️ Gartner คาดว่า 85% ขององค์กรขนาดใหญ่จะใช้ BaaS ภายในปี 2029 ➡️ AI จะถูกใช้ในการจัดการ backup และ restore อย่างอัตโนมัติมากขึ้น ✅ ข้อมูลเสริมจากภายนอก ➡️ MVB คล้ายกับแนวคิด Minimum Viable Product (MVP) แต่ใช้กับระบบธุรกิจ ➡️ DRaaS ช่วยให้ธุรกิจสามารถ failover ไปยังระบบสำรองได้ทันทีเมื่อเกิดเหตุ ➡️ Gamified tabletop exercise ช่วยให้การฝึกซ้อมไม่เป็นแค่การอ่านสไลด์ ➡️ Agentic AI คือ AI ที่สามารถตัดสินใจและดำเนินการได้เอง เช่น การสำรองข้อมูล ➡️ การใช้ backup เพื่อ inference คือการนำข้อมูลเก่ามาวิเคราะห์เชิงลึก เช่น พฤติกรรมลูกค้า https://www.csoonline.com/article/515730/business-continuity-and-disaster-recovery-planning-the-basics.html

🌐 “GreyNoise พบการโจมตีแบบประสานงานทั่วโลก เจาะช่องโหว่ Grafana CVE-2021-43798 — แค่ปลั๊กอินเดียว ก็อ่านไฟล์ระบบได้” แม้ช่องโหว่ CVE-2021-43798 ใน Grafana จะถูกเปิดเผยมาตั้งแต่ปี 2021 แต่ล่าสุดเมื่อวันที่ 28 กันยายน 2025 บริษัท GreyNoise ได้ตรวจพบการโจมตีแบบประสานงานทั่วโลกที่พุ่งเป้าไปยังช่องโหว่นี้อย่างชัดเจน โดยมี IP ที่เป็นอันตรายถึง 110 รายการในวันเดียว ซึ่งถือเป็นการพุ่งขึ้นอย่างรวดเร็วหลังจากที่กิจกรรมโจมตีเงียบไปนานหลายเดือน ช่องโหว่นี้เป็นแบบ path traversal ซึ่งเปิดให้ผู้โจมตีสามารถอ่านไฟล์ใดก็ได้ในระบบเซิร์ฟเวอร์ผ่าน endpoint /public/plugins/:pluginId โดยใช้เทคนิคการใส่ path แบบ ../../ เพื่อหลบหลีกการตรวจสอบและเข้าถึงไฟล์สำคัญ เช่น /etc/passwd โดยไม่ต้องมีสิทธิ์พิเศษ จากการวิเคราะห์ของ GreyNoise พบว่าการโจมตีครั้งนี้มีรูปแบบการกระจายเป้าหมายแบบ 3:1:1 โดยเน้นไปที่สหรัฐฯ (100+ IP), สโลวาเกีย และไต้หวัน โดย IP ส่วนใหญ่ (107 จาก 110) มาจากบังกลาเทศ และเกือบทั้งหมดพุ่งเป้าไปยังเซิร์ฟเวอร์ในสหรัฐฯ ซึ่งแสดงให้เห็นถึงการวางแผนและการใช้เครื่องมือร่วมกัน นอกจากนี้ยังพบว่ามีการใช้ fingerprint แบบ TCP และ HTTP ที่คล้ายกันในหลายประเทศ เช่น จีนและเยอรมนี ซึ่งบ่งชี้ว่าการโจมตีครั้งนี้ไม่ใช่การสุ่ม แต่เป็นการใช้เครื่องมือชุดเดียวกันหรือรายการเป้าหมายร่วมกัน ช่องโหว่นี้เคยถูกใช้ในแคมเปญ SSRF และการ takeover บัญชีผู้ใช้ในอดีต และยังคงถูกวิจัยและนำไปใช้ใน exploit chain หลายรูปแบบ โดยเฉพาะในขั้นตอน reconnaissance และ lateral movement ✅ ข้อมูลสำคัญจากข่าว ➡️ GreyNoise ตรวจพบการโจมตีแบบประสานงานต่อช่องโหว่ Grafana CVE-2021-43798 เมื่อวันที่ 28 ก.ย. 2025 ➡️ ช่องโหว่เป็นแบบ path traversal ผ่าน endpoint /public/plugins/:pluginId ➡️ ผู้โจมตีสามารถอ่านไฟล์ระบบ เช่น /etc/passwd โดยไม่ต้องล็อกอิน ➡️ พบ IP อันตราย 110 รายการในวันเดียว โดย 107 มาจากบังกลาเทศ ➡️ รูปแบบการโจมตีกระจายเป้าหมายแบบ 3:1:1 (สหรัฐฯ:สโลวาเกีย:ไต้หวัน) ➡️ พบ fingerprint แบบ TCP/HTTP ที่คล้ายกันในหลายประเทศ ➡️ ช่องโหว่นี้เคยถูกใช้ใน SSRF และ exploit chain สำหรับ takeover บัญชี ➡️ Grafana ได้ออก patch ตั้งแต่เวอร์ชัน 8.3.1 เพื่อแก้ไขช่องโหว่นี้ ✅ ข้อมูลเสริมจากภายนอก ➡️ CVE-2021-43798 มีคะแนน CVSS 7.5 ถือว่าเป็นช่องโหว่ระดับสูง ➡️ Grafana เป็นเครื่องมือ visualisation ยอดนิยมในระบบ monitoring เช่น Prometheus ➡️ Path traversal เป็นเทคนิคที่ใช้หลบหลีกการตรวจสอบ path เพื่อเข้าถึงไฟล์นอกขอบเขต ➡️ SSRF (Server-Side Request Forgery) เป็นเทคนิคที่ใช้เซิร์ฟเวอร์ส่งคำขอไปยังระบบภายใน ➡️ การใช้ reverse proxy ที่ normalize path เช่น Envoy สามารถช่วยลดความเสี่ยงได้ https://securityonline.info/greynoise-detects-coordinated-surge-exploiting-grafana-path-traversal-flaw-cve-2021-43798/

🧨 “CVE-2025-38352: ช่องโหว่ TOCTOU ใน Linux/Android Kernel — แค่เสี้ยววินาที ก็อาจเปิดทางสู่สิทธิ Root” นักวิจัยด้านความปลอดภัยชื่อ StreyPaws ได้เปิดเผยรายละเอียดเชิงลึกของช่องโหว่ CVE-2025-38352 ซึ่งเป็นช่องโหว่แบบ TOCTOU (Time-of-Check to Time-of-Use) ที่เกิดขึ้นในระบบ POSIX CPU Timer ของ Linux และ Android kernel โดยช่องโหว่นี้ถูกระบุใน Android Security Bulletin เดือนกันยายน 2025 และมีแนวโน้มว่าจะถูกใช้โจมตีแบบเจาะจงในบางกรณีแล้ว ช่องโหว่นี้เกิดจากการจัดการ synchronization ที่ผิดพลาดในไฟล์ posix-cpu-timers.c โดยเฉพาะเมื่อมีสองเธรดทำงานพร้อมกัน — เธรดหนึ่งกำลังจัดการกับ timer ที่หมดเวลา ส่วนอีกเธรดพยายามลบ timer เดียวกัน ทำให้เกิด race condition ที่อาจนำไปสู่การอ้างอิงหน่วยความจำที่ถูกปล่อยไปแล้ว (use-after-free) ซึ่งอาจทำให้ระบบ crash หรือแม้แต่ privilege escalation ได้ POSIX CPU Timer ใช้ติดตามเวลาการประมวลผลของ process ไม่ใช่เวลาจริง ทำให้มีความสำคัญในการวิเคราะห์ performance และจัดการทรัพยากร โดยระบบรองรับ clock หลายประเภท เช่น CPUCLOCK_PROF, CPUCLOCK_VIRT และ CPUCLOCK_SCHED เพื่อใช้ในสถานการณ์ต่าง ๆ นักวิจัยได้สร้างสภาพแวดล้อมจำลอง kernel บน Android และพัฒนา PoC ที่สามารถทำให้ระบบ crash ได้แม้จะเปิดใช้ CONFIG_POSIX_CPU_TIMERS_TASK_WORK ซึ่งเป็นการตั้งค่าที่ควรช่วยลดความเสี่ยง แสดงให้เห็นว่าช่องโหว่นี้มีความซับซ้อนและอันตรายแม้ในระบบที่มีการป้องกันเบื้องต้น แพตช์ที่ออกมาเพื่อแก้ไขช่องโหว่นี้มีการเพิ่มเงื่อนไขตรวจสอบสถานะการ exit ของ task ก่อนดำเนินการลบ timer ซึ่งช่วยป้องกันการเกิด race condition ได้อย่างมีประสิทธิภาพ ✅ ข้อมูลสำคัญจากข่าว ➡️ CVE-2025-38352 เป็นช่องโหว่ TOCTOU ใน POSIX CPU Timer subsystem ของ Linux/Android kernel ➡️ เกิดจาก race condition ระหว่างการจัดการ timer ที่หมดเวลาและการลบ timer พร้อมกัน ➡️ อาจนำไปสู่ use-after-free, memory corruption และ privilege escalation ➡️ POSIX CPU Timer ใช้ติดตามเวลาประมวลผลของ process ไม่ใช่เวลาจริง ➡️ รองรับ clock หลายประเภท เช่น CPUCLOCK_PROF, CPUCLOCK_VIRT, CPUCLOCK_SCHED ➡️ นักวิจัยสร้าง PoC ที่ทำให้ระบบ crash ได้แม้เปิดใช้ CONFIG_POSIX_CPU_TIMERS_TASK_WORK ➡️ แพตช์แก้ไขโดยเพิ่มการตรวจสอบ exit_state เพื่อป้องกันการอ้างอิงหน่วยความจำที่ถูกปล่อย ➡️ ช่องโหว่นี้ถูกระบุใน Android Security Bulletin เดือนกันยายน 2025 ✅ ข้อมูลเสริมจากภายนอก ➡️ TOCTOU เป็นช่องโหว่ที่เกิดจากการตรวจสอบเงื่อนไขก่อนใช้งาน แต่เงื่อนไขเปลี่ยนไปในระหว่างนั้น ➡️ Use-after-free เป็นช่องโหว่ที่อันตรายเพราะสามารถนำไปสู่การควบคุมระบบได้ ➡️ Race condition มักเกิดในระบบที่มีการทำงานแบบ multi-threaded หรือ interrupt context ➡️ การตรวจสอบ exit_state เป็นเทคนิคที่ใช้กันทั่วไปในการป้องกันการอ้างอิง task ที่กำลังถูกลบ ➡️ ช่องโหว่ระดับ kernel มีผลกระทบสูงต่อความมั่นคงของระบบ เพราะสามารถควบคุมทุกระดับได้ https://securityonline.info/researcher-details-zero-day-linux-android-kernel-flaw-cve-2025-38352/

🔓 “Termix Docker เจอช่องโหว่ร้ายแรง CVE-2025-59951 — ดึงข้อมูล SSH ได้ทันทีโดยไม่ต้องล็อกอิน” Termix ซึ่งเป็นแพลตฟอร์มจัดการเซิร์ฟเวอร์แบบ self-hosted ที่ได้รับความนิยมในกลุ่ม DevOps และผู้ดูแลระบบ ได้เปิดเผยช่องโหว่ร้ายแรงใน Docker image อย่างเป็นทางการของตนเอง โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-59951 และได้รับคะแนนความรุนแรง CVSS v4 สูงถึง 9.2 ซึ่งอยู่ในระดับ “วิกฤต” ช่องโหว่นี้เกิดจากการที่ Termix ใช้ reverse proxy ผ่าน Nginx แล้ว backend ดึง IP address ของ proxy แทนที่จะเป็น IP ของผู้ใช้จริงผ่านคำสั่ง req.ip ทำให้ระบบเข้าใจผิดว่าทุกคำขอเป็น “localhost” และเปิดสิทธิ์ให้เข้าถึง endpoint ที่ควรถูกจำกัดไว้ ผลคือ endpoint /ssh/db/host/internal ซึ่งเก็บข้อมูล SSH host เช่น IP, username และ password สามารถถูกเข้าถึงได้โดยไม่ต้องล็อกอินหรือยืนยันตัวตนใด ๆ ทั้งสิ้น นักวิจัยด้านความปลอดภัยสามารถทำ PoC ได้ง่าย ๆ ด้วยคำสั่ง HTTP GET ธรรมดา และได้รับข้อมูล SSH กลับมาในรูปแบบ JSON ทันที ช่องโหว่นี้มีผลกับทุกเวอร์ชันตั้งแต่ release-0.1.1-tag ถึง release-1.6.0-tag โดยเวอร์ชันที่ได้รับการแก้ไขคือ release-1.7.0-tag ซึ่งแนะนำให้ผู้ใช้รีบอัปเดตทันที พร้อมปรับ backend ให้ใช้ X-Real-IP แทน req.ip เพื่อป้องกันการเข้าใจผิดเรื่อง IP ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-59951 เกิดจากการใช้ req.ip ใน backend ทำให้เข้าใจว่า request มาจาก localhost ➡️ ส่งผลให้ endpoint /ssh/db/host/internal ถูกเปิดให้เข้าถึงโดยไม่ต้องล็อกอิน ➡️ ข้อมูลที่รั่วไหลได้แก่ IP, username และ password ของ SSH hosts ➡️ ช่องโหว่นี้มีผลกับ Docker image ตั้งแต่ release-0.1.1-tag ถึง release-1.6.0-tag ➡️ เวอร์ชันที่แก้ไขแล้วคือ release-1.7.0-tag ➡️ PoC แสดงให้เห็นว่าการโจมตีสามารถทำได้ง่ายและเสถียร ➡️ ระบบที่ใช้ reverse proxy ผ่าน Nginx มีความเสี่ยงสูง ➡️ แนะนำให้เปลี่ยนการตรวจสอบ IP เป็น X-Real-IP แทน req.ip ✅ ข้อมูลเสริมจากภายนอก ➡️ Termix เป็นแพลตฟอร์มจัดการเซิร์ฟเวอร์แบบ web-based ที่รวม SSH, tunneling และ file management ➡️ ช่องโหว่ประเภท Use-After-Free และ IP spoofing เป็นปัญหาที่พบได้บ่อยในระบบที่ใช้ proxy ➡️ การใช้ reverse proxy โดยไม่ตรวจสอบ IP อย่างถูกต้องอาจเปิดช่องให้เกิดการโจมตีแบบ privilege escalation ➡️ การใช้ Docker image จากแหล่งทางการโดยไม่ตรวจสอบ config อาจนำไปสู่การรั่วไหลข้อมูล ➡️ การใช้ asset mapping tools สามารถช่วยค้นหา instance ที่เปิด endpoint นี้อยู่ https://securityonline.info/critical-flaw-in-termix-docker-image-cve-2025-59951-leaks-ssh-credentials-without-authentication/

🛡️ “Chrome 141 อัปเดตด่วน! อุดช่องโหว่ WebGPU และ Video เสี่ยงถูกโจมตีระดับโค้ด — ผู้ใช้ทุกระบบควรรีบอัปเดตทันที” Google ได้ปล่อยอัปเดต Chrome 141 สู่ช่องทาง Stable สำหรับผู้ใช้บน Windows, macOS และ Linux โดยเวอร์ชันนี้มาพร้อมการแก้ไขช่องโหว่ด้านความปลอดภัยถึง 21 รายการ ซึ่งรวมถึงช่องโหว่ระดับร้ายแรง 2 จุดที่อาจเปิดทางให้ผู้โจมตีเข้าควบคุมระบบผ่านการจัดการหน่วยความจำผิดพลาด ช่องโหว่แรกคือ CVE-2025-11205 ซึ่งเป็น heap buffer overflow ใน WebGPU — เทคโนโลยีที่ใช้เร่งกราฟิกและการเรนเดอร์บนเว็บสมัยใหม่ ช่องโหว่นี้ถูกค้นพบโดย Atte Kettunen จาก OUSPG และได้รับเงินรางวัลถึง $25,000 ซึ่งถือว่าสูงที่สุดในการอัปเดตครั้งนี้ ช่องโหว่นี้สามารถนำไปสู่การเข้าถึงหน่วยความจำนอกขอบเขต และเปิดทางให้ผู้โจมตีรันโค้ดอันตรายหรือทำให้เบราว์เซอร์ล่มได้ ช่องโหว่ที่สองคือ CVE-2025-11206 ซึ่งเป็น heap buffer overflow ในระบบ Video ของ Chrome โดยนักวิจัย Elias Hohl ช่องโหว่นี้แม้จะรุนแรงน้อยกว่า WebGPU แต่ก็สามารถถูกใช้เพื่อควบคุมหน่วยความจำระหว่างการเล่นวิดีโอ และอาจนำไปสู่การโจมตีหรือทำให้เบราว์เซอร์ไม่เสถียร นอกจากช่องโหว่หลักทั้งสองแล้ว Chrome 141 ยังแก้ไขช่องโหว่ระดับกลางและต่ำอีกหลายรายการ เช่น การรั่วไหลข้อมูลผ่าน side-channel ใน Storage และ Tab, การ implement ที่ไม่เหมาะสมใน Media และ Omnibox รวมถึงข้อผิดพลาดใน V8 JavaScript engine ที่อาจเปิดช่องให้รันโค้ดผ่านเว็บเพจที่ออกแบบมาเฉพาะ Google แนะนำให้ผู้ใช้ทุกระบบอัปเดต Chrome เป็นเวอร์ชัน 141.0.7390.54 (Linux) หรือ 141.0.7390.54/55 (Windows และ Mac) โดยเร็วที่สุด เพื่อป้องกันการถูกโจมตีจากช่องโหว่ที่ถูกเปิดเผยแล้ว ✅ ข้อมูลสำคัญจากข่าว ➡️ Chrome 141 อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 21 รายการ ➡️ CVE-2025-11205: heap buffer overflow ใน WebGPU เสี่ยงรันโค้ดอันตราย ➡️ CVE-2025-11206: heap buffer overflow ใน Video component เสี่ยงทำให้เบราว์เซอร์ล่ม ➡️ ช่องโหว่ WebGPU ได้รับรางวัล $25,000 จาก Google ➡️ ช่องโหว่ Video ได้รับรางวัล $4,000 ➡️ Chrome 141 แก้ไขช่องโหว่ใน Storage, Media, Omnibox และ V8 JavaScript engine ➡️ เวอร์ชันที่ปล่อยคือ 141.0.7390.54 สำหรับ Linux และ 54/55 สำหรับ Windows/Mac ➡️ Google แนะนำให้อัปเดตทันทีเพื่อป้องกันการโจมตี ✅ ข้อมูลเสริมจากภายนอก ➡️ WebGPU เป็น API ใหม่ที่ใช้เร่งกราฟิกในเว็บแอป เช่น เกมและแอป 3D ➡️ Heap buffer overflow เป็นช่องโหว่ที่เกิดจากการเขียนข้อมูลเกินขอบเขตหน่วยความจำ ➡️ Side-channel attack สามารถใช้วิเคราะห์พฤติกรรมระบบเพื่อขโมยข้อมูล ➡️ V8 เป็น engine ที่รัน JavaScript ใน Chrome และมีบทบาทสำคัญในความปลอดภัย ➡️ Google ใช้ระบบ AI ภายในชื่อ Big Sleep เพื่อช่วยตรวจจับช่องโหว่ในโค้ด https://securityonline.info/chrome-141-stable-channel-update-patches-high-severity-vulnerabilities-cve-2025-11205-cve-2025-11206/

🛡️ “PoC หลุด! ช่องโหว่ Linux Kernel เปิดทางผู้ใช้ธรรมดาเข้าถึงสิทธิ Root — ระบบเสี่ยงทั่วโลก” เมื่อวันที่ 2 ตุลาคม 2025 มีการเปิดเผยช่องโหว่ร้ายแรงใน Linux Kernel ที่สามารถใช้เพื่อยกระดับสิทธิจากผู้ใช้ธรรมดาให้กลายเป็น root ได้ โดยช่องโหว่นี้เกี่ยวข้องกับการจัดการหน่วยความจำผิดพลาดในฟีเจอร์ vsock (Virtual Socket) ซึ่งใช้สำหรับการสื่อสารระหว่าง virtual machines โดยเฉพาะในระบบคลาวด์และ virtualization เช่น VMware ช่องโหว่นี้ถูกจัดอยู่ในประเภท Use-After-Free (UAF) ซึ่งเกิดจากการลดค่าการอ้างอิงของวัตถุใน kernel ก่อนเวลาอันควร ทำให้ผู้โจมตีสามารถเข้าควบคุมหน่วยความจำที่ถูกปล่อยแล้ว และฝังโค้ดอันตรายเพื่อเข้าถึงสิทธิระดับ kernel ได้ นักวิจัยด้านความปลอดภัยได้เผยแพร่ proof-of-concept (PoC) ที่แสดงให้เห็นขั้นตอนการโจมตีอย่างละเอียด ตั้งแต่การบังคับให้ kernel ปล่อย vsock object ไปจนถึงการ reclaim หน่วยความจำด้วยข้อมูลที่ควบคุมได้ และการหลบเลี่ยง KASLR (Kernel Address Space Layout Randomization) เพื่อเข้าถึงโครงสร้างภายในของ kernel ช่องโหว่นี้มีผลกระทบต่อระบบ Linux จำนวนมหาศาล โดยเฉพาะในสภาพแวดล้อมที่ใช้ virtualization และ container เช่น OpenShift หรือ Red Hat Enterprise Linux CoreOS ซึ่งแม้บางระบบจะมีสิทธิ root อยู่แล้ว แต่ก็ยังเปิดช่องให้เกิดการโจมตีแบบ lateral movement หรือการฝัง backdoor ได้ในระดับ kernel ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่เกิดจากการจัดการ reference count ผิดพลาดใน vsock subsystem ของ Linux Kernel ➡️ ประเภทช่องโหว่คือ Use-After-Free (UAF) ซึ่งเปิดช่องให้ควบคุมหน่วยความจำที่ถูกปล่อย ➡️ มีการเผยแพร่ PoC ที่แสดงขั้นตอนการโจมตีอย่างละเอียด ➡️ ผู้โจมตีสามารถหลบเลี่ยง KASLR และ hijack control flow เพื่อเข้าถึงสิทธิ root ➡️ ระบบที่ใช้ virtualization เช่น VMware และ OpenShift ได้รับผลกระทบโดยตรง ➡️ Linux distributions ได้ออก patch แล้วสำหรับ kernel เวอร์ชันที่ได้รับผลกระทบ ➡️ การโจมตีสามารถเกิดขึ้นได้จากผู้ใช้ธรรมดาที่ไม่มีสิทธิ root ➡️ การใช้ vsock_diag_dump เป็นช่องทางในการ leak kernel address ✅ ข้อมูลเสริมจากภายนอก ➡️ Use-After-Free เป็นช่องโหว่ที่พบได้บ่อยในระบบที่มีการจัดการหน่วยความจำแบบ dynamic ➡️ KASLR เป็นเทคนิคที่ใช้สุ่มตำแหน่งหน่วยความจำเพื่อป้องกันการโจมตี ➡️ PoC ที่เผยแพร่ช่วยให้ผู้ดูแลระบบสามารถทดสอบและตรวจสอบช่องโหว่ได้รวดเร็วขึ้น ➡️ การโจมตีระดับ kernel มีความรุนแรงสูง เพราะสามารถควบคุมระบบทั้งหมดได้ ➡️ ระบบ container ที่เปิดใช้งาน user namespaces มีความเสี่ยงเพิ่มขึ้น https://securityonline.info/poc-released-linux-kernel-flaw-allows-user-to-gain-root-privileges/

⚖️ “Qualcomm ชนะคดี Arm อย่างเด็ดขาด — ศาลสหรัฐฯ ยุติข้อพิพาทสิทธิบัตร เปิดทางให้ Snapdragon X ลุยตลาด AI และเซิร์ฟเวอร์เต็มตัว” หลังจากต่อสู้กันในศาลมานานกว่า 3 ปี คดีระหว่าง Qualcomm และ Arm ก็สิ้นสุดลงอย่างเป็นทางการเมื่อวันที่ 1 ตุลาคม 2025 โดยศาลแขวงสหรัฐฯ ในรัฐเดลาแวร์ได้ตัดสินยกฟ้องข้อกล่าวหาสุดท้ายของ Arm ต่อ Qualcomm และบริษัทลูก Nuvia ถือเป็น “ชัยชนะอย่างสมบูรณ์” ของ Qualcomm ในคดีสิทธิบัตรที่สะเทือนวงการเซมิคอนดักเตอร์ จุดเริ่มต้นของคดีนี้เกิดขึ้นเมื่อ Qualcomm เข้าซื้อกิจการ Nuvia ในปี 2021 ซึ่งเป็นสตาร์ทอัพที่พัฒนาแกนประมวลผลแบบ Arm สำหรับเซิร์ฟเวอร์ โดย Arm อ้างว่า Qualcomm ไม่มีสิทธิ์นำเทคโนโลยีของ Nuvia มาใช้ต่อโดยอัตโนมัติ และควรเจรจาข้อตกลงใหม่ แต่ศาลตัดสินว่า Qualcomm มีสิทธิ์ใช้เทคโนโลยีของ Nuvia ภายใต้ใบอนุญาตสถาปัตยกรรมเดิมที่ Qualcomm ถืออยู่แล้ว คณะลูกขุนเคยตัดสินในเดือนธันวาคม 2024 ว่า Qualcomm ไม่ได้ละเมิดข้อตกลง และคำตัดสินล่าสุดของศาลก็ยืนยันผลนั้น พร้อมปฏิเสธคำร้องของ Arm ที่ขอให้เปิดการพิจารณาคดีใหม่ ชัยชนะครั้งนี้เปิดทางให้ Qualcomm นำเทคโนโลยีแกนประมวลผล Oryon ที่พัฒนาโดย Nuvia ไปใช้ในผลิตภัณฑ์หลากหลาย เช่น Snapdragon X สำหรับพีซี, สมาร์ตโฟน, รถยนต์, เซิร์ฟเวอร์ AI และหุ่นยนต์ โดยไม่ต้องกังวลเรื่องข้อพิพาทด้านสิทธิบัตรอีกต่อไป ในขณะเดียวกัน Qualcomm ยังมีคดีฟ้องกลับ Arm อยู่ โดยกล่าวหาว่า Arm พยายามแทรกแซงความสัมพันธ์กับลูกค้า และส่งเสริมผลิตภัณฑ์ของตนเองเหนือพันธมิตรใน ecosystem ซึ่งคดีนี้จะเริ่มพิจารณาในเดือนมีนาคม 2026 ✅ ข้อมูลสำคัญจากข่าว ➡️ ศาลสหรัฐฯ ยกฟ้องข้อกล่าวหาสุดท้ายของ Arm ต่อ Qualcomm และ Nuvia ➡️ คดีเริ่มต้นจากการที่ Qualcomm ซื้อกิจการ Nuvia ในปี 2021 ➡️ Arm อ้างว่า Qualcomm ต้องเจรจาใบอนุญาตใหม่ แต่ศาลตัดสินว่าไม่จำเป็น ➡️ คณะลูกขุนตัดสินในปี 2024 ว่า Qualcomm ไม่ละเมิดข้อตกลง ➡️ Qualcomm ได้สิทธิ์ใช้เทคโนโลยีของ Nuvia ภายใต้ใบอนุญาตเดิม ➡️ Qualcomm เตรียมนำแกน Oryon ไปใช้ใน Snapdragon X และผลิตภัณฑ์อื่น ๆ ➡️ Qualcomm ฟ้องกลับ Arm ฐานแทรกแซงลูกค้าและขัดขวางนวัตกรรม ➡️ คดีฟ้องกลับจะเริ่มพิจารณาในเดือนมีนาคม 2026 ✅ ข้อมูลเสริมจากภายนอก ➡️ Nuvia ก่อตั้งโดยอดีตวิศวกร Apple เพื่อพัฒนาแกน CPU สำหรับเซิร์ฟเวอร์ ➡️ แกน Oryon ใช้สถาปัตยกรรม Armv8 แต่พัฒนาใหม่เกือบทั้งหมด ➡️ Qualcomm ตั้งเป้าใช้ Oryon ในพีซี Windows ที่ใช้ Snapdragon X ➡️ Arm กำลังขยายเข้าสู่ตลาดคลาวด์และ AI เพื่อเพิ่มรายได้จากใบอนุญาต ➡️ คดีนี้สะท้อนความขัดแย้งระหว่างผู้ถือสิทธิบัตรและพันธมิตรใน ecosystem https://securityonline.info/qualcomm-wins-complete-victory-over-arm-in-major-chip-licensing-lawsuit/

📡 “TOTOLINK X6000R เจอช่องโหว่ร้ายแรง! แฮกเกอร์เจาะระบบได้ทันทีโดยไม่ต้องล็อกอิน” นักวิจัยจาก Unit 42 ของ Palo Alto Networks เปิดเผยช่องโหว่ความปลอดภัยระดับ “วิกฤต” ในเราเตอร์ TOTOLINK X6000R ซึ่งใช้เฟิร์มแวร์เวอร์ชัน V9.4.0cu.1360_B20241207 โดยช่องโหว่นี้เปิดทางให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์จากระยะไกลได้โดยไม่ต้องยืนยันตัวตนเลย ช่องโหว่หลัก CVE-2025-52906 เกิดจากฟังก์ชัน setEasyMeshAgentCfg ที่ไม่ตรวจสอบค่าพารามิเตอร์ agentName อย่างเหมาะสม ทำให้แฮกเกอร์สามารถฝังคำสั่งระบบ (command injection) เข้าไปได้โดยตรง และรันด้วยสิทธิ์ root ซึ่งหมายความว่าแฮกเกอร์สามารถ: ⚠️ ดักฟังข้อมูลในเครือข่าย ⚠️ เจาะไปยังอุปกรณ์อื่นในเครือข่ายเดียวกัน ⚠️ ติดตั้งมัลแวร์แบบถาวรในเราเตอร์ นอกจากนี้ยังมีอีกสองช่องโหว่ที่ถูกค้นพบในเฟิร์มแวร์เดียวกัน ได้แก่: ⚠️ CVE-2025-52905: ช่องโหว่ argument injection ที่เกิดจากการกรอง input ไม่สมบูรณ์ โดยไม่กรองเครื่องหมาย “-” ทำให้สามารถโจมตีแบบ DoS ได้ ⚠️ CVE-2025-52907: ช่องโหว่ security bypass ที่เปิดทางให้เขียนไฟล์ระบบโดยไม่ต้องล็อกอิน เช่น แก้ไขไฟล์ /etc/passwd เพื่อสร้างผู้ใช้ใหม่ หรือเปลี่ยน boot script เพื่อฝังมัลแวร์ถาวร TOTOLINK ได้ออกแพตช์แก้ไขแล้วในเฟิร์มแวร์เวอร์ชัน V9.4.0cu.1498_B20250826 และแนะนำให้ผู้ใช้ทุกคนอัปเดตทันทีเพื่อป้องกันการถูกโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ TOTOLINK X6000R พบช่องโหว่ร้ายแรง 3 รายการในเฟิร์มแวร์ V9.4.0cu.1360_B20241207 ➡️ CVE-2025-52906 เป็นช่องโหว่ command injection ที่ไม่ต้องล็อกอินและรันคำสั่งด้วยสิทธิ์ root ➡️ ช่องโหว่นี้อยู่ในฟังก์ชัน setEasyMeshAgentCfg ที่ไม่ตรวจสอบ agentName ➡️ CVE-2025-52905 เป็น argument injection ที่เกิดจากการไม่กรองเครื่องหมาย “-” ➡️ CVE-2025-52907 เป็นช่องโหว่ security bypass ที่เปิดทางให้เขียนไฟล์ระบบโดยไม่ต้องล็อกอิน ➡️ TOTOLINK ออกแพตช์แก้ไขในเวอร์ชัน V9.4.0cu.1498_B20250826 ➡️ ผู้ใช้ควรอัปเดตเฟิร์มแวร์ทันทีเพื่อป้องกันการถูกโจมตี ✅ ข้อมูลเสริมจากภายนอก ➡️ Command injection เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะสามารถควบคุมระบบได้เต็มรูปแบบ ➡️ การเขียนไฟล์ระบบ เช่น /etc/passwd เป็นเทคนิคที่ใช้ในการสร้างผู้ใช้ปลอมเพื่อควบคุมอุปกรณ์ ➡️ การโจมตีแบบ DoS ผ่าน argument injection สามารถทำให้เราเตอร์ล่มหรือหยุดให้บริการ ➡️ TOTOLINK เป็นแบรนด์ที่มีการใช้งานแพร่หลายทั่วโลก โดยเฉพาะในกลุ่มผู้ใช้ตามบ้านและ SME ➡️ การอัปเดตเฟิร์มแวร์เป็นวิธีป้องกันที่มีประสิทธิภาพที่สุดสำหรับอุปกรณ์ IoT https://securityonline.info/critical-flaw-cve-2025-52906-cvss-9-3-allows-unauthenticated-rce-on-totolink-x6000r-routers/

🧨 “Splunk ออกแพตช์อุด 6 ช่องโหว่ร้ายแรง — SSRF, XSS, XXE และ DoS ครบสูตรในแพลตฟอร์ม Enterprise และ Cloud” Splunk ได้ออกชุดแพตช์ความปลอดภัยในวันที่ 2 ตุลาคม 2025 เพื่อแก้ไขช่องโหว่รวม 6 รายการใน Splunk Enterprise และ Splunk Cloud Platform โดยช่องโหว่เหล่านี้มีตั้งแต่ระดับกลางไปจนถึงระดับสูง และครอบคลุมทั้งการควบคุมสิทธิ์ที่ผิดพลาด, การโจมตีแบบ cross-site scripting (XSS), XML injection, denial-of-service (DoS) และ server-side request forgery (SSRF) ที่ไม่ต้องยืนยันตัวตน ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2025-20371 ซึ่งเป็น blind SSRF ที่เปิดทางให้ผู้โจมตีภายนอกสามารถสั่ง REST API แทนผู้ใช้ที่มีสิทธิ์สูงได้ โดยไม่ต้องล็อกอินเลย หากระบบเปิดใช้งานการตั้งค่า enableSplunkWebClientNetloc และเหยื่อถูกหลอกให้คลิกลิงก์ที่ฝังคำสั่งไว้ อีกช่องโหว่ที่น่ากังวลคือ CVE-2025-20366 ซึ่งอนุญาตให้ผู้ใช้สิทธิ์ต่ำสามารถเข้าถึงผลการค้นหาที่ควรเป็นของผู้ดูแลระบบได้ หากสามารถเดา Search ID (SID) ของ job ที่รันอยู่เบื้องหลังได้ถูกต้อง ช่องโหว่อื่น ๆ ได้แก่ ⚠️ Reflected XSS ผ่านพารามิเตอร์ dataset.command ⚠️ Stored XSS ใน error message ของ saved search ⚠️ XXE injection ผ่าน dashboard tab label ⚠️ DoS จากการส่ง LDAP bind request จำนวนมากโดยผู้ใช้ที่มีสิทธิ์เปลี่ยนการยืนยันตัวตน Splunk แนะนำให้ผู้ใช้ทุกคนอัปเดตเป็นเวอร์ชันล่าสุดทันที ได้แก่ 9.4.4, 9.3.6, 9.2.8 หรือ 10.0.1 ขึ้นไป และสำหรับผู้ใช้ Splunk Cloud ให้ตรวจสอบว่าได้รับ hotfix แล้วหรือยัง รวมถึงตั้งค่า enableSplunkWebClientNetloc ให้เป็น false หากไม่จำเป็นต้องใช้งาน ✅ ข้อมูลสำคัญจากข่าว ➡️ Splunk ออกแพตช์แก้ไขช่องโหว่ 6 รายการใน Enterprise และ Cloud Platform ➡️ CVE-2025-20371 เป็น blind SSRF ที่ไม่ต้องยืนยันตัวตน และสามารถสั่ง REST API แทนผู้ใช้สิทธิ์สูง ➡️ ช่องโหว่นี้เกิดขึ้นเมื่อเปิดใช้งาน enableSplunkWebClientNetloc และเหยื่อถูกหลอกให้คลิกลิงก์ ➡️ CVE-2025-20366 เป็น improper access control ที่เปิดให้ผู้ใช้สิทธิ์ต่ำเข้าถึงผลการค้นหา ➡️ CVE-2025-20367 และ CVE-2025-20368 เป็น XSS แบบ reflected และ stored ตามลำดับ ➡️ CVE-2025-20369 เป็น XXE injection ผ่าน dashboard tab label ➡️ CVE-2025-20370 เป็น DoS จาก LDAP bind request จำนวนมาก ➡️ แนะนำให้อัปเดตเป็นเวอร์ชัน 9.4.4, 9.3.6, 9.2.8 หรือ 10.0.1 ขึ้นไป ➡️ ผู้ใช้ Splunk Cloud ควรตรวจสอบว่าได้รับ hotfix แล้วหรือยัง ✅ ข้อมูลเสริมจากภายนอก ➡️ SSRF เป็นเทคนิคที่ใช้เซิร์ฟเวอร์เป็นตัวกลางในการส่งคำขอไปยังระบบภายในหรือ API ที่ควบคุมโดย attacker ➡️ XXE injection สามารถใช้เพื่ออ่านไฟล์ภายในเซิร์ฟเวอร์หรือทำให้ระบบล่ม ➡️ LDAP bind request ที่มากเกินไปสามารถทำให้ CPU พุ่งสูงและระบบหยุดทำงาน ➡️ XSS เป็นช่องโหว่ที่ใช้ฝัง JavaScript เพื่อขโมย session หรือหลอกผู้ใช้ ➡️ การเดา Search ID (SID) เป็นเทคนิคที่ใช้ brute-force หรือการวิเคราะห์ pattern ของระบบ https://securityonline.info/splunk-fixes-six-flaws-including-unauthenticated-ssrf-and-xss-vulnerabilities-in-enterprise-platform/

🛡️ “Django ออกแพตช์ด่วน! อุดช่องโหว่ SQL Injection ร้ายแรงใน MySQL/MariaDB พร้อมเตือนภัย Directory Traversal” ทีมพัฒนา Django ได้ออกอัปเดตความปลอดภัยครั้งสำคัญในวันที่ 1 ตุลาคม 2025 เพื่อแก้ไขช่องโหว่สองรายการที่ส่งผลกระทบต่อระบบฐานข้อมูลและการตั้งค่าโปรเจกต์ โดยเฉพาะช่องโหว่ CVE-2025-59681 ซึ่งถูกจัดอยู่ในระดับ “ร้ายแรง” เนื่องจากเปิดทางให้ผู้โจมตีสามารถฝังคำสั่ง SQL ผ่านฟังก์ชันยอดนิยมของ Django ORM ได้แก่ annotate(), alias(), aggregate() และ extra() เมื่อใช้งานร่วมกับฐานข้อมูล MySQL หรือ MariaDB ช่องโหว่นี้เกิดจากการใช้ dictionary expansion (**kwargs) ที่ไม่ผ่านการตรวจสอบอย่างเหมาะสม ทำให้ attacker สามารถส่ง key ที่มีคำสั่ง SQL แฝงเข้าไปเป็น column alias ได้โดยตรง เช่น malicious_alias; DROP TABLE users; -- ซึ่งจะถูกแปลเป็นคำสั่ง SQL และรันทันทีหากระบบไม่มีการป้องกัน อีกหนึ่งช่องโหว่ CVE-2025-59682 แม้จะมีความรุนแรงต่ำกว่า แต่ก็อันตรายไม่น้อย โดยเกิดจากฟังก์ชัน django.utils.archive.extract() ที่ใช้ในการสร้างโปรเจกต์หรือแอปผ่าน template ซึ่งสามารถถูกใช้เพื่อโจมตีแบบ directory traversal ได้ หากไฟล์ใน archive มี path ที่คล้ายกับโฟลเดอร์เป้าหมาย เช่น ../../config.py อาจทำให้ไฟล์สำคัญถูกเขียนทับได้ Django ได้ออกแพตช์ในเวอร์ชัน 5.2.7, 5.1.13 และ 4.2.25 รวมถึงสาขา main และ 6.0 alpha โดยแนะนำให้ผู้ใช้ทุกคนอัปเดตทันที และสำหรับผู้ที่ยังไม่สามารถอัปเดตได้ ควรตรวจสอบโค้ดที่ใช้ฟังก์ชันดังกล่าว และหลีกเลี่ยงการใช้ template ที่ไม่ได้รับความไว้วางใจ ✅ ข้อมูลสำคัญจากข่าว ➡️ Django ออกแพตช์แก้ไขช่องโหว่ CVE-2025-59681 และ CVE-2025-59682 ➡️ CVE-2025-59681 เป็นช่องโหว่ SQL Injection ในฟังก์ชัน ORM เช่น annotate(), alias(), aggregate(), extra() ➡️ ช่องโหว่นี้เกิดจากการใช้ dictionary expansion (**kwargs) ที่ไม่ผ่านการตรวจสอบ ➡️ ส่งผลเฉพาะกับฐานข้อมูล MySQL และ MariaDB ไม่กระทบ PostgreSQL หรือ SQLite ➡️ CVE-2025-59682 เป็นช่องโหว่ directory traversal ในฟังก์ชัน extract() ที่ใช้ใน startapp และ startproject ➡️ Django ออกแพตช์ในเวอร์ชัน 5.2.7, 5.1.13, 4.2.25 และสาขา main/6.0 alpha ➡️ แนะนำให้อัปเดตทันที หรือหลีกเลี่ยงการใช้ template ที่ไม่ปลอดภัย ✅ ข้อมูลเสริมจากภายนอก ➡️ Django ORM เป็นหนึ่งในจุดแข็งของ framework ที่ช่วยป้องกัน SQL injection ได้ดี แต่ช่องโหว่นี้หลุดจากการตรวจสอบ alias ➡️ การใช้ dictionary ที่มี key จาก user input เป็นความเสี่ยงที่พบได้บ่อยในระบบ dynamic query ➡️ Directory traversal เป็นเทคนิคที่ใช้ path เช่น ../ เพื่อเข้าถึงไฟล์นอกโฟลเดอร์เป้าหมาย ➡️ ช่องโหว่ลักษณะนี้สามารถใช้ร่วมกับ template ที่ฝังมัลแวร์เพื่อโจมตีในขั้นตอน setup ➡️ Django มีระบบแจ้งช่องโหว่ผ่านอีเมล security@djangoproject.com เพื่อให้แก้ไขได้รวดเร็ว https://securityonline.info/django-security-alert-high-severity-sql-injection-flaw-cve-2025-59681-fixed-in-latest-updates/

🧠 “Detour Dog มัลแวร์ DNS สุดแสบ — ซ่อนคำสั่งใน TXT Record หลอกเว็บทั่วโลกให้กลายเป็นฐานโจมตี” Infoblox และ Shadowserver ร่วมกันเปิดโปงแคมเปญมัลแวร์ระดับโลกที่ใช้ชื่อว่า “Detour Dog” ซึ่งแฮกเกอร์เบื้องหลังได้ใช้เทคนิคใหม่ในการควบคุมเว็บไซต์ที่ติดมัลแวร์ผ่านระบบ DNS โดยเฉพาะการใช้ DNS TXT records เป็นช่องทางส่งคำสั่ง (Command and Control หรือ C2) แบบลับ ๆ ที่ไม่สามารถตรวจจับได้จากฝั่งผู้ใช้งานทั่วไป มัลแวร์นี้ฝังตัวอยู่ในเว็บไซต์หลายหมื่นแห่งทั่วโลก โดยเว็บไซต์เหล่านี้จะส่งคำขอ DNS จากฝั่งเซิร์ฟเวอร์ไปยัง name server ที่ควบคุมโดยแฮกเกอร์ ซึ่งจะตอบกลับด้วยคำสั่งที่ซ่อนอยู่ใน TXT record เช่น redirect ผู้ใช้ไปยังหน้าโฆษณาหลอกลวง หรือแม้แต่สั่งให้เว็บไซต์รันโค้ดจากเซิร์ฟเวอร์ระยะไกล ตั้งแต่กลางปี 2025 Detour Dog ได้พัฒนาให้สามารถติดตั้งมัลแวร์ backdoor ชื่อ StarFish ซึ่งใช้เป็นตัวนำ Strela Stealer เข้าสู่เครื่องของผู้ใช้ โดยพบว่า 69% ของเซิร์ฟเวอร์ที่ใช้ติดตั้ง StarFish อยู่ภายใต้การควบคุมของ Detour Dog ในเดือนสิงหาคม Shadowserver ได้ sinkhole โดเมนหลักของ Detour Dog (webdmonitor[.]io) และพบว่ามีการส่งคำขอ TXT มากกว่า 39 ล้านครั้งภายใน 48 ชั่วโมงจากเว็บไซต์ที่ติดมัลแวร์กว่า 30,000 แห่งใน 584 โดเมนระดับบน (TLD) โดยมี IP จากหน่วยงานสำคัญ เช่น กระทรวงกลาโหมสหรัฐฯ ปรากฏอยู่ในคำขอด้วย แม้จะถูกปิดโดเมนหลัก แต่ Detour Dog ก็สามารถตั้งโดเมนใหม่ (aeroarrows[.]io) ได้ภายในไม่กี่ชั่วโมง แสดงถึงความยืดหยุ่นและความเร็วในการฟื้นตัวของโครงสร้างมัลแวร์ Infoblox เตือนว่า DNS ซึ่งมักถูกมองข้ามในด้านความปลอดภัย กำลังกลายเป็นช่องทางใหม่ในการกระจายมัลแวร์ และแนะนำให้องค์กรตรวจสอบ DNS TXT record อย่างละเอียด รวมถึงติดตามโดเมน redirect ที่น่าสงสัย ✅ ข้อมูลสำคัญจากข่าว ➡️ Detour Dog ใช้ DNS TXT record เป็นช่องทางส่งคำสั่งควบคุมมัลแวร์ (C2) ➡️ เว็บไซต์ที่ติดมัลแวร์จะส่งคำขอ DNS จากฝั่งเซิร์ฟเวอร์ไปยัง name server ที่ควบคุมโดยแฮกเกอร์ ➡️ คำสั่งที่ส่งกลับมาอาจเป็น redirect หรือคำสั่งให้รันโค้ดจากเซิร์ฟเวอร์ระยะไกล ➡️ Detour Dog ใช้มัลแวร์ StarFish เป็นตัวนำ Strela Stealer เข้าสู่ระบบ ➡️ 69% ของเซิร์ฟเวอร์ที่ใช้ติดตั้ง StarFish อยู่ภายใต้การควบคุมของ Detour Dog ➡️ Shadowserver พบคำขอ TXT มากกว่า 39 ล้านครั้งใน 48 ชั่วโมงจาก 30,000 เว็บไซต์ ➡️ Detour Dog สามารถตั้งโดเมนใหม่ได้ภายในไม่กี่ชั่วโมงหลังถูกปิด ➡️ Infoblox เตือนให้องค์กรตรวจสอบ DNS TXT record และโดเมน redirect อย่างละเอียด ✅ ข้อมูลเสริมจากภายนอก ➡️ DNS TXT record เดิมใช้สำหรับเก็บข้อมูลเสริม เช่น SPF หรือ DKIM แต่ถูกนำมาใช้ส่งคำสั่งมัลแวร์ ➡️ Strela Stealer เป็นมัลแวร์ขโมยข้อมูลที่เน้นเจาะอีเมลและเบราว์เซอร์ ➡️ การ sinkhole คือการเปลี่ยนเส้นทางโดเมนมัลแวร์ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยนักวิจัยเพื่อเก็บข้อมูล ➡️ Passive DNS log ช่วยให้เห็นภาพรวมของการโจมตีและการกระจายคำสั่ง ➡️ Detour Dog อาจเป็นโครงสร้างบริการมัลแวร์ที่เปิดให้กลุ่มอื่นใช้งานร่วม https://securityonline.info/detour-dog-stealthy-dns-malware-uses-txt-records-for-command-and-control/

🕷️ “Rhadamanthys v0.9.2 กลับมาอีกครั้ง — มัลแวร์ขโมยข้อมูลที่ฉลาดขึ้น ซ่อนตัวในไฟล์ PNG พร้อมหลบการวิเคราะห์แบบมืออาชีพ” มัลแวร์ Rhadamanthys Stealer ซึ่งเปิดตัวครั้งแรกในปี 2022 ได้กลับมาอีกครั้งในเวอร์ชันใหม่ v0.9.2 พร้อมความสามารถที่อันตรายและซับซ้อนมากขึ้น โดยเวอร์ชันล่าสุดนี้ถูกใช้ในแคมเปญ ClickFix และมีการปรับปรุงหลายด้านเพื่อให้หลบเลี่ยงการตรวจจับและการวิเคราะห์จากนักวิจัยด้านความปลอดภัยได้ดีขึ้น หนึ่งในเทคนิคใหม่ที่โดดเด่นคือการซ่อน payload ในไฟล์ภาพ PNG ที่ดู “มีสัญญาณรบกวน” ซึ่งต่างจากเวอร์ชันก่อนที่ใช้ไฟล์ WAV หรือ JPG เป็นตัวบรรจุโค้ด โดยไฟล์ PNG เหล่านี้จะบรรจุโมดูลขั้นถัดไปของมัลแวร์ไว้ภายใน ทำให้การตรวจจับด้วยเครื่องมือทั่วไปยากขึ้น นอกจากนี้ Rhadamanthys ยังเพิ่มฟีเจอร์ใหม่ เช่น ⚠️ การตรวจสอบ sandbox ผ่าน wallpaper hash และ hardware ID ⚠️ การ inject โค้ดเข้าโปรเซสที่กำหนดไว้ล่วงหน้า ⚠️ การขยาย Lua plugin ให้รองรับการขโมยข้อมูลจากแอปกระเป๋าเงินคริปโต เช่น Ledger Live ⚠️ การเก็บข้อมูล fingerprint ของเบราว์เซอร์ผ่านโมดูล fingerprint.js เช่น WebGL, ฟอนต์ที่ติดตั้ง, และข้อมูลระบบ ผู้พัฒนา Rhadamanthys ยังเปิดตัวเว็บไซต์บน Tor ที่มีการรีแบรนด์ใหม่ภายใต้ชื่อ “RHAD Security” และ “Mythical Origin Labs” พร้อมขายผลิตภัณฑ์อื่น ๆ เช่น Elysium Proxy Bot และบริการเข้ารหัสข้อมูล โดยมีแพ็กเกจเริ่มต้นที่ $299 ต่อเดือน และแบบองค์กรที่ปรับแต่งได้ตามต้องการ นักวิจัยจาก Check Point Research ระบุว่า Rhadamanthys กำลังกลายเป็น “ธุรกิจไซเบอร์เต็มรูปแบบ” มากกว่าการเป็นโปรเจกต์ของแฮกเกอร์ทั่วไป และหากพัฒนาต่อไปในทิศทางนี้ เวอร์ชัน 1.0 อาจกลายเป็นแพลตฟอร์มมัลแวร์ที่เสถียรและทรงพลังที่สุดในกลุ่ม stealer ✅ ข้อมูลสำคัญจากข่าว ➡️ Rhadamanthys Stealer v0.9.2 เปิดตัวพร้อมฟีเจอร์ใหม่ที่ซับซ้อนและหลบการวิเคราะห์ได้ดีขึ้น ➡️ ใช้ไฟล์ PNG ที่มีสัญญาณรบกวนเป็นตัวบรรจุ payload แทน WAV/JPG ➡️ เพิ่มการตรวจสอบ sandbox ผ่าน wallpaper hash, username และ hardware ID ➡️ รองรับ targeted process injection เพื่อหลบการป้องกันของระบบ ➡️ ขยาย Lua plugin ให้รองรับการขโมยข้อมูลจากแอปคริปโต เช่น Ledger Live ➡️ ใช้ fingerprint.js เพื่อเก็บข้อมูลเบราว์เซอร์และระบบ เช่น WebGL และฟอนต์ ➡️ เปิดตัวเว็บไซต์ Tor ภายใต้ชื่อ RHAD Security และ Mythical Origin Labs ➡️ ขายผลิตภัณฑ์มัลแวร์แบบ subscription เริ่มต้นที่ $299 ต่อเดือน ✅ ข้อมูลเสริมจากภายนอก ➡️ Rhadamanthys เป็นมัลแวร์แบบ multi-modular ที่สามารถขโมยข้อมูลจาก VPN, 2FA, messenger และ crypto wallets ➡️ ใช้เทคนิค anti-analysis เช่นการแสดงกล่องข้อความ “Do you want to run a malware?” หากรันในสภาพแวดล้อมที่ไม่ปลอดภัย ➡️ ใช้ executable format แบบ XS ที่ออกแบบมาให้หลบเครื่องมือวิเคราะห์รุ่นเก่า ➡️ config blob ถูกปรับใหม่ให้เริ่มต้นด้วย 0xBEEF แทน !RHY และรองรับหลาย C2 address ➡️ มีการลงทุนต่อเนื่องในโครงสร้างมัลแวร์เพื่อให้ใช้งานได้ยาวนานและมีเสถียรภาพ https://securityonline.info/rhadamanthys-stealer-v0-9-2-drops-new-png-payloads-and-anti-analysis-tricks-make-malware-deadlier/

🧩 “Apache Kylin เจอช่องโหว่ 3 จุด — เสี่ยงถูกข้ามระบบยืนยันตัวตนและเจาะข้อมูลจากภายใน” Apache Kylin ซึ่งเป็นแพลตฟอร์ม OLAP สำหรับการวิเคราะห์ข้อมูลขนาดใหญ่ ถูกเปิดเผยว่ามีช่องโหว่ความปลอดภัย 3 รายการที่ส่งผลกระทบต่อเวอร์ชัน 4.0.0 ถึง 5.0.2 โดยช่องโหว่เหล่านี้ได้รับการแก้ไขแล้วในเวอร์ชัน 5.0.3 แต่ก่อนหน้านั้นมีความเสี่ยงสูงต่อองค์กรที่ใช้ระบบนี้ในการวิเคราะห์ข้อมูลธุรกิจ ช่องโหว่แรก CVE-2025-61733 เป็นช่องโหว่ระดับ “สูง” ที่อนุญาตให้ผู้โจมตีข้ามระบบยืนยันตัวตนได้โดยใช้เส้นทางหรือช่องทางทางเลือก ซึ่งหมายความว่าแฮกเกอร์สามารถเข้าถึงข้อมูลหรือฟังก์ชันการจัดการได้โดยไม่ต้องล็อกอินเลย ช่องโหว่ที่สอง CVE-2025-61734 แม้จะถูกจัดเป็นระดับ “ต่ำ” แต่ก็เปิดช่องให้ผู้โจมตีที่มีสิทธิ์เข้าถึงระบบสามารถอ่านไฟล์หรือโฟลเดอร์ที่ควรถูกจำกัดไว้ได้ หากระบบไม่ได้ตั้งค่าการป้องกันสิทธิ์อย่างรัดกุม ช่องโหว่สุดท้าย CVE-2025-61735 เป็น Server-Side Request Forgery (SSRF) ซึ่งเปิดโอกาสให้ผู้โจมตีหลอกให้เซิร์ฟเวอร์ของ Kylin ส่งคำขอไปยังระบบภายในหรือภายนอกที่ไม่ได้รับอนุญาต อาจนำไปสู่การเปิดเผยข้อมูล metadata หรือใช้เป็นจุดเริ่มต้นในการโจมตีแบบ lateral movement Apache Software Foundation แนะนำให้ผู้ใช้ทุกคนอัปเดตเป็นเวอร์ชัน 5.0.3 โดยด่วน และหากยังไม่สามารถอัปเดตได้ ควรจำกัดการเข้าถึงเครือข่ายของ Kylin และตั้งค่าการยืนยันตัวตนให้เข้มงวดมากขึ้น ✅ ข้อมูลสำคัญจากข่าว ➡️ Apache Kylin พบช่องโหว่ 3 รายการในเวอร์ชัน 4.0.0 ถึง 5.0.2 ➡️ CVE-2025-61733 เป็นช่องโหว่ Authentication Bypass ที่ร้ายแรงที่สุด ➡️ CVE-2025-61734 เปิดช่องให้เข้าถึงไฟล์หรือโฟลเดอร์ที่ควรถูกจำกัด ➡️ CVE-2025-61735 เป็น SSRF ที่อาจนำไปสู่การเปิดเผยข้อมูลภายใน ➡️ ช่องโหว่ทั้งหมดได้รับการแก้ไขในเวอร์ชัน 5.0.3 ➡️ Apache แนะนำให้อัปเดตทันทีเพื่อป้องกันการโจมตี ➡️ หากยังไม่สามารถอัปเดตได้ ควรจำกัดการเข้าถึงเครือข่ายและตั้งค่าการยืนยันตัวตนให้เข้มงวด ✅ ข้อมูลเสริมจากภายนอก ➡️ Apache Kylin เป็น OLAP engine ที่ใช้ในระบบวิเคราะห์ข้อมูลขนาดใหญ่แบบ real-time ➡️ Authentication Bypass เป็นหนึ่งในช่องโหว่ที่ถูกใช้บ่อยในการเจาะระบบองค์กร ➡️ SSRF เป็นเทคนิคที่นิยมใช้ในการเจาะระบบ cloud และ microservices ➡️ การอัปเดตเวอร์ชันเป็นวิธีป้องกันที่มีประสิทธิภาพที่สุดในกรณีนี้ ➡️ ช่องโหว่ลักษณะนี้อาจถูกใช้ร่วมกับช่องโหว่อื่นเพื่อสร้างการโจมตีแบบซับซ้อน https://securityonline.info/apache-kylin-flaw-authentication-bypass-and-ssrf-vulnerabilities-found-in-big-data-platform/

ที่ดินเขากระโดงเป็นของใคร บทความโดย : สุรวิชช์ วีรวรรณ คลิก >> https://mgronline.com/daily/detail/9680000094037

🛡️ “รีเซ็ตระบบความปลอดภัยองค์กร — บทเรียนจาก Marriott และแนวทางใหม่สำหรับ CISO ยุค AI” หลังจากเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ที่เกิดขึ้นกับ Marriott ซึ่งส่งผลกระทบต่อข้อมูลส่วนตัวของแขกกว่า 344 ล้านรายตั้งแต่ปี 2014 จนถึง 2020 หน่วยงาน FTC ของสหรัฐฯ ได้ออกคำสั่งให้บริษัทปรับโครงสร้างระบบความปลอดภัยใหม่ทั้งหมด โดยเน้นการควบคุมสิทธิ์เข้าถึง การตรวจสอบผู้ให้บริการ และการทดสอบระบบอย่างต่อเนื่อง บทเรียนสำคัญคือ: อย่ารอให้เกิดเหตุการณ์ร้ายแรงหรือคำสั่งจากภาครัฐก่อนจะปรับปรุงระบบความปลอดภัย เพราะความเสียหายที่เกิดขึ้นอาจเกินเยียวยา ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำว่า CISO ควรตั้งคำถามง่าย ๆ ว่า “ระบบความปลอดภัยของเรามีประสิทธิภาพจริงหรือไม่” และคำตอบที่ว่า “ยังไม่เคยโดนเจาะ” ไม่ใช่คำตอบที่ดีพอ สัญญาณเตือนล่วงหน้าที่ควรจับตา ได้แก่ การโจมตีที่สำเร็จมากขึ้น, ความเหนื่อยล้าจากเครื่องมือที่มากเกินไป, ความล้มเหลวด้านกฎระเบียบ และความรู้สึกในองค์กรว่าทีมความปลอดภัยเป็น “ตัวขัดขวาง” มากกว่าพันธมิตร เมื่อองค์กรต้องเปลี่ยน CISO หลังเหตุการณ์ร้ายแรง สิ่งสำคัญคือการฟื้นฟูความไว้วางใจ การรีวิวระบบแบบครบวงจรโดยบุคคลที่สาม และการประเมินว่าผู้นำระดับสูงเคยสนับสนุนทีมความปลอดภัยจริงหรือไม่ เพราะปัญหาอาจไม่ได้อยู่ที่คน แต่ที่วัฒนธรรมองค์กร CISO ใหม่ควรเริ่มต้นด้วยการ “ฟัง” — ไม่ใช่แค่ทีมความปลอดภัย แต่รวมถึง IT, ฝ่ายพัฒนา, และผู้บริหาร เพื่อเข้าใจว่าปัญหาอยู่ตรงไหน และจะสร้างความร่วมมือได้อย่างไร จากนั้นจึงค่อยหาชัยชนะเล็ก ๆ ที่เห็นผลเร็ว เพื่อสร้างแรงผลักดันให้การเปลี่ยนแปลงใหญ่เกิดขึ้นได้จริง การปรับโครงสร้างควรทำเป็นระยะ เพราะเทคโนโลยีเปลี่ยนเร็วมาก โดยเฉพาะเมื่อ AI เข้ามามีบทบาทมากขึ้น การใช้เครื่องมือที่เหมาะสม การลดจำนวนเครื่องมือที่ซ้ำซ้อน และการลงทุนในทีมงานที่มีความสามารถในการปรับตัว คือหัวใจของระบบความปลอดภัยที่ยั่งยืน ✅ ข้อมูลสำคัญจากข่าว ➡️ Marriott ถูก FTC สั่งปรับโครงสร้างระบบความปลอดภัยหลังข้อมูลรั่วไหลหลายครั้ง ➡️ ข้อมูลส่วนตัวของแขกกว่า 344 ล้านรายถูกเปิดเผยระหว่างปี 2014–2020 ➡️ การรอให้เกิดเหตุการณ์หรือคำสั่งจากภาครัฐก่อนปรับปรุงระบบเป็นความเสี่ยงสูง ➡️ สัญญาณเตือนล่วงหน้าคือการโจมตีที่เพิ่มขึ้น, ความเหนื่อยล้าจากเครื่องมือ, และความรู้สึกว่า “ความปลอดภัยคืออุปสรรค” ➡️ CISO ใหม่ควรรีวิวระบบแบบครบวงจร และประเมินการสนับสนุนจากผู้บริหาร ➡️ การฟังทีมงานทุกฝ่ายช่วยสร้างความไว้วางใจและเปิดเผยปัญหาเชิงระบบ ➡️ ควรเริ่มจากชัยชนะเล็ก ๆ ที่เห็นผลเร็วเพื่อสร้างแรงผลักดัน ➡️ การปรับโครงสร้างควรทำเป็นระยะตามการเปลี่ยนแปลงของเทคโนโลยี ➡️ การลดจำนวนเครื่องมือและใช้ AI อย่างเหมาะสมช่วยเพิ่มประสิทธิภาพ ➡️ การลงทุนในทีมงานและการฝึกอบรมคือหัวใจของระบบที่ปรับตัวได้ ✅ ข้อมูลเสริมจากภายนอก ➡️ FTC สั่งให้ Marriott ลบข้อมูลส่วนตัวที่ไม่จำเป็น และปรับปรุงระบบรีวิวบัญชีลูกค้า ➡️ การใช้ AI ในระบบความปลอดภัยสามารถเพิ่มประสิทธิภาพได้ถึง 10 เท่า ➡️ Soft skills เช่น การเจรจาและการสร้างความร่วมมือ เป็นทักษะสำคัญของ CISO ยุคใหม่ ➡️ การจ้างคนจากหลากหลายพื้นหลัง เช่น startup หรือภาครัฐ ช่วยเพิ่มมุมมองใหม่ ➡️ การใช้ cloud-native infrastructure และการ outsource บางส่วนช่วยลดภาระทีมงาน https://www.csoonline.com/article/4063708/how-to-restructure-a-security-program.html

📄 “รวมไฟล์ PDF ขนาดใหญ่แบบมือโปร — เคล็ดลับจัดการเอกสารยุคดิจิทัลให้ลื่นไหล ปลอดภัย และไม่พลาดหน้า” ในยุคที่เอกสารดิจิทัลกลายเป็นหัวใจของการทำงาน การจัดการไฟล์ PDF ขนาดใหญ่จึงเป็นเรื่องที่หลีกเลี่ยงไม่ได้ โดยเฉพาะเมื่อมีหลายไฟล์แยกกัน เช่น รายงาน, สัญญา, หรือพอร์ตโฟลิโอ การรวมไฟล์ PDF ออนไลน์จึงเป็นทางเลือกที่สะดวกและมีประสิทธิภาพ แต่ก็ต้องรู้เทคนิคเพื่อให้ผลลัพธ์ออกมาดีที่สุด การรวมไฟล์ PDF ไม่ใช่แค่การเอาหลายไฟล์มาต่อกัน — แต่คือการจัดระเบียบเอกสารให้เข้าถึงง่าย ลดความซับซ้อน และเพิ่มความน่าเชื่อถือ โดยเฉพาะในงานที่ต้องส่งต่อหรือพิมพ์ใช้งานจริง สิ่งสำคัญคือการเลือกเครื่องมือที่เหมาะสม ซึ่งควรมี UI ที่ใช้งานง่าย, รองรับไฟล์ขนาดใหญ่, และมีระบบความปลอดภัย เช่น การเข้ารหัสไฟล์ขณะอัปโหลดและดาวน์โหลด รวมถึงการลบไฟล์อัตโนมัติหลังประมวลผลเสร็จ ก่อนรวมไฟล์ ควรจัดเรียงลำดับให้เรียบร้อย เช่น การเปลี่ยนชื่อไฟล์ตามลำดับที่ต้องการ เพื่อให้การรวมออกมาเป็นเอกสารที่มีโครงสร้างชัดเจน และลดเวลาการแก้ไขภายหลัง หลังรวมแล้ว อย่าลืมใช้ฟีเจอร์ “Preview” เพื่อตรวจสอบว่าหน้าทั้งหมดอยู่ครบและเรียงถูกต้อง จากนั้นจึงดาวน์โหลดและสำรองไฟล์ไว้ในที่ปลอดภัย เช่น Cloud หรือ External Drive เพื่อป้องกันการสูญหาย หากพบปัญหา เช่น หน้าหายหรือไฟล์เสีย ควรกลับไปตรวจสอบไฟล์ต้นฉบับ หรือทดลองใช้เครื่องมืออื่นที่มีความเสถียรมากกว่า นอกจากนี้ยังมีฟีเจอร์เสริม เช่น การแยกหน้า, การแปลงไฟล์, หรือการแก้ไข PDF ที่ช่วยให้การจัดการเอกสารมีความยืดหยุ่นมากขึ้น ✅ ข้อมูลสำคัญจากข่าว ➡️ การรวมไฟล์ PDF ช่วยจัดระเบียบเอกสารให้เข้าถึงง่ายและดูเป็นมืออาชีพ ➡️ เหมาะกับงานรายงาน, พรีเซนต์, พอร์ตโฟลิโอ และเอกสารที่ต้องส่งต่อ ➡️ ควรเลือกเครื่องมือที่มี UI ใช้งานง่ายและรองรับไฟล์ขนาดใหญ่ ➡️ เครื่องมือที่ดีควรมีระบบเข้ารหัสและลบไฟล์อัตโนมัติหลังใช้งาน ➡️ ควรจัดเรียงไฟล์ก่อนอัปโหลด เช่น เปลี่ยนชื่อไฟล์ตามลำดับ ➡️ ใช้ฟีเจอร์ Preview เพื่อตรวจสอบความถูกต้องก่อนดาวน์โหลด ➡️ สำรองไฟล์ที่รวมแล้วไว้ใน Cloud หรือ External Drive เพื่อความปลอดภัย ➡️ หากพบปัญหา ควรตรวจสอบไฟล์ต้นฉบับหรือเปลี่ยนเครื่องมือที่ใช้ ➡️ มีฟีเจอร์เสริม เช่น การแยกหน้า, แปลงไฟล์, และแก้ไข PDF เพิ่มความยืดหยุ่น ✅ ข้อมูลเสริมจากภายนอก ➡️ เครื่องมือยอดนิยม เช่น PDF24, ConvertMorph, Adobe Acrobat Pro มีฟีเจอร์ครบครัน ➡️ PDF24 ทำงานบนเบราว์เซอร์ ไม่ต้องติดตั้ง และลบไฟล์อัตโนมัติหลังใช้งาน ➡️ ConvertMorph ประมวลผลไฟล์ในเครื่องผู้ใช้ ไม่อัปโหลดขึ้นเซิร์ฟเวอร์ เพิ่มความปลอดภัย ➡️ Adobe Acrobat Pro เหมาะกับงานซับซ้อน เช่น การจัดหน้า, ใส่สารบัญ, และแก้ไขเนื้อหา ➡️ การรวมไฟล์ PDF ไม่ลดคุณภาพของเอกสารต้นฉบับ เช่น รูปภาพหรือฟอนต์ https://hackread.com/tips-for-merging-large-pdf-files-online/

🔐 “OpenSSL แพตช์ช่องโหว่ 3 รายการ — เสี่ยง RCE, Side-Channel และ Crash จาก IPv6 ‘no_proxy’” OpenSSL ซึ่งเป็นไลบรารีเข้ารหัสที่ใช้กันอย่างแพร่หลายทั่วโลก ได้ออกแพตช์อัปเดตเมื่อวันที่ 30 กันยายน 2025 เพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการที่ส่งผลกระทบต่อทุกเวอร์ชันหลัก ตั้งแต่ 1.0.2 ถึง 3.5 โดยมีระดับความรุนแรงตั้งแต่ Low ถึง Moderate แต่มีผลกระทบที่อาจร้ายแรงในบางบริบท ช่องโหว่แรก (CVE-2025-9230) เป็นการอ่านและเขียนข้อมูลนอกขอบเขต (Out-of-Bounds Read & Write) ในกระบวนการถอดรหัส CMS ที่ใช้การเข้ารหัสแบบรหัสผ่าน (PWRI) ซึ่งอาจนำไปสู่การ crash หรือแม้แต่การรันโค้ดจากผู้โจมตีได้ แม้โอกาสในการโจมตีจะต่ำ เพราะ CMS แบบ PWRI ใช้น้อยมากในโลกจริง แต่ช่องโหว่นี้ยังคงถูกจัดว่า “Moderate” และส่งผลต่อทุกเวอร์ชันหลักของ OpenSSL ช่องโหว่ที่สอง (CVE-2025-9231) เป็นการโจมตีแบบ Timing Side-Channel บนแพลตฟอร์ม ARM64 ที่ใช้ SM2 algorithm ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถวัดเวลาและกู้คืน private key ได้จากระยะไกลในบางกรณี โดยเฉพาะเมื่อมีการใช้ provider แบบ custom ที่รองรับ SM2 ช่องโหว่สุดท้าย (CVE-2025-9232) เป็นการอ่านข้อมูลนอกขอบเขตใน HTTP client API เมื่อมีการตั้งค่า no_proxy และใช้ URL ที่มี IPv6 ซึ่งอาจทำให้แอปพลิเคชัน crash ได้ แม้จะมีโอกาสโจมตีต่ำ แต่ก็ส่งผลต่อระบบที่ใช้ OCSP และ CMP ที่อิง HTTP client ของ OpenSSL OpenSSL ได้ออกแพตช์สำหรับเวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm โดยแนะนำให้ผู้ใช้ทุกคนอัปเดตทันทีเพื่อป้องกันความเสี่ยง แม้ FIPS module จะไม่ได้รับผลกระทบ แต่โค้ดที่อยู่ภายนอกยังคงเสี่ยงต่อการโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ OpenSSL ออกแพตช์แก้ไขช่องโหว่ 3 รายการเมื่อวันที่ 30 กันยายน 2025 ➡️ CVE-2025-9230: Out-of-Bounds Read & Write ในการถอดรหัส CMS แบบ PWRI ➡️ CVE-2025-9231: Timing Side-Channel ใน SM2 บน ARM64 อาจกู้คืน private key ได้ ➡️ CVE-2025-9232: Out-of-Bounds Read ใน HTTP client เมื่อใช้ no_proxy กับ IPv6 ➡️ ช่องโหว่ทั้งหมดส่งผลต่อเวอร์ชัน 1.0.2 ถึง 3.5 ของ OpenSSL ➡️ แพตช์ใหม่ได้แก่เวอร์ชัน 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd และ 1.0.2zm ➡️ FIPS module ไม่ได้รับผลกระทบ เพราะโค้ดที่มีช่องโหว่อยู่ภายนอก boundary ✅ ข้อมูลเสริมจากภายนอก ➡️ SM2 เป็นอัลกอริธึมเข้ารหัสที่ใช้ในประเทศจีน และไม่เป็นมาตรฐาน TLS ทั่วไป ➡️ Timing Side-Channel เป็นเทคนิคที่ใช้วัดเวลาการประมวลผลเพื่อกู้ข้อมูลลับ ➡️ CMS (Cryptographic Message Syntax) ใช้ในระบบอีเมลและเอกสารที่เข้ารหัส ➡️ no_proxy เป็น environment variable ที่ใช้ควบคุมการ bypass proxy ใน HTTP client ➡️ OCSP และ CMP เป็นโปรโตคอลที่ใช้ตรวจสอบใบรับรองดิจิทัลในระบบ PKI https://securityonline.info/openssl-patches-three-flaws-timing-side-channel-rce-risk-and-memory-corruption-affect-all-versions/

🐍 “ช่องโหว่ RCE ร้ายแรงใน Apache Fory’s Python Module — เมื่อการ deserialize กลายเป็นประตูหลังให้แฮกเกอร์” Apache Fory ซึ่งเป็นเฟรมเวิร์ก serialization แบบ multi-language ที่เน้นประสิทธิภาพสูง ได้เปิดเผยช่องโหว่ร้ายแรงในโมดูล Python ที่ชื่อว่า “pyfory” โดยช่องโหว่นี้ถูกระบุในรหัส CVE-2025-61622 และมีระดับความรุนแรง “Critical” ด้วยคะแนน CVSS สูงสุดถึง 9.8 ช่องโหว่นี้เกิดจากการใช้ fallback serializer ที่เรียกว่า “pickle” ซึ่งเป็นกลไกใน Python สำหรับการแปลงข้อมูลให้สามารถจัดเก็บและส่งต่อได้ แต่หากนำไปใช้กับข้อมูลที่ไม่ได้รับการตรวจสอบหรือมาจากแหล่งที่ไม่เชื่อถือ ก็สามารถเปิดช่องให้แฮกเกอร์ส่งข้อมูลที่ถูกออกแบบมาเพื่อเรียกใช้ pickle.loads() ซึ่งจะนำไปสู่การรันโค้ดอันตรายจากระยะไกล (Remote Code Execution) ช่องโหว่นี้ส่งผลกระทบต่อ pyfory ตั้งแต่เวอร์ชัน 0.5.0 ถึง 0.12.2 โดยเฉพาะในแอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองหรือป้องกันอย่างเหมาะสม ทีม Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 ซึ่งได้ลบ fallback pickle serializer ออกไปโดยสิ้นเชิง เพื่อปิดช่องทางการโจมตีนี้ และแนะนำให้ผู้ใช้อัปเดตทันทีโดยไม่มีวิธีแก้ไขชั่วคราว (workaround) ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-61622 เป็น Remote Code Execution (RCE) ในโมดูล pyfory ของ Apache Fory ➡️ เกิดจากการใช้ fallback serializer แบบ pickle โดยไม่มีการป้องกัน ➡️ ผู้โจมตีสามารถส่งข้อมูลที่บังคับให้ระบบใช้ pickle.loads() ซึ่งเปิดทางให้รันโค้ดอันตราย ➡️ ส่งผลกระทบต่อเวอร์ชัน 0.5.0 ถึง 0.12.2 ของ pyfory ➡️ แอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองจะเสี่ยงสูง ➡️ Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 โดยลบ pickle fallback ออกไป ➡️ ไม่มี workaround ชั่วคราว ต้องอัปเดตแพตช์ทันที ✅ ข้อมูลเสริมจากภายนอก ➡️ pickle ใน Python เป็นเครื่องมือ serialization ที่ทรงพลังแต่มีความเสี่ยงสูง ➡️ การใช้ pickle กับข้อมูลที่ไม่ได้รับการตรวจสอบถือเป็นแนวทางที่ไม่ปลอดภัย ➡️ ช่องโหว่ลักษณะนี้เคยถูกใช้ในมัลแวร์และการโจมตีแบบ supply chain ➡️ Apache Fory เป็นเฟรมเวิร์กที่ใช้ในระบบ distributed และ AI pipeline หลายแห่ง ➡️ การลบ fallback serializer เป็นแนวทางที่ปลอดภัยที่สุดในการป้องกัน RCE https://securityonline.info/critical-rce-flaw-in-apache-forys-python-module-cve-2025-61622/

🧠 “Microsoft เปิดตัว ‘Vibe Working’ พร้อม Agent Mode ใน Word และ Excel — ยุคใหม่ของการทำงานร่วมกับ AI ที่ไม่ใช่แค่ผู้ช่วย แต่คือเพื่อนร่วมทีม” Microsoft กำลังพลิกโฉมการทำงานในออฟฟิศด้วยแนวคิดใหม่ที่เรียกว่า “Vibe Working” ซึ่งเป็นการนำ AI เข้ามาเป็นส่วนหนึ่งของกระบวนการทำงานอย่างลึกซึ้ง โดยเปิดตัวฟีเจอร์ใหม่ใน Microsoft 365 Copilot ได้แก่ “Agent Mode” สำหรับ Word และ Excel และ “Office Agent” ใน Copilot Chat เพื่อสร้างเอกสารและงานนำเสนอจากคำสั่งสนทนา Agent Mode ใน Excel ถูกออกแบบมาเพื่อให้ผู้ใช้สามารถสร้างสูตร วิเคราะห์ข้อมูล และสร้างกราฟได้โดยไม่ต้องมีความรู้เชิงลึกด้าน Excel โดย AI จะทำหน้าที่เหมือนผู้เชี่ยวชาญที่สามารถวางแผนงานหลายขั้นตอน ตรวจสอบผลลัพธ์ และปรับปรุงจนได้ผลลัพธ์ที่ถูกต้อง ใน Word ฟีเจอร์นี้เปลี่ยนการเขียนเอกสารให้กลายเป็น “การสนทนา” ผู้ใช้สามารถสั่งให้ Copilot สรุป แก้ไข หรือเขียนใหม่ตามสไตล์ที่ต้องการ พร้อมถามตอบเพื่อปรับเนื้อหาให้ตรงใจมากขึ้น ส่วน Office Agent ใน Copilot Chat จะช่วยสร้างงานนำเสนอ PowerPoint หรือเอกสาร Word จากคำสั่งสนทนา โดยใช้โมเดล AI จาก Anthropic ซึ่งสามารถค้นคว้าข้อมูลจากเว็บและจัดเรียงเนื้อหาอย่างมีโครงสร้าง ฟีเจอร์ทั้งหมดนี้เปิดให้ทดลองใช้งานผ่านโปรแกรม Frontier บนเวอร์ชันเว็บก่อน และจะขยายไปยังเวอร์ชันเดสก์ท็อปในอนาคต โดย Microsoft ตั้งเป้าให้การทำงานร่วมกับ AI กลายเป็นรูปแบบใหม่ของการสร้างสรรค์งานในยุคดิจิทัล ✅ ข้อมูลสำคัญจากข่าว ➡️ Microsoft เปิดตัวแนวคิด “Vibe Working” พร้อมฟีเจอร์ Agent Mode และ Office Agent ➡️ Agent Mode ใน Excel ช่วยสร้างสูตร วิเคราะห์ข้อมูล และสร้างกราฟจากคำสั่งธรรมดา ➡️ Agent Mode ใน Word เปลี่ยนการเขียนเอกสารให้เป็นการสนทนาแบบโต้ตอบ ➡️ Office Agent ใน Copilot Chat สร้าง PowerPoint และ Word จากคำสั่งสนทนา ➡️ ใช้โมเดล AI จาก OpenAI และ Anthropic เพื่อเพิ่มคุณภาพของผลลัพธ์ ➡️ Agent Mode ทำงานแบบหลายขั้นตอน พร้อมตรวจสอบและปรับปรุงผลลัพธ์ ➡️ เปิดให้ทดลองใช้งานผ่านโปรแกรม Frontier บนเวอร์ชันเว็บก่อน ➡️ Desktop support จะตามมาในอัปเดตถัดไป ➡️ Agent Mode ใน Excel ทำคะแนนได้ 57.2% ในการทดสอบ SpreadsheetBench เทียบกับมนุษย์ที่ได้ 71.3% ✅ ข้อมูลเสริมจากภายนอก ➡️ “Vibe Working” เป็นแนวคิดต่อยอดจาก “Vibe Coding” ที่ใช้ AI สร้างโค้ดจากคำสั่งสนทนา ➡️ SpreadsheetBench เป็นชุดทดสอบความสามารถของ AI ในการจัดการข้อมูล Excel ➡️ Anthropic เป็นบริษัท AI ที่เน้นความปลอดภัยและความเข้าใจเชิงบริบท ➡️ Microsoft 365 Copilot ได้รับการอัปเดตอย่างต่อเนื่องเพื่อรองรับการทำงานแบบ AI-first ➡️ ฟีเจอร์ใหม่ช่วยให้ผู้ใช้ทั่วไปเข้าถึงความสามารถระดับผู้เชี่ยวชาญได้ง่ายขึ้น https://securityonline.info/vibe-working-is-here-microsoft-introduces-ai-agent-mode-for-word-and-excel/

🎨 “Google เปลี่ยนโลโก้ ‘G’ เป็นแบบไล่เฉดสี — สัญลักษณ์ใหม่ของยุค AI ที่ไม่ใช่แค่เรื่องดีไซน์” หลังจากใช้โลโก้ตัวอักษร “G” แบบสี่สีแยกกันมาตั้งแต่ปี 2015 Google ได้ประกาศรีเฟรชโลโก้ครั้งใหญ่ในเดือนกันยายน 2025 โดยเปลี่ยนเป็นเวอร์ชันใหม่ที่ใช้การไล่เฉดสี (gradient) ระหว่างสีแดง เหลือง เขียว และน้ำเงิน ซึ่งยังคงเป็นสีประจำแบรนด์ แต่ถูกนำเสนอในรูปแบบที่ทันสมัยและมีชีวิตชีวามากขึ้น การเปลี่ยนแปลงนี้ไม่ใช่แค่เรื่องความสวยงาม — Google ระบุว่าโลโก้ใหม่นี้เป็น “สัญลักษณ์ของยุค AI” ที่บริษัทกำลังเข้าสู่เต็มตัว โดยเฉพาะหลังจากเปิดตัว Gemini AI ซึ่งเป็นแพลตฟอร์มปัญญาประดิษฐ์หลักของ Google ที่ถูกฝังอยู่ในบริการต่าง ๆ เช่น Search, Workspace, Chrome และ Android โลโก้แบบไล่เฉดสีนี้เริ่มปรากฏใน Google Search ตั้งแต่ต้นปี และขยายไปยังแอปอื่น ๆ อย่างต่อเนื่อง รวมถึง favicon บนเว็บไซต์และไอคอนในมือถือ โดย Google ยืนยันว่าโลโก้ใหม่นี้จะกลายเป็นสัญลักษณ์หลักของทั้งแบรนด์และองค์กร นอกจากความสดใสของสีที่ไหลลื่นต่อกัน โลโก้ใหม่นี้ยังถูกออกแบบให้ดูดีในขนาดเล็ก เช่น บนแอปมือถือหรือ favicon ซึ่งช่วยให้ผู้ใช้จดจำได้ง่ายขึ้น และสื่อถึงความลื่นไหลของประสบการณ์ใช้งานที่ขับเคลื่อนด้วย AI แม้โลโก้ “G” จะถูกเปลี่ยน แต่โลโก้คำว่า “Google” แบบเต็มยังคงเดิม เพื่อรักษาความคุ้นเคยของผู้ใช้ทั่วโลก ✅ ข้อมูลสำคัญจากข่าว ➡️ Google เปลี่ยนโลโก้ “G” จากแบบสี่สีแยกเป็นแบบไล่เฉดสี (gradient) ➡️ โลโก้ใหม่ใช้สีแดง เหลือง เขียว น้ำเงิน แบบไหลลื่นต่อกัน ➡️ เป็นการรีเฟรชครั้งใหญ่ในรอบ 10 ปี นับจากการออกแบบโลโก้ปี 2015 ➡️ โลโก้ใหม่นี้เป็นสัญลักษณ์ของยุค AI ที่ Google กำลังเข้าสู่ ➡️ เริ่มใช้ใน Google Search และขยายไปยัง Android, Chrome, Gemini และ Workspace ➡️ โลโก้แบบใหม่ดูดีในขนาดเล็ก เช่น favicon และไอคอนมือถือ ➡️ โลโก้คำว่า “Google” แบบเต็มยังคงเดิม ไม่เปลี่ยนแปลง ➡️ การเปลี่ยนแปลงนี้ช่วยให้แบรนด์มีความสอดคล้องและทันสมัยมากขึ้น ✅ ข้อมูลเสริมจากภายนอก ➡️ โลโก้ใหม่ปรากฏครั้งแรกใน Google Search บน iOS และ Pixel ก่อนขยายไป Android ➡️ Gemini AI ใช้ดีไซน์แบบ “Gemini spark” ที่สอดคล้องกับโลโก้ G แบบใหม่ ➡️ การใช้ gradient ช่วยลดขอบแข็งของสี ทำให้โลโก้กลมกลืนกับแอปอื่น ๆ ➡️ การออกแบบโลโก้ให้เหมาะกับขนาดเล็กช่วยเพิ่มการจดจำแบรนด์ในยุคมือถือ ➡️ การเปลี่ยนโลโก้เป็นส่วนหนึ่งของกลยุทธ์ “AI-first” ของ Google https://securityonline.info/google-refreshes-its-g-logo-with-a-gradient-signaling-a-new-era-focused-on-ai/

📱 “Klopatra: มัลแวร์ Android สุดแสบจากตุรกี ใช้ VNC ลับและโค้ดซ่อนระดับพาณิชย์ เจาะบัญชีธนาคารยุโรปขณะเหยื่อหลับ” Cleafy ทีมวิเคราะห์ภัยคุกคามจากอิตาลีได้เปิดเผยมัลแวร์ Android ตัวใหม่ชื่อ “Klopatra” ซึ่งเป็น Remote Access Trojan (RAT) ที่มีความซับซ้อนสูงและไม่เกี่ยวข้องกับมัลแวร์ตระกูลเดิมใด ๆ โดย Klopatra ถูกออกแบบมาเพื่อโจมตีผู้ใช้ธนาคารในยุโรป โดยเฉพาะในสเปนและอิตาลี ซึ่งมีอุปกรณ์ติดเชื้อแล้วกว่า 3,000 เครื่อง Klopatra เริ่มต้นด้วยการหลอกให้เหยื่อดาวน์โหลดแอป IPTV ปลอมชื่อ “Mobdro Pro IP TV + VPN” ซึ่งขอสิทธิ์ REQUEST_INSTALL_PACKAGES เพื่อให้สามารถติดตั้งแอปอื่นได้ เมื่อเหยื่ออนุญาต ตัว dropper จะติดตั้ง payload หลักของ Klopatra แบบเงียบ ๆ และเริ่มควบคุมอุปกรณ์ทันที มัลแวร์นี้ใช้ Accessibility Services เพื่อเข้าถึงหน้าจอ, บันทึกการพิมพ์, และควบคุมอุปกรณ์แบบไร้ร่องรอย โดยมีฟีเจอร์เด่นคือ Hidden VNC ที่ทำให้หน้าจอของเหยื่อกลายเป็นสีดำเหมือนปิดเครื่อง ขณะที่ผู้โจมตีสามารถเปิดแอปธนาคารและโอนเงินได้โดยไม่ถูกสังเกต Klopatra ยังใช้เทคนิค overlay attack โดยแสดงหน้าจอ login ปลอมที่เหมือนจริง เมื่อเหยื่อกรอกข้อมูล ระบบจะส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตีทันที สิ่งที่ทำให้ Klopatra อันตรายยิ่งขึ้นคือการใช้ Virbox ซึ่งเป็นชุดเครื่องมือป้องกันโค้ดระดับพาณิชย์ที่ใช้ในซอฟต์แวร์ถูกลิขสิทธิ์ ทำให้การวิเคราะห์และตรวจจับทำได้ยากมาก โดยโค้ดหลักถูกย้ายไปอยู่ใน native layer พร้อมกลไก anti-debugging และตรวจจับ emulator จากการวิเคราะห์ภาษาในโค้ดและเซิร์ฟเวอร์ควบคุม พบว่าผู้พัฒนา Klopatra เป็นกลุ่มที่พูดภาษาตุรกี โดยมีการใช้คำว่า “etiket” และ “bot_notu” ในระบบหลังบ้าน รวมถึงข้อความหยาบคายที่บ่งบอกถึงความหงุดหงิดจากการโจรกรรมที่ล้มเหลว มีการระบุ botnet หลัก 2 กลุ่ม ได้แก่ 🌍 สเปน: ควบคุมผ่าน adsservices[.]uk 🌍 อิตาลี: ควบคุมผ่าน adsservice2[.]org และมีเซิร์ฟเวอร์ทดสอบชื่อ guncel-tv-player-lnat[.]com Klopatra ถูกติดตามแล้วกว่า 40 เวอร์ชันตั้งแต่มีนาคม 2025 และยังคงพัฒนาอย่างต่อเนื่อง โดย Cleafy เตือนว่า นี่คือสัญญาณของการ “ยกระดับอาชญากรรมไซเบอร์บนมือถือ” ที่ใช้เทคโนโลยีระดับองค์กรเพื่อหลบเลี่ยงการตรวจจับและเพิ่มกำไรสูงสุด ✅ ข้อมูลสำคัญจากข่าว ➡️ Klopatra เป็น Android RAT ที่ใช้ Hidden VNC และ overlay attack เพื่อขโมยข้อมูลธนาคาร ➡️ เริ่มต้นด้วย dropper ปลอมชื่อ Mobdro Pro IP TV + VPN ที่ขอสิทธิ์ติดตั้งแอป ➡️ ใช้ Accessibility Services เพื่อควบคุมอุปกรณ์แบบสมบูรณ์ ➡️ Hidden VNC ทำให้หน้าจอเหยื่อกลายเป็นสีดำ ขณะผู้โจมตีควบคุมอุปกรณ์ ➡️ Overlay attack แสดงหน้าจอ login ปลอมเพื่อขโมยข้อมูลธนาคาร ➡️ ใช้ Virbox เพื่อป้องกันโค้ด ทำให้ตรวจจับและวิเคราะห์ได้ยาก ➡️ โค้ดหลักถูกย้ายไป native layer พร้อมกลไก anti-debugging และ integrity check ➡️ ผู้พัฒนาเป็นกลุ่มที่พูดภาษาตุรกี โดยมีคำในระบบหลังบ้านเป็นภาษาตุรกี ➡️ มี botnet 2 กลุ่มในสเปนและอิตาลี และเซิร์ฟเวอร์ทดสอบอีก 1 แห่ง ➡️ ติดตามแล้วกว่า 40 เวอร์ชันตั้งแต่มีนาคม 2025 ✅ ข้อมูลเสริมจากภายนอก ➡️ Virbox เป็นเครื่องมือป้องกันโค้ดที่ใช้ในซอฟต์แวร์ลิขสิทธิ์ เช่น เกมหรือแอปองค์กร ➡️ Hidden VNC เคยถูกใช้ในมัลแวร์ระดับองค์กร เช่น APT เพื่อควบคุมอุปกรณ์แบบลับ ➡️ Accessibility Services เป็นช่องโหว่ที่มัลแวร์ Android ใช้บ่อยที่สุดในช่วงหลัง ➡️ Overlay attack ถูกใช้ในมัลแวร์ธนาคารหลายตัว เช่น BRATA และ Octo ➡️ การใช้ native code ทำให้มัลแวร์หลบเลี่ยงการตรวจจับจาก antivirus ได้ดีขึ้น https://securityonline.info/klopatra-new-android-rat-uses-hidden-vnc-and-commercial-obfuscation-to-hijack-european-banking-accounts/

🛡️ “Broadcom อุดช่องโหว่ร้ายแรงใน VMware vCenter และ NSX — เมื่อการแจ้งเตือนกลายเป็นช่องทางโจมตี และการกู้รหัสผ่านกลายเป็นจุดอ่อน” Broadcom ได้ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการในผลิตภัณฑ์ VMware vCenter Server และ VMware NSX ซึ่งถูกจัดอยู่ในระดับ “Important” โดยมีคะแนน CVSS สูงสุดถึง 8.5 และได้รับการรายงานจากหน่วยงานระดับชาติอย่าง NSA และนักวิจัยด้านความปลอดภัยอิสระ ช่องโหว่แรก (CVE-2025-41250) เป็นการโจมตีแบบ SMTP Header Injection ใน vCenter ซึ่งเปิดทางให้ผู้ไม่ใช่ผู้ดูแลระบบที่มีสิทธิ์สร้าง Scheduled Task สามารถปรับแต่งอีเมลแจ้งเตือนของระบบได้ เช่น เปลี่ยนปลายทางอีเมล แทรกเนื้อหาหลอกลวง หรือหลบเลี่ยงระบบกรองอีเมล ซึ่งอาจนำไปสู่การโจมตีแบบ social engineering หรือการขโมยข้อมูล ช่องโหว่ที่สอง (CVE-2025-41251) และช่องโหว่ที่สาม (CVE-2025-41252) เกิดขึ้นใน NSX โดยเปิดช่องให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถ “enumerate” รายชื่อผู้ใช้ที่มีอยู่ในระบบได้ ผ่านกลไกการกู้รหัสผ่านที่อ่อนแอ หรือการตอบสนองของระบบที่แตกต่างกันเมื่อป้อนชื่อผู้ใช้ที่ถูกต้องและผิดพลาด ซึ่งสามารถนำไปใช้ในการโจมตีแบบ brute-force หรือ credential stuffing ได้ Broadcom ได้ออกแพตช์สำหรับ vCenter เวอร์ชัน 9.0.1.0, 8.0 U3g และ 7.0 U3w รวมถึง NSX เวอร์ชัน 9.0.1.0, 4.2.2.2, 4.2.3.1 และ 4.1.2.7 โดยไม่มีวิธีแก้ไขชั่วคราว (workaround) ทำให้องค์กรต้องอัปเดตทันทีเพื่อป้องกันการถูกโจมตี ✅ ข้อมูลสำคัญจากข่าว ➡️ Broadcom ออกแพตช์แก้ไขช่องโหว่ 3 รายการใน VMware vCenter และ NSX ➡️ ช่องโหว่ CVE-2025-41250 เป็น SMTP Header Injection ใน vCenter (CVSS 8.5) ➡️ ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบแต่มีสิทธิ์สร้าง Scheduled Task สามารถปรับแต่งอีเมลแจ้งเตือนได้ ➡️ ช่องโหว่ CVE-2025-41251 เป็นกลไกกู้รหัสผ่านที่อ่อนแอใน NSX (CVSS 8.1) ➡️ ช่องโหว่ CVE-2025-41252 เป็นการเปิดเผยชื่อผู้ใช้ใน NSX โดยไม่ต้องยืนยันตัวตน (CVSS 7.5) ➡️ ช่องโหว่ทั้งสามสามารถนำไปสู่การโจมตีแบบ brute-force หรือ credential stuffing ➡️ Broadcom ได้ออกแพตช์สำหรับ vCenter เวอร์ชัน 9.0.1.0, 8.0 U3g และ 7.0 U3w ➡️ NSX ได้รับแพตช์ในเวอร์ชัน 9.0.1.0, 4.2.2.2, 4.2.3.1 และ 4.1.2.7 ➡️ ไม่มี workaround สำหรับช่องโหว่เหล่านี้ ต้องอัปเดตทันที ✅ ข้อมูลเสริมจากภายนอก ➡️ NSA เป็นผู้รายงานช่องโหว่สองรายการใน NSX ซึ่งสะท้อนถึงความสำคัญระดับประเทศ ➡️ การโจมตีแบบ SMTP Header Injection สามารถใช้เพื่อหลอกลวงผู้ใช้ผ่านอีเมลปลอม ➡️ การ enumerate รายชื่อผู้ใช้เป็นขั้นตอนแรกของการโจมตีแบบเจาะระบบ ➡️ VMware vCenter และ NSX เป็นส่วนสำคัญในระบบคลาวด์ขององค์กรขนาดใหญ่ ➡️ ช่องโหว่ในระบบ virtualization มักเป็นเป้าหมายของ ransomware และกลุ่มแฮกเกอร์รัฐ https://securityonline.info/broadcom-fixes-multiple-vmware-vcenter-and-nsx-vulnerabilities/