“CIA Triad หมดเวลาแล้ว – ยุคใหม่ของ Cybersecurity ต้องคิดลึกกว่าความลับ ความถูกต้อง และความพร้อมใช้งาน”

ลองจินตนาการว่าองค์กรของคุณกำลังเผชิญกับภัยคุกคามจาก ransomware, deepfake, หรือการโจมตีผ่านซัพพลายเชน แต่ระบบความปลอดภัยที่ใช้อยู่ยังยึดติดกับโมเดลเก่าแก่จากยุคสงครามเย็นที่เรียกว่า “CIA Triad” ซึ่งประกอบด้วย Confidentiality (ความลับ), Integrity (ความถูกต้อง), และ Availability (ความพร้อมใช้งาน)

บทความจาก CSO Online โดย Loris Gutic ได้ชี้ให้เห็นว่าโมเดลนี้ไม่สามารถรับมือกับภัยคุกคามยุคใหม่ได้อีกต่อไป และเสนอโมเดลใหม่ที่เรียกว่า “3C Model” ซึ่งประกอบด้วย Core, Complementary และ Contextual เพื่อสร้างระบบความปลอดภัยที่มีชั้นเชิงและตอบโจทย์โลกยุค AI และ Zero Trust

ผมขอเสริมว่าในปี 2025 ความเสียหายจาก cybercrime ทั่วโลกมีมูลค่ากว่า 10 ล้านล้านดอลลาร์ และองค์กรที่ยังยึดติดกับโมเดลเก่าอาจเสี่ยงต่อการสูญเสียทั้งข้อมูล ความเชื่อมั่น และชื่อเสียงอย่างรุนแรง

จุดอ่อนของ CIA Triad
โมเดลนี้ถูกออกแบบมาในยุค 1970s สำหรับระบบทหารและรัฐบาล
ไม่สามารถรองรับภัยคุกคามใหม่ เช่น deepfake, ransomware, หรือการโจมตีผ่าน AI
ขาดภาษาที่ใช้สื่อสารเรื่อง “ความถูกต้องแท้จริง” หรือ “ความยืดหยุ่นในการฟื้นตัว”

ตัวอย่างที่ CIA Triad ล้มเหลว
Ransomware ไม่ใช่แค่ปัญหาความพร้อมใช้งาน แต่คือการขาด “resilience”
Deepfake อาจมี integrity ที่สมบูรณ์ แต่ขาด authenticity ทำให้เกิดความเสียหายร้ายแรง
การพยายามยัดแนวคิดใหม่เข้าไปในโครงสร้างเก่า ทำให้เกิดช่องโหว่ที่แฮกเกอร์ใช้ประโยชน์

โมเดลใหม่: 3C Layered Information Security Model
Core: ความเชื่อมั่นทางเทคนิค เช่น authenticity, accountability, resilience
Complementary: การกำกับดูแล เช่น privacy by design, data provenance
Contextual: ผลกระทบต่อสังคม เช่น safety ในโครงสร้างพื้นฐาน, ความเชื่อมั่นของผู้ใช้
โมเดลนี้ช่วยให้ CISO พูดกับบอร์ดได้ในภาษาของธุรกิจ ไม่ใช่แค่ไฟร์วอลล์

ประโยชน์ของ 3C Model
ช่วยจัดระเบียบจากความวุ่นวายของ framework ต่าง ๆ เช่น ISO, NIST, GDPR
ทำให้สามารถ “map once, satisfy many” ลดงานซ้ำซ้อน
เปลี่ยนบทบาทของ CISO จากช่างเทคนิคเป็นพันธมิตรเชิงกลยุทธ์

คำเตือนสำหรับองค์กรที่ยังใช้ CIA Triad
ไม่สามารถรับมือกับ Zero Trust หรือกฎหมาย AI ใหม่ ๆ ได้
เสี่ยงต่อการโจมตีที่ซับซ้อน เช่น deepfake หรือการเจาะผ่านซัพพลายเชน
อาจทำให้บอร์ดบริหารเข้าใจผิดว่าระบบปลอดภัย ทั้งที่จริงมีช่องโหว่ร้ายแรง
การไม่ปรับเปลี่ยนโมเดล อาจทำให้องค์กรสูญเสียความเชื่อมั่นจากลูกค้าและสังคม

https://www.csoonline.com/article/4070548/the-cia-triad-is-dead-stop-using-a-cold-war-relic-to-fight-21st-century-threats.html

“เมื่อ AI ป้องกันตัวเองไม่ได้ – ช่องโหว่ Guardrails ของ OpenAI ถูกเจาะด้วยคำสั่งหลอก”

ลองจินตนาการว่าเราสร้างระบบรักษาความปลอดภัยให้บ้าน แล้วใช้คนออกแบบบ้านเป็นคนตรวจสอบความปลอดภัยเอง… นั่นคือสิ่งที่เกิดขึ้นกับระบบ Guardrails ของ OpenAI ที่เพิ่งเปิดตัวไปไม่นาน

Guardrails เป็นระบบที่ออกแบบมาเพื่อป้องกันไม่ให้ AI ทำสิ่งที่เป็นอันตราย เช่น การเปิดเผยข้อมูลส่วนตัว หรือการตอบสนองต่อคำสั่งที่พยายาม “หลอก” ให้ AI ละเมิดกฎของตัวเอง ซึ่งเรียกว่า “Prompt Injection” หรือ “Jailbreak”

แต่สิ่งที่นักวิจัยจากบริษัท HiddenLayer พบคือ ระบบนี้สามารถถูกหลอกได้ง่ายอย่างน่าตกใจ โดยใช้เทคนิคที่เรียกว่า “Same Model, Different Hat” คือใช้โมเดลเดียวกันทั้งในการตอบคำถามและในการตรวจสอบความปลอดภัย ซึ่งทำให้สามารถหลอกได้ทั้งสองส่วนพร้อมกัน

พวกเขาสามารถทำให้ระบบตอบสนองต่อคำสั่งที่ควรถูกบล็อก และยังสามารถหลอกให้ระบบเชื่อว่าคำสั่งนั้นปลอดภัย ทั้งที่จริงแล้วเป็นการเจาะระบบอย่างแนบเนียน

ระบบ Guardrails ของ OpenAI
เป็นเครื่องมือใหม่ที่ออกแบบมาเพื่อป้องกันการละเมิดกฎโดย AI
ใช้โมเดล AI เป็น “ผู้พิพากษา” เพื่อตรวจสอบคำสั่งที่เข้ามา
มีเป้าหมายเพื่อป้องกันการเปิดเผยข้อมูลส่วนตัวและการตอบสนองต่อคำสั่งอันตราย

ช่องโหว่ที่ถูกค้นพบ
นักวิจัยสามารถหลอกระบบให้ตอบสนองต่อคำสั่งที่ควรถูกบล็อก
เทคนิค “Same Model, Different Hat” ทำให้ระบบตรวจสอบและตอบคำสั่งถูกหลอกพร้อมกัน
มีการเจาะผ่าน “Indirect Prompt Injection” ที่ซ่อนอยู่ในคำสั่งหรือการเรียกใช้เครื่องมือ

ผลกระทบต่อความปลอดภัย
ระบบให้ความมั่นใจผิด ๆ ว่าปลอดภัย
องค์กรที่ใช้ AI อาจเสี่ยงต่อการรั่วไหลของข้อมูลหรือการถูกโจมตี

คำเตือนสำหรับผู้พัฒนาและผู้ใช้งาน AI
ไม่ควรใช้โมเดลเดียวกันในการตรวจสอบและตอบสนองคำสั่ง
ต้องมีระบบตรวจสอบภายนอกที่เป็นอิสระจากตัวโมเดลหลัก
ควรทดสอบระบบอย่างต่อเนื่องโดยผู้เชี่ยวชาญด้านความปลอดภัย

ความเสี่ยงในอนาคต
หากไม่แก้ไข ช่องโหว่เหล่านี้อาจถูกใช้ในการโจมตีจริง
การพึ่งพา AI โดยไม่มีระบบป้องกันที่แข็งแรง อาจนำไปสู่ความเสียหายระดับองค์กร

https://hackread.com/openai-guardrails-bypass-prompt-injection-attack/

“ช่องโหว่ร้ายแรงใน Elastic Cloud (CVE-2025-37729) เปิดทาง RCE ผ่าน Jinjava Template Injection — คะแนนความรุนแรง 9.1 เต็ม 10”

Elastic ได้ออกประกาศเตือนเกี่ยวกับช่องโหว่ความปลอดภัยระดับวิกฤตใน Elastic Cloud Enterprise (ECE) ซึ่งได้รับรหัส CVE-2025-37729 และมีคะแนน CVSS สูงถึง 9.1 โดยช่องโหว่นี้เกิดจากการจัดการอินพุตที่ไม่ปลอดภัยในเครื่องมือ template engine ที่ชื่อว่า Jinjava ซึ่งถูกใช้ในระบบการตั้งค่าของ ECE

ปัญหานี้เกิดจากการที่ Jinjava ไม่สามารถ neutralize อักขระพิเศษได้อย่างเหมาะสม ทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบ (Admin) สามารถส่งสตริงที่ออกแบบมาเฉพาะเพื่อให้ Jinjava ประมวลผลเป็นคำสั่ง และนำไปสู่การรันโค้ดบนเซิร์ฟเวอร์ (Remote Code Execution - RCE) หรือการขโมยข้อมูลที่ละเอียดอ่อน

ช่องโหว่นี้ส่งผลกระทบต่อ ECE เวอร์ชัน 2.5.0 ถึง 3.8.1 และ 4.0.0 ถึง 4.0.1 โดยเฉพาะระบบที่เปิดใช้งานฟีเจอร์ Logging+Metrics ซึ่งเป็นช่องทางที่ผู้โจมตีสามารถฝัง payload และอ่านผลลัพธ์ผ่าน log ได้

Elastic ได้ออกแพตช์แก้ไขในเวอร์ชัน 3.8.2 และ 4.0.2 ซึ่งมีการปรับปรุงการประเมินตัวแปรของ Jinjava และป้องกันการใช้โครงสร้างที่ไม่ปลอดภัย พร้อมแนะนำให้ผู้ดูแลระบบตรวจสอบ log ด้วย query พิเศษ เช่น (payload.name : int3rpr3t3r or payload.name : forPath) เพื่อหาสัญญาณของการโจมตี

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-37729 มีคะแนน CVSS 9.1
เกิดจากการจัดการอินพุตไม่ปลอดภัยใน Jinjava template engine
ผู้โจมตีที่มีสิทธิ์ Admin สามารถรันโค้ดหรือขโมยข้อมูลได้
ส่งผลกระทบต่อ ECE เวอร์ชัน 2.5.0–3.8.1 และ 4.0.0–4.0.1
ระบบที่เปิดใช้ Logging+Metrics เสี่ยงมากเป็นพิเศษ
Elastic ออกแพตช์ในเวอร์ชัน 3.8.2 และ 4.0.2
มี query สำหรับตรวจสอบ log: (payload.name : int3rpr3t3r or payload.name : forPath)
แนะนำให้จำกัดสิทธิ์ Admin และปิด Logging+Metrics บน deployment ที่ไม่เชื่อถือ

ข้อมูลเสริมจากภายนอก
Jinjava เป็น template engine ที่ใช้ syntax คล้าย Jinja2 ของ Python
Template Injection เป็นเทคนิคที่ใช้ฝังคำสั่งในระบบที่ประมวลผล template โดยตรง
RCE เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะเปิดทางให้ควบคุมระบบจากระยะไกล
Logging+Metrics เป็นฟีเจอร์ที่ช่วยตรวจสอบระบบ แต่หากไม่ป้องกันดีอาจกลายเป็นช่องโหว่
การอัปเดตแพตช์ทันทีเป็นวิธีป้องกันที่ดีที่สุด

https://securityonline.info/critical-elastic-cloud-flaw-cve-2025-37729-cvss-9-1-allows-rce-via-jinjava-template-injection/

“SVG Smuggling กลับมาอีกครั้ง — ล่อเหยื่อด้วยเอกสารปลอมจากศาลโคลอมเบีย ติดตั้ง AsyncRAT ผ่าน HTA file”

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ตรวจพบแคมเปญโจมตีใหม่ที่ใช้เทคนิค “SVG Smuggling” ร่วมกับไฟล์ HTA (HTML Application) เพื่อแพร่กระจายมัลแวร์ควบคุมระยะไกลชื่อ AsyncRAT โดยแฮ็กเกอร์ใช้เอกสารปลอมที่ดูเหมือนเป็นหมายเรียกจากศาลโคลอมเบียเพื่อหลอกให้เหยื่อเปิดไฟล์ SVG ที่ฝังโค้ดอันตรายไว้

เมื่อเหยื่อเปิดไฟล์ SVG ที่แนบมาในอีเมล ฟังก์ชัน JavaScript ภายในจะถูกเรียกใช้เพื่อสร้างไฟล์ HTA ที่มีโค้ด PowerShell ซึ่งจะดาวน์โหลดและติดตั้ง AsyncRAT โดยไม่ต้องใช้ไฟล์แนบแบบ .exe หรือ .zip ที่มักถูกระบบอีเมลบล็อกไว้

AsyncRAT เป็นมัลแวร์ที่สามารถควบคุมเครื่องของเหยื่อจากระยะไกลได้อย่างสมบูรณ์ เช่น การบันทึกคีย์ การเปิดกล้อง การขโมยข้อมูล และการติดตั้งมัลแวร์เพิ่มเติม โดยมีการเข้ารหัสการสื่อสารเพื่อหลบเลี่ยงการตรวจจับ

การใช้ SVG Smuggling ถือเป็นเทคนิคที่ซับซ้อนและยากต่อการตรวจจับ เพราะไฟล์ SVG มักถูกมองว่าเป็นไฟล์ภาพธรรมดา และสามารถฝัง JavaScript ได้โดยไม่ถูกสแกนจากระบบป้องกันทั่วไป

ข้อมูลสำคัญจากข่าว
แฮ็กเกอร์ใช้เอกสารปลอมจากศาลโคลอมเบียเพื่อหลอกเหยื่อ
ใช้เทคนิค SVG Smuggling เพื่อฝังโค้ด JavaScript
JavaScript สร้างไฟล์ HTA ที่มี PowerShell สำหรับติดตั้ง AsyncRAT
AsyncRAT สามารถควบคุมเครื่องเหยื่อจากระยะไกล
การสื่อสารของ AsyncRAT ถูกเข้ารหัสเพื่อหลบเลี่ยงการตรวจจับ
SVG Smuggling เป็นเทคนิคที่ยากต่อการตรวจจับโดยระบบทั่วไป

ข้อมูลเสริมจากภายนอก
HTA file เป็นไฟล์ที่สามารถรันสคริปต์ได้โดยตรงใน Windows
PowerShell เป็นเครื่องมือที่ถูกใช้บ่อยในการโจมตีแบบ fileless
AsyncRAT เป็น open-source RAT ที่ถูกใช้ในหลายแคมเปญโจมตี
SVG Smuggling เคยถูกใช้ในแคมเปญโจมตี Microsoft 365 และ Google Workspace
การฝัง JavaScript ใน SVG สามารถหลบการสแกนของระบบอีเมลและ endpoint

https://securityonline.info/svg-smuggling-fake-colombian-judicial-lure-deploys-asyncrat-via-malicious-hta-file/

“Claude Sonnet 4.5 จาก Anthropic เขียนโค้ดต่อเนื่อง 30 ชั่วโมง — ก้าวใหม่ของ AI ด้านการพัฒนาโปรแกรม”

Anthropic บริษัท AI คู่แข่งของ OpenAI ได้ประกาศความสำเร็จครั้งสำคัญในการพัฒนาโมเดล AI สำหรับงานเขียนโปรแกรม โดย Claude Sonnet 4.5 สามารถทำงานเขียนโค้ดได้ต่อเนื่องถึง 30 ชั่วโมงโดยไม่สะดุด ซึ่งถือเป็นการพัฒนาอย่างก้าวกระโดดจากเวอร์ชันก่อนหน้าที่ทำงานได้เพียง 7 ชั่วโมง

Sean Ward ซีอีโอของ Anthropic ระบุว่า “Claude Sonnet 4.5 ได้เปลี่ยนความคาดหวังของเรา — มันช่วยให้วิศวกรสามารถจัดการงานโครงสร้างซับซ้อนที่กินเวลาหลายเดือนให้เสร็จได้ในเวลาอันสั้น พร้อมรักษาความสอดคล้องของโค้ดขนาดใหญ่ได้อย่างดีเยี่ยม”

นอกจากความสามารถในการเขียนโค้ดต่อเนื่องแล้ว Claude Sonnet 4.5 ยังมีจุดเด่นด้านการตรวจจับช่องโหว่ในซอฟต์แวร์ ซึ่งช่วยลดความเสี่ยงจากการโจมตีทางไซเบอร์ และถูกนำไปใช้จริงในการพัฒนาซอฟต์แวร์ภายในของบริษัท

การพัฒนา AI ด้านการเขียนโปรแกรมกำลังกลายเป็นสนามแข่งขันใหม่ของบริษัทเทคโนโลยี โดย OpenAI เองก็เปิดตัว Codex สำหรับนักพัฒนาไปก่อนหน้านี้ และ Claude Sonnet 4.5 ถือเป็นการตอบโต้ที่ทรงพลังจากฝั่ง Anthropic

ข้อมูลสำคัญจากข่าว
Claude Sonnet 4.5 เขียนโค้ดต่อเนื่องได้ถึง 30 ชั่วโมง
เวอร์ชันก่อนหน้าทำงานได้เพียง 7 ชั่วโมง
ช่วยวิศวกรลดเวลาในการจัดการโครงสร้างซอฟต์แวร์ขนาดใหญ่
ตรวจจับช่องโหว่ในโค้ดที่อาจถูกใช้โจมตีทางไซเบอร์
ถูกนำไปใช้จริงในการพัฒนาซอฟต์แวร์ของ Anthropic
เป็นคู่แข่งโดยตรงกับ Codex จาก OpenAI

ข้อมูลเสริมจากภายนอก
Claude Sonnet 4.5 ใช้เทคนิค reasoning agent และ memory optimization เพื่อรักษาความต่อเนื่อง
การเขียนโค้ดต่อเนื่องช่วยลด context switching ของนักพัฒนา
การตรวจจับช่องโหว่ด้วย AI ช่วยลดภาระของทีม security
Claude Sonnet 4.5 รองรับการเขียนหลายภาษา เช่น Python, JavaScript, Go และ Rust
โมเดลนี้สามารถทำงานร่วมกับ IDE ผ่าน API ได้โดยตรง

คำเตือนและข้อจำกัด
Claude Sonnet 4.5 ยังอยู่ในช่วงทดลอง อาจมีข้อผิดพลาดในการวิเคราะห์โค้ด
การพึ่งพา AI ในการเขียนโค้ดทั้งหมดอาจทำให้เกิด blind spot ด้านความปลอดภัย
การตรวจจับช่องโหว่ด้วย AI ยังไม่สามารถแทนที่การตรวจสอบจากผู้เชี่ยวชาญได้
การใช้งานต่อเนื่อง 30 ชั่วโมงอาจต้องการทรัพยากรระบบสูง
การนำไปใช้ในองค์กรต้องมีการปรับแต่งและควบคุมสิทธิ์การเข้าถึงอย่างรัดกุม

https://www.thestar.com.my/tech/tech-news/2025/10/12/anthropic039s-new-ai-model-can-write-code-for-30-hours-straight

“ChaosBot: มัลแวร์สายลับยุคใหม่ ใช้ Discord เป็นช่องสั่งการ — เจาะระบบการเงินผ่าน VPN และบัญชีแอดมิน”

นักวิจัยจาก eSentire Threat Response Unit (TRU) ตรวจพบมัลแวร์ตัวใหม่ชื่อ “ChaosBot” ที่เขียนด้วยภาษา Rust และถูกใช้ในการโจมตีองค์กรด้านการเงิน โดยมีความสามารถพิเศษคือใช้ Discord เป็นช่องทาง Command-and-Control (C2) แบบเต็มรูปแบบ ซึ่งถือเป็นการผสมผสานระหว่างแพลตฟอร์มโซเชียลกับการปฏิบัติการไซเบอร์อย่างแนบเนียน

ChaosBot ถูกควบคุมผ่านบัญชี Discord ที่ใช้ bot token แบบ hardcoded และสร้าง channel ใหม่ตามชื่อเครื่องที่ติดมัลแวร์ เพื่อให้แฮกเกอร์สามารถส่งคำสั่ง เช่น รัน PowerShell, ดาวน์โหลดไฟล์, อัปโหลดข้อมูล หรือจับภาพหน้าจอได้แบบเรียลไทม์

การติดตั้งมัลแวร์เริ่มจากการใช้บัญชี Active Directory ที่มีสิทธิ์สูง (เช่น serviceaccount) และ VPN ของ Cisco ที่ถูกขโมยมา จากนั้นใช้ WMI เพื่อรันคำสั่งระยะไกลและโหลด DLL ที่ชื่อ msedge_elf.dll โดยใช้เทคนิค side-loading ผ่านไฟล์ identity_helper.exe ของ Microsoft Edge

หลังจากติดตั้งแล้ว ChaosBot จะทำการสำรวจระบบและติดตั้ง Fast Reverse Proxy (FRP) เพื่อเปิดช่องทางสื่อสารกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ โดยใช้ SOCKS5 plugin และ IP จาก AWS ฮ่องกง นอกจากนี้ยังมีการทดลองใช้ฟีเจอร์ Tunnel ของ Visual Studio Code เพื่อสร้าง backdoor เพิ่มเติม

มัลแวร์ยังถูกกระจายผ่านแคมเปญ phishing ที่ใช้ไฟล์ .LNK และ PowerShell script พร้อมเปิด PDF หลอกล่อ เช่นจดหมายปลอมจากธนาคารกลางเวียดนาม เพื่อเบี่ยงเบนความสนใจของเหยื่อ

ข้อมูลสำคัญจากข่าว
ChaosBot เป็นมัลแวร์ภาษา Rust ที่ใช้ Discord เป็นช่องทาง C2
สร้าง channel ใหม่ตามชื่อเครื่องที่ติดมัลแวร์เพื่อควบคุมแบบเรียลไทม์
ใช้บัญชี Active Directory และ VPN ที่ถูกขโมยมาเพื่อรันคำสั่งผ่าน WMI
โหลด DLL ผ่าน side-loading โดยใช้ไฟล์จาก Microsoft Edge
ติดตั้ง FRP เพื่อเปิด reverse proxy กลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์
ใช้ SOCKS5 plugin และ IP จาก AWS ฮ่องกง
ทดลองใช้ Tunnel ของ Visual Studio Code เพื่อสร้าง backdoor เพิ่ม
กระจายผ่าน phishing ที่ใช้ไฟล์ .LNK และ PowerShell script พร้อม PDF หลอก
บัญชี Discord ที่ใช้ควบคุมคือ chaos_00019 และ lovebb0024
มีการใช้คำสั่ง shell, download, upload และ screenshot ผ่าน Discord

ข้อมูลเสริมจากภายนอก
Rust เป็นภาษาที่นิยมใช้ในมัลแวร์ยุคใหม่เพราะประสิทธิภาพสูงและตรวจจับยาก
Discord API เปิดให้สร้าง bot และ channel ได้ง่าย ทำให้ถูกใช้เป็น C2 ได้สะดวก
FRP เป็นเครื่องมือโอเพ่นซอร์สที่ใช้สร้าง reverse proxy แบบเข้ารหัส
WMI (Windows Management Instrumentation) เป็นช่องทางรันคำสั่งระยะไกลที่นิยมในองค์กร
Side-loading คือเทคนิคที่ใช้ไฟล์จากโปรแกรมจริงเพื่อโหลด DLL อันตรายโดยไม่ถูกตรวจจับ

https://securityonline.info/new-rust-backdoor-chaosbot-uses-discord-as-covert-c2-channel-to-target-financial-services/

“7-Zip พบช่องโหว่ร้ายแรง! เปิดทางแฮกเกอร์รันโค้ดผ่าน ZIP — ผู้ใช้ควรอัปเดตเป็นเวอร์ชัน 25.00 ด่วน”

Zero Day Initiative (ZDI) ได้เปิดเผยช่องโหว่ร้ายแรง 2 รายการในโปรแกรมบีบอัดไฟล์ยอดนิยมอย่าง 7-Zip ซึ่งอาจเปิดโอกาสให้แฮกเกอร์รันโค้ดอันตรายบนเครื่องของผู้ใช้ได้ โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-11001 และ CVE-2025-11002 และได้รับการแก้ไขแล้วในเวอร์ชัน 25.00

ช่องโหว่เกิดจากการจัดการ symbolic links ภายในไฟล์ ZIP ที่ไม่ปลอดภัย ทำให้ไฟล์สามารถ “หลุด” ออกจากโฟลเดอร์ที่ตั้งใจไว้ และไปเขียนทับไฟล์สำคัญในระบบได้ เช่น ไฟล์ startup หรือ configuration ซึ่งอาจนำไปสู่การรันโค้ดโดยอัตโนมัติเมื่อระบบเปิดใช้งาน

แม้การโจมตีจะต้องอาศัยการเปิดหรือแตกไฟล์ ZIP โดยผู้ใช้ แต่ในหลายกรณี เช่น ระบบเซิร์ฟเวอร์หรือบริการคลาวด์ที่ใช้ 7-Zip แบบอัตโนมัติ อาจถูกโจมตีโดยไม่ต้องมีการโต้ตอบจากผู้ใช้เลย

ZDI เตือนว่าแฮกเกอร์สามารถใช้ช่องโหว่นี้ในการส่งไฟล์ ZIP ปลอมที่ดูเหมือนเอกสารทั่วไป เช่น เรซูเม่ ใบแจ้งหนี้ หรือไฟล์โปรเจกต์ เพื่อหลอกให้ผู้ใช้เปิดด้วย 7-Zip และนำไปสู่การรันโค้ดอันตรายทันที

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-11001 และ CVE-2025-11002 ถูกค้นพบในโปรแกรม 7-Zip
ช่องโหว่เกิดจากการจัดการ symbolic links ในไฟล์ ZIP ที่ไม่ปลอดภัย
ไฟล์ ZIP สามารถหลุดออกจากโฟลเดอร์ที่ตั้งใจไว้และเขียนทับไฟล์ระบบ
อาจนำไปสู่การรันโค้ดอันตรายในบริบทของ service account
การโจมตีสามารถเกิดขึ้นได้แม้ไม่มีการโต้ตอบจากผู้ใช้ในระบบอัตโนมัติ
แฮกเกอร์สามารถปลอมไฟล์ ZIP ให้ดูเหมือนเอกสารทั่วไปเพื่อหลอกผู้ใช้
ช่องโหว่ได้รับการแก้ไขแล้วใน 7-Zip เวอร์ชัน 25.00

ข้อมูลเสริมจากภายนอก
symbolic link คือไฟล์ที่ชี้ไปยังไฟล์หรือโฟลเดอร์อื่นในระบบ
directory traversal เป็นเทคนิคที่ใช้หลบหลีกข้อจำกัดของ path เพื่อเข้าถึงไฟล์ที่ไม่ควรเข้าถึง
service account มักมีสิทธิ์สูงในระบบ ทำให้การโจมตีมีผลกระทบรุนแรง
7-Zip เป็นโปรแกรมโอเพ่นซอร์สที่นิยมใช้ในระบบเซิร์ฟเวอร์และองค์กร
การอัปเดตเวอร์ชันล่าสุดช่วยป้องกันการโจมตีแบบ zero-click ในระบบอัตโนมัติ

https://securityonline.info/two-7-zip-flaws-allow-code-execution-via-malicious-zip-files-cve-2025-11001-cve-2025-11002/

เมื่อคืนที่ผ่านมาเซเลนสกีสั่งกองทัพยูเครนใช้จรวดหลายลำกล้อง HIMARS โจมตีใส่เมื่อโดเนตสค์ (DONETSK) เป้าหมายศูนย์การค้า "Sigma" ส่งผลให้อาคารทั้งหลังถูกไฟไหม้จนหมดสิ้น

การโจมตีครั้งนี้เกิดขึ้นหลังจากการสนทนาทางโทรศัพท์ระหว่างเซเลนสกีและโดนัลด์ ทรัมป์

กลืนไม่เข้าคายไม่ออก ตอนที่ 3
นิทานเรื่องจริง เรื่อง “กลืนไม่เข้าคายไม่ออก”
ตอนที่ 3 (ตอนจบ)
การ ปรับนโยบาย Right Sizing ของอเมริกา น่าจะต้องเกิดขึ้นแน่นอน พิจารณาจากข่าวของ นสพ. วอชิงตันโพสต์ที่รายงานเมื่อวันที่ 17 กันยายน ค.ศ.2014 ว่า ได้มีการประชุมลับที่ Pentagon ในช่วงดังกล่าว เพื่อหารือเกี่ยวกับนโยบายของสหรัฐในอิรัก และตะวันออกลาง โดยมีนาย John J. Hamre ประธาน ของ The Defense Policy Board ซึ่งทำหน้าที่ให้คำปรึกษาแก่ รมว.กลาโหม Chuck Hagel เกี่ยวกับเรื่องละเอียดอ่อนทั้งปวง รวมทั้งรวบรวมข้อมูลระดับสุดยอดให้ด้วย นาย Hamre ยังมีตำแหน่งเป็นหัวหน้าฝ่ายบริหารของถังความคิด think tank ทรงอิทธิพลของอเมริกาคือ Centre for Strategic and International Studies (CSIS) อีกด้วย
การประชุมดังกล่าวกำหนดไว้ 2 วัน ผู้เข้าร่วมประชุม มีระดับหัวกะทิข้นคลั่กของอเมริกาเข้าร่วมด้วยคือ นาย Zbigniew Brzezinski ตัวแสบ ซึ่งเป็นที่ปรึกษาด้านความมั่นคง สมัยประธานาธิบดี Carter คนขายถั่ว และเป็น trustee ของ CSIS และประธานร่วมของคณะที่ปรึกษา CSIS (ตำแหน่งมันยาวเหยียด เขียนไม่หมด เอาแค่นี้ก็พอเห็นฤทธิ์ และความใหญ่ของมันนะครับ) นอกจากนี้ ยังมีอดีต รมว.ต่างประเทศ Madeleine K. Albright (ซึ่งแม้จะเป็น รมว ต่างประเทศสมัย Clinton แต่เมื่อคาวบอย Bush จะขี่ช้างไปขยี้อิรัก เขาได้เชิญให้ Albright เป็นที่ปรึกษาด้วย) อดีตวุฒิสมาชิก Sam Nunn ประธาน Board of Trustee ของ CSIS และปัจจุบัน ดำรงตำแหน่งหัวหน้าสถาบัน Nuclear Threat Initiative (NTI) อืม น่าสนใจ! (มีเมียเป็น CIA ตัวใหญ่ และเขาเคยเป็นตัวเลือกที่จะเป็นผู้เข้าแข่งเป็นรองประธานาธิบดี คู่กับ Obama แต่ Obama กลับเลือก Joe Biden แทน) นอกจากนี้ผู้เข้าร่วมประชุมยังมี Jane Harman ประธานถังความคิด think tank อีกใบ ที่มีอิทธิพลไม่น้อยกว่ากันคือ the Woodlow Wilson International Centre for Scholars และนาย Ryan Crocker อดีตฑูตอเมริกันในอิรัก
นอกเหนือ จากผู้เข้าประชุมข้างต้น ซึ่งใหญ่คับห้องและน่าสนใจแล้ว Washington Post ยังบอกว่า ในการประชุม มีแขกพิเศษ 2 คน เข้าร่วมด้วย คนหนึ่งคือฑูตจาก UAE อีกคนคือ ฑูตของอังกฤษ ชาวเกาะใหญ่เท่านิ้วก้อยข้างซ้าย ฯ !!!
หลัง จากการประชุมลับจบ นักข่าวถามนาย Hamre ว่า ประชุมเรื่องอะไรกัน เห็นต่างชาติเข้ามาประชุมเกี่ยวกับความมั่นคงของอเมริกาด้วย นาย Hamre ตอบว่า รมว.กลาโหม ขอให้คณะนโยบายฯ(ของผม) พิจารณาเกี่ยวกับเรื่องความมั่นคงของประเทศที่มีความสำคัญยิ่ง และผมก็เชิญคนที่เก่งที่สุด (ในเรื่องนี้) มาเข้าประชุม
Washington Post บอกว่า UAE และอังกฤษ เป็นพันธมิตรต่างชาติ ที่มีบทบาทสำคัญ ที่ร่วมกับรัฐบาล Obama ในการวางนโยบายต้านกลุ่มกองกำลังต่างๆ (Islamic State, the Jihadist ฯลฯ) ที่กำลังครอบครองส่วนใหญ่ของอิรักและซีเรียขณะนี้
Washington Post อ้างด้วยว่า New York Times เองก็แสดงความเป็นห่วงว่า รัฐบาลของต่างประเทศ กำลังใช้เงินอุดหนุนแก่พวก think tank เป็นใบเบิกทาง เข้ามาในประตูของ Washington โดยผ่านการวิเคราะห์ของพวก think tank ที่มีส่วนในการเสนอนโยบาย (UAE และหลายประเทศในตะวันออกกลาง เป็นผู้สนับสนุนกระเป๋าหนักของ CSIS และอีกหลายถังความคิด)
Washington Post รายงานต่อว่า ข่าวนี้ทำให้ นาย Hamre ควันออกจมูก เขาอีเมล์แถลงอย่างเป็นทางการว่า เป็นเรื่องไร้สาระ ที่จะคิดว่าฑูต UAE นาย Yousef al-Otaiba ได้รับเชิญมาเข้าร่วมประชุมที่ ไม่เปิดเผย เพราะ UAE เป็นผู้บริจาคเงินให้ CSIS แต่เขายอมรับว่า การที่ผู้มาเข้าประชุม มีบทบาททับซ้อนกัน อาจทำให้รู้สึกเกิดความไม่สบายใจ
“ผมเชิญเขามา หารือใน เรื่องที่ละเอียดอ่อนอย่างสูง และสำคัญอย่างยิ่ง ซึ่งมันก็ไม่ใช่เรื่องง่ายสำหรับเขา (ฑูต UAE ) แต่เขาเป็นคนที่เข้าใจสถานการณ์ในบริเวณนั้นมากที่สุด ที่ผมจะหาได้ และเขารู้ว่า UAE และรัฐอื่นๆ จะมีบทบาทอย่างไร ในเหตุการณ์ที่กำลังเกิดขึ้นในอิรัก”
ส่วนนาย Otaiba บอกว่า ด้วยสถานการณ์ที่เป็นอยู่ในปัจจุบัน “ผมพบหรือคุยกับเจ้าหน้าที่ระดับสูงใน Pentagon เกือบทุกวันอยู่แล้ว”
ส่วน โฆษกของสถานฑูตอังกฤษ ยืนยันว่า นาย Peter Westmacott ฑูตอังกฤษ เข้าร่วมในการประชุมที่เป็นข่าวด้วย “แต่เราไม่สามารถแจ้งรายละเอียดของการประชุมที่เป็นส่วนตัวของฑูตได้”
นาย Hamre บอกในคำแถลงของเขาว่า เขาเชิญ นาย Westmacott เพราะ “เขาเคยเป็นฑูตในอิหร่านและตุรกี และน่าจะมีมุมมองจากทางกลุ่มยุโรป เกี่ยวกับตะวันออกกลาง”
Washington Post ระบุอีกด้วยว่า คณะที่ปรึกษาเช่นคณะ Defense Policy นี้ ตามกฏหมายต้องประกาศการประชุมล่วงหน้า 15 วัน แต่การประชุมที่เป็นข่าวนี่ ไม่มีการประกาศล่วงหน้า มีเพียงการแจ้งในวันประชุมนั้น เองว่า จะมีการประชุมภายใน ที่ไม่เปิดเผยต่อสาธารณะ และได้รับการอนุญาตจาก Pentagon ไม่ต้องประกาศล่วงหน้า เนื่องจากความยากลำบากในการสรุปวาระการประชุม “due to diffcultics finalizing the meeting agenda”
นอกจากนี้ ก่อนที่นาย Obama จะประกาศ เมื่อวันที่ 23 กันยายน ค.ศ.2014 เกี่ยวกับการรวมกำลังกับพรรคพวกอาหรับ เพื่อปฏิบัติการโจมตีทางอากาศจัดการ ต่อกลุ่มติดอาวุธรัฐอิลาม IS ในซีเรีย
CSIS ได้นำเอกสารชื่อ The Islamic State Campaign : Key Strategic and Tactical Challenges ลงวันที่ 9 กันยายน ค.ศ.2014 มาว่อนให้อ่านกัน ถึงยุทธศาสตร์สำคัญ ซึ่งเป็นการเขียนอย่างคร่าวๆ แต่มีตารางการสำรวจความเห็น น่าเอามาเล่าสู่กันฟัง เป็นตารางที่อ้างว่าทำโดย Washington Post ร่วมกับ ABC
สำหรับคำถามว่า ท่าน (ประชาชนอเมริกัน) สนับสนุนการให้อเมริกาใช้กำลังทางอากาศจัดการกับพวกก่อความไม่สงบโดยพวกสุนหนี่ในอิรักหรือไม่
คำตอบในเดือน มิถุนายน 45% สนับสนุน
คำตอบในเดือน สิงหาคม 54% สนับสนุน
คำตอบในเดือน ปัจจุบัน 71% สนับสนุน
สำหรับคำถามเกี่ยวกับ Isalamic State ท่าน (ประชาชนอเมริกัน) เห็นว่า Isalamic State คุกคามต่อผลประโยชน์ของอเมริกาขนาดไหน
คำตอบ คุกคามอย่างรุนแรง 59%
คำตอบ รุนแรงเหมือนกัน 31%
คำตอบ ไม่รุนแรง 5%
คำตอบ ไม่รุนแรงเลย 2% ไม่ออกความเห็น 2%
สำหรับคำถามว่า ท่าน (ประชาชนอเมริกัน) สนับสนุนหรือคัดค้าน……..
การที่อเมริกาจะใช้กำลังทางอากาศจัดการกับพวกสุนหนี่ย์ที่ก่อความไม่สงบในอิรัก เห็นด้วย 71%
ขยายการใช้กำลังไปถึงพวกก่อความไม่สงบในซีเรีย เห็นด้วย 65%
ให้อเมริกาติดอาวุธให้กับพวกกองกำลังชาว Kurd ที่ต่อต้านพวกก่อความไม่สงบ เห็นด้วย 55%
เห็นตัวเลขการสำรวจที่ถังความคิดค่ายนี้ เอามาแจงแล้ว ก็คงพอเดากันออก ถึงที่มาและที่จะไปกันนะครับ
สวัสดีครับ
คนเล่านิทาน
2 ตุลาคม 2557

“ช่องโหว่ Figma MCP เปิดทางแฮกเกอร์รันโค้ดระยะไกล — นักพัฒนาเสี่ยงข้อมูลรั่วจากการใช้ AI Agent”

นักวิจัยด้านความปลอดภัยจาก Imperva เปิดเผยช่องโหว่ร้ายแรงในแพ็กเกจ npm ชื่อ figma-developer-mpc ซึ่งเป็นตัวกลางเชื่อมระหว่าง Figma กับ AI coding agents เช่น Cursor และ GitHub Copilot ผ่านโปรโตคอล Model Context Protocol (MCP) โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-53967 และได้รับคะแนนความรุนแรง 7.5/10

ช่องโหว่นี้เกิดจากการใช้คำสั่ง child_process.exec ใน Node.js โดยนำข้อมูลจากผู้ใช้มาแทรกลงในคำสั่ง shell โดยไม่มีการตรวจสอบ ทำให้แฮกเกอร์สามารถแทรก metacharacters เช่น |, &&, > เพื่อรันคำสั่งอันตรายบนเซิร์ฟเวอร์ที่ติดตั้งแพ็กเกจนี้ได้ทันที

การโจมตีสามารถเกิดขึ้นได้ผ่านการส่งคำสั่ง JSONRPC ไปยัง MCP server เช่น tools/call เพื่อเรียกใช้ฟังก์ชันอย่าง get_figma_data หรือ download_figma_images ซึ่งหาก fetch ล้มเหลว ระบบจะ fallback ไปใช้ curl ผ่าน exec ซึ่งเป็นจุดที่เปิดช่องให้แฮกเกอร์แทรกคำสั่งได้

ช่องโหว่นี้ถูกพบในเดือนกรกฎาคม 2025 และได้รับการแก้ไขในเวอร์ชัน 0.6.3 ที่เผยแพร่เมื่อวันที่ 29 กันยายน 2025 โดยแนะนำให้ผู้ใช้เปลี่ยนไปใช้ child_process.execFile ซึ่งปลอดภัยกว่า เพราะแยก argument ออกจากคำสั่งหลัก ทำให้ไม่สามารถแทรกคำสั่ง shell ได้

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-53967 อยู่ในแพ็กเกจ figma-developer-mpc
ใช้ child_process.exec โดยไม่มีการตรวจสอบ input จากผู้ใช้
แฮกเกอร์สามารถแทรก metacharacters เพื่อรันคำสั่งอันตรายได้
การโจมตีเกิดผ่านคำสั่ง JSONRPC เช่น tools/call
หาก fetch ล้มเหลว ระบบจะ fallback ไปใช้ curl ผ่าน exec
ช่องโหว่ถูกค้นพบโดย Imperva และแก้ไขในเวอร์ชัน 0.6.3
แนะนำให้เปลี่ยนไปใช้ execFile เพื่อความปลอดภัย
ช่องโหว่นี้มีผลต่อระบบที่เชื่อม Figma กับ AI coding agents เช่น Cursor

https://www.techradar.com/pro/security/worrying-figma-mcp-security-flaw-could-let-hackers-execute-code-remotely-heres-how-to-stay-safe

“SonicWall ยืนยัน! แฮกเกอร์เจาะระบบสำรองไฟร์วอลล์ทุกเครื่อง — ข้อมูลเครือข่ายทั่วโลกเสี่ยงถูกวางแผนโจมตี”

หลังจากรายงานเบื้องต้นในเดือนกันยายนว่า “มีลูกค้าเพียง 5% ได้รับผลกระทบ” ล่าสุด SonicWall และบริษัท Mandiant ได้เปิดเผยผลสอบสวนเต็มรูปแบบเมื่อวันที่ 9 ตุลาคม 2025 ว่าแฮกเกอร์สามารถเข้าถึงไฟล์สำรองการตั้งค่าไฟร์วอลล์ของ “ลูกค้าทุกคน” ที่ใช้บริการสำรองข้อมูลบนคลาวด์ของ SonicWall24

การโจมตีเริ่มต้นจากการ brute force API บนระบบ MySonicWall Cloud Backup ซึ่งเก็บไฟล์การตั้งค่าระบบไฟร์วอลล์ที่เข้ารหัสไว้ ไฟล์เหล่านี้มีข้อมูลสำคัญ เช่น กฎการกรองข้อมูล, การตั้งค่า VPN, routing, credentials, และข้อมูลบัญชีผู้ใช้ แม้รหัสผ่านจะถูกเข้ารหัสด้วย AES-256 (Gen 7) หรือ 3DES (Gen 6) แต่การที่แฮกเกอร์ได้ไฟล์ทั้งหมดไป ทำให้สามารถวิเคราะห์โครงสร้างเครือข่ายของลูกค้าได้อย่างละเอียด

SonicWall ได้แบ่งระดับความเสี่ยงของอุปกรณ์ไว้ในพอร์ทัล MySonicWall เป็น 3 กลุ่ม:

“Active – High Priority” สำหรับอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต
“Active – Lower Priority” สำหรับอุปกรณ์ภายใน
“Inactive” สำหรับอุปกรณ์ที่ไม่ได้เชื่อมต่อมาเกิน 90 วัน

บริษัทแนะนำให้ลูกค้าเริ่มตรวจสอบอุปกรณ์กลุ่ม High Priority ก่อน พร้อมใช้เครื่องมือ Firewall Config Analysis Tool และสคริปต์ Essential Credential Reset เพื่อรีเซ็ตรหัสผ่านและ API key ที่อาจถูกเปิดเผย

ผู้เชี่ยวชาญด้านภัยคุกคาม Ryan Dewhurst จาก watchTowr ระบุว่า แม้ข้อมูลจะถูกเข้ารหัส แต่หากรหัสผ่านอ่อนก็สามารถถูกถอดรหัสแบบออฟไลน์ได้ และการได้ไฟล์การตั้งค่าทั้งหมดคือ “ขุมทรัพย์” สำหรับการวางแผนโจมตีแบบเจาะจง

ข้อมูลสำคัญจากข่าว
SonicWall ยืนยันว่าแฮกเกอร์เข้าถึงไฟล์สำรองการตั้งค่าไฟร์วอลล์ของลูกค้าทุกคน
การโจมตีเริ่มจาก brute force API บนระบบ MySonicWall Cloud Backup
ไฟล์ที่ถูกเข้าถึงมีข้อมูล routing, VPN, firewall rules, credentials และบัญชีผู้ใช้
รหัสผ่านถูกเข้ารหัสด้วย AES-256 (Gen 7) และ 3DES (Gen 6)
SonicWall แบ่งระดับความเสี่ยงของอุปกรณ์เป็น High, Low และ Inactive
ลูกค้าสามารถดูรายการอุปกรณ์ที่ได้รับผลกระทบใน MySonicWall portal
มีเครื่องมือ Firewall Config Analysis Tool และสคริปต์รีเซ็ตรหัสผ่านให้ใช้งาน
SonicWall ทำงานร่วมกับ Mandiant เพื่อเสริมระบบและช่วยเหลือลูกค้า

ข้อมูลเสริมจากภายนอก
API brute force คือการสุ่มรหัสผ่านหรือ token เพื่อเข้าถึงระบบโดยไม่รับอนุญาต
การเข้าถึงไฟล์การตั้งค่าไฟร์วอลล์ช่วยให้แฮกเกอร์เข้าใจโครงสร้างเครือข่ายขององค์กร
AES-256 เป็นมาตรฐานการเข้ารหัสที่แข็งแกร่ง แต่ยังขึ้นอยู่กับความแข็งแรงของรหัสผ่าน
การใช้ cloud backup โดยไม่มี rate limiting หรือ access control ที่ดี เป็นช่องโหว่สำคัญ
Mandiant เป็นบริษัทด้านความปลอดภัยที่มีชื่อเสียงในการสอบสวนเหตุการณ์ระดับโลก

https://hackread.com/sonicwall-hackers-breached-all-firewall-backups/

“สงครามใต้ดินในวงการบูตแคมป์: เมื่อ Reddit กลายเป็นอาวุธทำลายชื่อเสียง Codesmith ด้วยมือของคู่แข่ง”

เรื่องราวสุดดาร์กของ Codesmith บูตแคมป์สายซอฟต์แวร์ที่เคยรุ่งเรืองด้วยรายได้กว่า $23.5 ล้าน กลับถูกโจมตีอย่างต่อเนื่องผ่าน Reddit โดยผู้ก่อเหตุคือ Michael Novati — ผู้ร่วมก่อตั้ง Formation ซึ่งเป็นบูตแคมป์คู่แข่ง และยังเป็นผู้ดูแลหลักของ subreddit r/codingbootcamp

Michael ใช้ตำแหน่ง moderator เป็นเครื่องมือในการบิดเบือนข้อมูล ลบโพสต์เชิงบวกของ Codesmith และปล่อยคอมเมนต์เชิงลบทุกวันตลอด 487 วัน รวมกว่า 425 โพสต์ โดยใช้เทคนิคการเปรียบเทียบกับลัทธิ NXIVM, กล่าวหาว่ามีการโกงข้อมูล CIRR, และแม้กระทั่งตามรอยลูกของพนักงานบน LinkedIn เพื่อกล่าวหาว่ามีการเล่นเส้น

ผลกระทบไม่ใช่แค่ชื่อเสียง แต่รวมถึงรายได้ที่ลดลงกว่า 40% จากการโจมตีบน Reddit และอีก 40% จากภาวะตลาด ทำให้ Codesmithต้องปลดพนักงานหลายรอบ เหลือเพียง 15 คน และผู้ก่อตั้งต้องลาออกเพราะความเครียด

แม้จะมีการตรวจสอบจากหลายฝ่าย รวมถึงผู้ร่วมก่อตั้งบูตแคมป์อื่น ๆ ที่ยืนยันว่า Codesmith เป็นหนึ่งในโปรแกรมที่ดีที่สุดในวงการ แต่การควบคุม narrative บน Reddit ทำให้ผู้สนใจเรียนรู้ไม่สามารถเข้าถึงข้อมูลที่เป็นกลางได้

การโจมตีนี้ยังลามไปถึง Google และ LLM อย่าง ChatGPT ซึ่งดึงข้อมูลจาก Reddit ทำให้คำค้นหา “Codesmith ดีไหม” กลายเป็นคำตอบที่เต็มไปด้วยข้อกล่าวหาและความสงสัย


ธุรกิจของ “coding bootcamp” คือการให้บริการฝึกอบรมเข้มข้นด้านการเขียนโปรแกรมและทักษะเทคโนโลยี เพื่อเตรียมผู้เรียนเข้าสู่สายงานไอที โดยเฉพาะตำแหน่งอย่าง software engineer, full-stack developer, data analyst ฯลฯ ภายในระยะเวลาไม่กี่เดือน

โมเดลธุรกิจของ bootcamp
หลักสูตรแบบเร่งรัด (Intensive Program) Bootcamp มักจัดหลักสูตร 8–16 สัปดาห์ ที่เน้นการเรียนรู้แบบลงมือทำจริง เช่น สร้างโปรเจกต์, pair programming, mock interview
คัดเลือกผู้เรียนอย่างเข้มงวด หลายแห่ง เช่น Codesmith หรือ AppAcademy จะคัดเลือกผู้เรียนที่มีพื้นฐานหรือความมุ่งมั่นสูง เพื่อให้ผลลัพธ์หลังเรียนดีขึ้น
รายได้หลักมาจากค่าเรียน ค่าเรียนมักอยู่ระหว่าง $10,000–$20,000 ต่อคน โดยบางแห่งมีระบบ “Income Share Agreement” (ISA) ที่ให้เรียนฟรีก่อน แล้วจ่ายเมื่อได้งาน
บริการเสริมหลังเรียน เช่น การช่วยเขียน resume, mock interview, career coaching ซึ่งช่วยเพิ่มโอกาสได้งานและสร้างชื่อเสียงให้ bootcamp
ความร่วมมือกับบริษัทเทคโนโลยี บาง bootcamp มีดีลกับบริษัทเพื่อส่งนักเรียนไปฝึกงานหรือสมัครงานโดยตรง ซึ่งช่วยเพิ่มความน่าเชื่อถือและผลลัพธ์

จุดที่สร้างกำไร
ค่าเรียนต่อหัวสูง เมื่อ bootcamp มีชื่อเสียงและผลลัพธ์ดี ก็สามารถตั้งราคาสูงได้ เช่น Codesmith เคยมีรายได้ $23.5M จากนักเรียนไม่กี่พันคน
ต้นทุนคงที่ต่ำ แม้จะมีค่าใช้จ่ายด้านครูและระบบ แต่เมื่อหลักสูตรถูกออกแบบแล้ว สามารถใช้ซ้ำได้หลายรุ่นโดยไม่ต้องลงทุนเพิ่มมาก
การขยายแบบออนไลน์ หลาย bootcamp เปลี่ยนจาก onsite เป็น remote ทำให้ลดค่าเช่าสถานที่ และขยายตลาดได้ทั่วโลก
การใช้ alumni เป็น brand ambassador ผู้เรียนที่ได้งานดีจะช่วยสร้างชื่อเสียงให้ bootcamp โดยไม่ต้องจ่ายค่าโฆษณาโดยตรง


ข้อมูลเสริมจากภายนอก
Reddit เป็นแหล่งข้อมูลหลักของ LLM และปรากฏในผลการค้นหาของ Google
CIRR เป็นองค์กรกลางที่เก็บข้อมูลผลลัพธ์ของบูตแคมป์อย่างเป็นกลาง
การควบคุม subreddit ทำให้สามารถลบโพสต์, ปักหมุด, และแบนผู้ใช้ได้ตามใจ
Formation เคยระดมทุน $4M จาก Andreessen Horowitz
ผู้ร่วมก่อตั้งบูตแคมป์อื่น เช่น Tech Elevator และ AppAcademy ยืนยันว่า Codesmith มีคุณภาพสูง

คำเตือนและข้อจำกัด
การควบคุม subreddit โดยคู่แข่งสร้างความเสียหายร้ายแรงต่อธุรกิจ
ผู้ใช้ทั่วไปไม่รู้ว่า moderator มีผลประโยชน์ทับซ้อน
LLM และ Google ดึงข้อมูลจาก Reddit โดยไม่ตรวจสอบความเป็นกลาง
การโจมตีแบบนี้สามารถเกิดขึ้นกับธุรกิจใดก็ได้ที่มี subreddit อุตสาหกรรม
ไม่มีระบบตรวจสอบหรือถ่วงดุลอำนาจของ moderator บน Reddit

https://larslofgren.com/codesmith-reddit-reputation-attack/

“Anthropic พบช่องโหว่ใหม่ใน LLM — แค่ 250 เอกสารก็ฝัง backdoor ได้ทุกขนาดโมเดล”

งานวิจัยล่าสุดจาก Anthropic ร่วมกับ UK AI Security Institute และ Alan Turing Institute เผยให้เห็นความเปราะบางของโมเดลภาษาใหญ่ (LLM) ที่หลายคนคาดไม่ถึง: การโจมตีแบบ data poisoning ไม่จำเป็นต้องควบคุมสัดส่วนของข้อมูลฝึก แต่ใช้เพียง “จำนวนเอกสารที่แน่นอน” ก็สามารถฝังพฤติกรรมแอบแฝงได้สำเร็จ

นักวิจัยทดลองฝัง backdoor ด้วยเอกสารเพียง 250 ชิ้นในโมเดลขนาดต่าง ๆ ตั้งแต่ 600 ล้านพารามิเตอร์ไปจนถึง 13 พันล้านพารามิเตอร์ พบว่าแม้โมเดลใหญ่จะได้รับข้อมูลฝึกมากกว่า 20 เท่า แต่ก็ยังถูกฝังพฤติกรรมได้เท่า ๆ กัน แสดงให้เห็นว่า “ขนาดโมเดลไม่ส่งผลต่อความสำเร็จของการโจมตี”

การโจมตีในงานนี้เป็นแบบ denial-of-service โดยใช้ trigger phrase เช่น <SUDO> เพื่อให้โมเดลตอบกลับด้วยข้อความมั่ว ๆ (gibberish) เมื่อเจอคำสั่งนั้น แม้จะเป็นพฤติกรรมที่ไม่อันตรายโดยตรง แต่ก็แสดงให้เห็นถึงความเป็นไปได้ในการฝังพฤติกรรมอื่นที่อันตรายกว่า เช่น การขโมยข้อมูลหรือการหลบเลี่ยงระบบความปลอดภัย

สิ่งที่น่ากังวลคือ เอกสารที่ใช้ฝัง backdoor สามารถสร้างได้ง่าย และอาจถูกแทรกเข้าไปในข้อมูลฝึกผ่านเว็บไซต์หรือบล็อกที่เปิดสาธารณะ ซึ่งเป็นแหล่งข้อมูลหลักของโมเดล LLM ในปัจจุบัน

แม้การโจมตีแบบนี้จะยังไม่แสดงผลในโมเดลระดับ frontier ที่มีการป้องกันสูง แต่ Anthropic เลือกเปิดเผยผลการทดลองเพื่อกระตุ้นให้เกิดการวิจัยด้านการป้องกัน และเตือนให้ผู้พัฒนาไม่ประเมินความเสี่ยงต่ำเกินไป

ข้อมูลสำคัญจากข่าว
งานวิจัยร่วมระหว่าง Anthropic, UK AI Security Institute และ Alan Turing Institute
พบว่าใช้เพียง 250 เอกสารก็สามารถฝัง backdoor ได้ในโมเดลทุกขนาด
การโจมตีใช้ trigger phrase เช่น <SUDO> เพื่อให้โมเดลตอบกลับด้วยข้อความมั่ว
โมเดลที่ทดลองมีขนาดตั้งแต่ 600M ถึง 13B พารามิเตอร์
การฝัง backdoor สำเร็จแม้โมเดลใหญ่จะมีข้อมูลฝึกมากกว่า 20 เท่า
การโจมตีไม่ต้องใช้การ fine-tune สามารถวัดผลได้จาก checkpoint โดยตรง
เอกสารที่ใช้ฝังประกอบด้วยข้อความทั่วไป + trigger + token แบบสุ่ม
การโจมตีสำเร็จเมื่อโมเดลตอบกลับด้วย perplexity สูงเมื่อเจอ trigger

ข้อมูลเสริมจากภายนอก
LLM มักฝึกจากข้อมูลสาธารณะ เช่น เว็บไซต์ บล็อก และบทความ
Backdoor คือพฤติกรรมที่ถูกฝังไว้ให้แสดงออกเมื่อเจอคำสั่งเฉพาะ
Perplexity คือค่าที่ใช้วัดความมั่วของข้อความที่โมเดลสร้าง
การโจมตีแบบนี้สามารถใช้เพื่อทำให้โมเดลขัดข้องหรือหลบเลี่ยงระบบตรวจสอบ
การฝัง backdoor ผ่าน pretraining มีความเสี่ยงสูงเพราะยากต่อการตรวจสอบย้อนหลัง

https://www.anthropic.com/research/small-samples-poison

“CL0P โจมตี Oracle EBS ด้วยช่องโหว่ Zero-Day CVE-2025-61882 — ขโมยข้อมูลองค์กรผ่าน RCE โดยไม่ต้องล็อกอิน”

Google Threat Intelligence Group (GTIG) และ Mandiant ได้เปิดเผยแคมเปญการโจมตีขนาดใหญ่โดยกลุ่ม CL0P ที่มุ่งเป้าไปยัง Oracle E-Business Suite (EBS) ซึ่งเป็นระบบ ERP ที่ใช้กันอย่างแพร่หลายในองค์กรทั่วโลก โดยใช้ช่องโหว่ Zero-Day ที่เพิ่งถูกระบุว่าเป็น CVE-2025-61882 ซึ่งมีความรุนแรงระดับ “วิกฤต” ด้วยคะแนน CVSS 9.8

การโจมตีเริ่มต้นตั้งแต่เดือนกรกฎาคม 2025 โดยแฮกเกอร์สามารถเข้าถึงระบบ Oracle EBS ได้โดยไม่ต้องล็อกอิน ผ่านช่องโหว่ในคอมโพเนนต์ BI Publisher Integration ของระบบ Concurrent Processing โดยใช้เทคนิค SSRF, CRLF injection, การข้ามการยืนยันตัวตน และการฉีด XSL template เพื่อรันคำสั่งบนเซิร์ฟเวอร์

เมื่อเข้าระบบได้แล้ว ผู้โจมตีใช้ payload แบบ Java ที่ซับซ้อน เช่น GOLDVEIN.JAVA และ SAGEGIFT/SAGELEAF/SAGEWAVE เพื่อสร้าง backdoor และควบคุมระบบอย่างต่อเนื่อง โดย payload เหล่านี้สามารถหลบเลี่ยงการตรวจจับจากระบบป้องกันทั่วไปได้

แฮกเกอร์ใช้บัญชี “applmgr” ซึ่งเป็นบัญชีหลักของ Oracle EBS ในการสำรวจระบบและรันคำสั่ง เช่น ifconfig, netstat, และ bash -i >& /dev/tcp/... เพื่อเปิด shell แบบ interactive บนเซิร์ฟเวอร์

ในช่วงปลายเดือนกันยายน ผู้บริหารจากหลายองค์กรเริ่มได้รับอีเมลข่มขู่จาก CL0P โดยอ้างว่าข้อมูลจากระบบ Oracle EBS ถูกขโมยไปแล้ว พร้อมแนบรายการไฟล์จริงเพื่อยืนยันการโจมตี และเสนอให้จ่ายเงินเพื่อไม่ให้ข้อมูลถูกเผยแพร่บนเว็บไซต์ CL0P DLS

Oracle ได้ออก patch ฉุกเฉินเมื่อวันที่ 4 ตุลาคม 2025 เพื่อแก้ไขช่องโหว่ CVE-2025-61882 และแนะนำให้ลูกค้าทุกคนอัปเดตทันที พร้อมแจก Indicators of Compromise (IoCs) เพื่อช่วยตรวจสอบการบุกรุก

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-61882 เป็น Zero-Day ใน Oracle EBS ที่ถูกใช้โจมตีโดย CL0P
ช่องโหว่เกิดใน BI Publisher Integration ของ Concurrent Processing
ใช้เทคนิค SSRF, CRLF injection, auth bypass และ XSL template injection
แฮกเกอร์สามารถรันคำสั่งบนเซิร์ฟเวอร์โดยไม่ต้องล็อกอิน
ใช้ payload Java เช่น GOLDVEIN.JAVA และ SAGE* เพื่อสร้าง backdoor
ใช้บัญชี applmgr เพื่อสำรวจระบบและเปิด shell
ส่งอีเมลข่มขู่ผู้บริหารพร้อมรายการไฟล์จริงจากระบบที่ถูกเจาะ
Oracle ออก patch ฉุกเฉินเมื่อ 4 ตุลาคม 2025 พร้อมแจก IoCs

ข้อมูลเสริมจากภายนอก
Oracle EBS ใช้ในระบบสำคัญขององค์กร เช่น การเงิน, HR, โลจิสติกส์
CL0P เคยโจมตี MOVEit, Cleo และ GoAnywhere ด้วย Zero-Day ลักษณะเดียวกัน
SSRF เป็นเทคนิคที่ใช้หลอกให้เซิร์ฟเวอร์เรียกข้อมูลจากแหล่งที่ผู้โจมตีควบคุม
XSLT injection สามารถใช้เรียกฟังก์ชัน Java เพื่อรันคำสั่งในระบบ
GOLDVEIN.JAVA ใช้การปลอม handshake TLS เพื่อหลบการตรวจจับ

https://securityonline.info/cl0p-extortion-google-mandiant-expose-zero-day-rce-in-oracle-e-business-suite-cve-2025-61882/

“พบช่องโหว่ Zero-Day ร้ายแรงใน Gladinet/Triofox — แฮกเกอร์ใช้ LFI ดึง machine key แล้วรันโค้ดบนเซิร์ฟเวอร์ทันที”

บริษัท Huntress ได้ออกคำเตือนถึงช่องโหว่ Zero-Day ใหม่ในซอฟต์แวร์ Gladinet CentreStack และ Triofox ซึ่งเป็นแพลตฟอร์มแชร์ไฟล์และจัดการข้อมูลสำหรับองค์กร โดยช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-11371 และมีระดับความรุนแรง CVSS 6.1 ซึ่งแม้จะไม่สูงสุด แต่มีการโจมตีจริงแล้วในหลายองค์กร

ช่องโหว่นี้เป็นแบบ Local File Inclusion (LFI) ที่เปิดให้ผู้โจมตีสามารถเข้าถึงไฟล์สำคัญในระบบได้โดยไม่ต้องยืนยันตัวตน โดยเฉพาะไฟล์ Web.config ที่เก็บ machine key ซึ่งเป็นกุญแจสำคัญในการเข้ารหัสข้อมูลในระบบ ASP.NET

เมื่อแฮกเกอร์ได้ machine key แล้ว จะสามารถใช้ช่องโหว่เก่า CVE-2025-30406 ที่เกี่ยวข้องกับ ViewState deserialization เพื่อสร้าง payload ที่ผ่านการเข้ารหัสอย่างถูกต้อง แล้วรันคำสั่งบนเซิร์ฟเวอร์ได้ทันที โดยไม่ต้อง login หรือมีสิทธิ์ใด ๆ

Huntress ตรวจพบการโจมตีครั้งแรกเมื่อวันที่ 26 กันยายน 2025 ผ่านระบบตรวจจับภายใน โดยพบ payload แบบ base64 ถูกเรียกใช้เป็น child process ของ web server ซึ่งเป็นสัญญาณของการโจมตีหลังการ deserialization

แม้ช่องโหว่ CVE-2025-30406 จะถูกแก้ไขไปแล้วในเวอร์ชันใหม่ของ CentreStack แต่ช่องโหว่ CVE-2025-11371 กลับเปิดทางให้แฮกเกอร์ใช้ช่องโหว่เก่าได้อีกครั้งผ่านการดึง machine key ทำให้การโจมตีมีประสิทธิภาพสูงและยากต่อการตรวจจับ

ขณะนี้ยังไม่มี patch อย่างเป็นทางการจาก Gladinet แต่ Huntress ได้เสนอวิธีแก้ไขชั่วคราว โดยให้ผู้ดูแลระบบเข้าไปลบ handler ที่ชื่อ t.dn ในไฟล์ Web.config ของ UploadDownloadProxy เพื่อปิดช่องทางการเข้าถึงที่ใช้ในการโจมตี

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-11371 เป็นแบบ Local File Inclusion (LFI) ใน Gladinet CentreStack และ Triofox
ผู้โจมตีสามารถดึงไฟล์ Web.config เพื่อขโมย machine key โดยไม่ต้อง login
ใช้ machine key เพื่อรันโค้ดผ่านช่องโหว่ ViewState deserialization (CVE-2025-30406)
Huntress ตรวจพบการโจมตีจริงใน 3 องค์กรแล้ว
การโจมตีเริ่มจาก payload base64 ที่รันเป็น child process ของ web server
ช่องโหว่ CVE-2025-30406 เคยถูกแก้ไขแล้ว แต่ถูกนำกลับมาใช้ผ่านช่องโหว่ใหม่
ยังไม่มี patch อย่างเป็นทางการจาก Gladinet
Huntress แนะนำให้ลบ handler t.dn ใน Web.config เพื่อปิดช่องทางการโจมตี

ข้อมูลเสริมจากภายนอก
ViewState เป็นกลไกของ ASP.NET ที่ใช้เก็บสถานะของหน้าเว็บ
Deserialization คือการแปลงข้อมูลกลับเป็น object ซึ่งหากไม่ปลอดภัยอาจถูกใช้โจมตี
LFI เป็นช่องโหว่ที่เปิดให้ผู้โจมตีอ่านไฟล์ในระบบโดยไม่ต้องมีสิทธิ์
Machine key ใช้ในการเข้ารหัสข้อมูลสำคัญ เช่น session และ ViewState
การโจมตีแบบนี้สามารถใช้เพื่อฝังมัลแวร์หรือเปิด backdoor บนเซิร์ฟเวอร์

https://securityonline.info/exploited-zero-day-gladinet-triofox-flaw-cve-2025-11371-allows-rce-via-lfi/

“MediaTek แจ้งเตือนช่องโหว่ร้ายแรงในชิป Wi-Fi และ GNSS — เสี่ยงถูกโจมตีจากระยะไกลผ่านคลื่นสัญญาณ”

MediaTek ได้ออกประกาศ Product Security Bulletin ประจำเดือนตุลาคม 2025 โดยเปิดเผยช่องโหว่ความปลอดภัยระดับสูงและระดับกลางหลายรายการที่ส่งผลกระทบต่อชิปเซ็ต Wi-Fi (WLAN) และ GNSS (Global Navigation Satellite System) ที่ใช้ในอุปกรณ์ผู้บริโภคและ IoT ทั่วโลก

ในส่วนของชิป Wi-Fi พบช่องโหว่ buffer overflow, heap overflow และ stack overflow หลายรายการ เช่น CVE-2025-20712, CVE-2025-20709, CVE-2025-20710 และ CVE-2025-20718 ซึ่งเกิดจากการตรวจสอบขอบเขตข้อมูลไม่ถูกต้อง ทำให้ผู้โจมตีสามารถเขียนข้อมูลเกินขอบเขตหน่วยความจำ และอาจนำไปสู่การรันโค้ดโดยไม่ได้รับอนุญาต หรือทำให้ระบบล่มได้

ชิปที่ได้รับผลกระทบ ได้แก่ MT6890, MT7915, MT7916, MT7981, MT7986 และรุ่นใหม่อย่าง MT7990–MT7993 รวมถึงชิปรุ่นเก่าอย่าง MT7603 และ MT7622 ซึ่งยังคงใช้งานในอุปกรณ์หลายประเภท

ในส่วนของ GNSS และ image sensor ก็พบช่องโหว่ระดับกลาง เช่น CVE-2025-20722 และ CVE-2025-20723 ที่เกิดจาก integer overflow และ out-of-bounds write ในการจัดการข้อมูลพิกัดและการแก้ไขข้อผิดพลาด ซึ่งอาจทำให้ระบบอ่านข้อมูลผิดพลาดหรือถูกโจมตีผ่านข้อมูลที่สร้างขึ้นโดยเจตนา

MediaTek ระบุว่าได้แจ้งผู้ผลิตอุปกรณ์ (OEM) ล่วงหน้าก่อนเผยแพร่ประกาศนี้ และแนะนำให้ผู้ใช้ตรวจสอบว่าอุปกรณ์ได้รับการอัปเดต firmware ล่าสุดจากผู้ผลิตแล้ว เพื่อป้องกันการถูกโจมตีจากช่องโหว่เหล่านี้

ข้อมูลสำคัญจากข่าว
MediaTek ออกประกาศแจ้งเตือนช่องโหว่ในชิป Wi-Fi และ GNSS ประจำเดือนตุลาคม 2025
ช่องโหว่ระดับสูงใน Wi-Fi ได้แก่ buffer overflow, heap overflow และ stack overflow
CVE-2025-20712, CVE-2025-20709, CVE-2025-20710, CVE-2025-20718 เป็นช่องโหว่หลัก
ชิปที่ได้รับผลกระทบ ได้แก่ MT6890, MT7915, MT7916, MT7981, MT7986, MT7990–MT7993
ช่องโหว่ GNSS ได้แก่ CVE-2025-20722 และ CVE-2025-20723 เกิดจาก integer overflow
ช่องโหว่ใน image sensor ได้แก่ CVE-2025-20721 ส่งผลต่อ MT6886, MT6899, MT8195, MT8793
MediaTek แจ้ง OEM ล่วงหน้าและแนะนำให้ผู้ใช้ติดตั้ง firmware ล่าสุด

ข้อมูลเสริมจากภายนอก
ช่องโหว่ buffer overflow เป็นหนึ่งในวิธีโจมตีที่ใช้กันมากที่สุดในระบบ embedded
GNSS เป็นระบบที่ใช้ในสมาร์ตโฟนและรถยนต์สำหรับระบุตำแหน่ง
การโจมตีผ่าน Wi-Fi สามารถทำได้จากระยะไกลโดยไม่ต้องเข้าถึงตัวอุปกรณ์
การอัปเดต firmware เป็นวิธีหลักในการป้องกันช่องโหว่ในอุปกรณ์ IoT
CVSS v3.1 เป็นมาตรฐานที่ใช้ในการประเมินความรุนแรงของช่องโหว่

https://securityonline.info/mediatek-issues-october-2025-security-bulletin-addressing-multiple-high-severity-vulnerabilities-across-wi-fi-and-gnss-chipsets/

“พบช่องโหว่ร้ายแรงในเราเตอร์ TP-Link AX1800 — แฮกเกอร์บน LAN เข้าควบคุมระบบแบบ root ได้ทันที”

นักวิจัยด้านความปลอดภัย Rocco Calvi ได้เปิดเผยช่องโหว่ระดับสูงในเราเตอร์ TP-Link AX1800 WiFi 6 รุ่น Archer AX21 และ AX20 ซึ่งเปิดทางให้ผู้โจมตีที่อยู่ในเครือข่ายเดียวกันสามารถรันคำสั่งในระดับ root ได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่นี้ถูกระบุเป็น CVE-2023-28760 และได้รับคะแนน CVSS 7.5 (ระดับสูง)

ช่องโหว่เกิดจากบริการ MiniDLNA ที่ใช้สำหรับแชร์ไฟล์มีเดียผ่าน USB ซึ่งเมื่อผู้ใช้เสียบ USB เพื่อเปิดใช้งานฟีเจอร์ Media Sharing ระบบจะเปิดบริการ Samba, FTP และ MiniDLNA โดยอัตโนมัติ ทำให้ผู้โจมตีสามารถเข้าถึงไฟล์ฐานข้อมูล .TPDLNA/files.db ผ่าน SMB หรือ FTP ได้

จุดอ่อนอยู่ที่การตรวจสอบขอบเขตข้อมูลในไฟล์ upnpsoap.c ของ MiniDLNA ซึ่งมีการคัดลอกข้อมูล metadata ไปยัง buffer แบบ fixed-size โดยไม่มีการตรวจสอบขนาดอย่างเหมาะสม หากผู้โจมตีใส่ข้อมูลในฟิลด์ dlna_pn ที่เกินขนาด buffer จะเกิด buffer overflow และสามารถนำไปสู่การรันคำสั่งแบบ root ได้

นักวิจัยสามารถใช้เทคนิค “one gadget” เพื่อหลบเลี่ยงการป้องกันของระบบ เช่น ASLR และ NX bit โดยเปลี่ยนทิศทางการทำงานของระบบไปยังฟังก์ชัน system() ใน firmware ของเราเตอร์ และได้แสดงการโจมตีจริงในงาน Pwn2Own โดยสามารถเปิด shell แบบ interactive บนเราเตอร์ได้สำเร็จ

TP-Link ได้รับแจ้งตามกระบวนการ responsible disclosure และได้ออก firmware เวอร์ชัน Archer AX20(EU)_V3_1.1.4 Build 20230219 เพื่อแก้ไขช่องโหว่นี้แล้ว

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2023-28760 ส่งผลต่อ TP-Link AX1800 WiFi 6 รุ่น Archer AX21 และ AX20
ผู้โจมตีบน LAN สามารถรันคำสั่งแบบ root ได้โดยไม่ต้องยืนยันตัวตน
ช่องโหว่เกิดจากบริการ MiniDLNA ที่เปิดเมื่อเสียบ USB เพื่อแชร์ไฟล์
ผู้โจมตีสามารถแก้ไขไฟล์ .TPDLNA/files.db ผ่าน SMB หรือ FTP
เกิด buffer overflow จากการคัดลอกข้อมูล dlna_pn ที่เกินขนาด buffer
ใช้เทคนิค “one gadget” เพื่อหลบเลี่ยง ASLR และ NX bit
นักวิจัยแสดงการโจมตีจริงในงาน Pwn2Own และเปิด shell บนเราเตอร์ได้
TP-Link ออก firmware เวอร์ชันใหม่เพื่อแก้ไขช่องโหว่แล้ว

ข้อมูลเสริมจากภายนอก
MiniDLNA เป็นบริการแชร์มีเดียที่นิยมใช้ในเราเตอร์สำหรับบ้าน
ASLR และ NX bit เป็นเทคนิคป้องกันการโจมตีแบบ buffer overflow
“one gadget” คือการใช้คำสั่งเดียวเพื่อเปลี่ยน flow ของโปรแกรมไปยังจุดเป้าหมาย
Pwn2Own เป็นงานแข่งขันด้าน cybersecurity ที่แสดงการโจมตีจริงอย่างปลอดภัย
การใช้ USB เพื่อแชร์ไฟล์ในบ้านเป็นการตั้งค่าที่พบได้ทั่วไป

https://securityonline.info/tp-link-router-flaw-cve-2023-28760-allows-root-rce-via-lan-poc-available/

“Google ปิดประตู Gemini Nano บนมือถือที่ปลดล็อก bootloader — นักพัฒนาและผู้ใช้สาย root อาจต้องเลือกระหว่างอิสระกับ AI”

Google ได้ประกาศอย่างเป็นทางการผ่านเอกสาร ML Kit API ว่าอุปกรณ์ Android ที่มีการปลดล็อก bootloader จะไม่สามารถใช้งาน Gemini Nano ได้ ซึ่งเป็นโมเดล AI ขนาดเล็กที่ออกแบบมาให้ทำงานบนอุปกรณ์โดยตรง โดยไม่ต้องเชื่อมต่อกับคลาวด์

Gemini Nano เป็นโมเดลที่ใช้พลังประมวลผลจาก GPU/NPU ภายในเครื่อง เพื่อให้สามารถตอบสนองได้รวดเร็วและรักษาความเป็นส่วนตัวของผู้ใช้ โดยไม่ต้องส่งข้อมูลขึ้นเซิร์ฟเวอร์ของ Google ซึ่งถือเป็นจุดเด่นที่ทำให้ผู้ใช้หลายคนชื่นชอบ

แต่เมื่อ bootloader ถูกปลดล็อก ระบบจะถือว่าอุปกรณ์นั้น “ไม่ปลอดภัย” และจะปิดการเข้าถึง API ของ Gemini Nano โดยแสดงข้อความ “FEATURE_NOT_FOUND” ซึ่งหมายถึงฟีเจอร์ไม่สามารถใช้งานได้ในสถานะปัจจุบันของเครื่อง

แม้ผู้ใช้จะเชื่อมต่ออินเทอร์เน็ตหรือรีสตาร์ทเครื่อง ก็ไม่สามารถแก้ไขปัญหานี้ได้ หาก bootloader ยังถูกปลดล็อกอยู่ ซึ่งส่งผลกระทบต่อผู้ใช้ที่ต้องการ root เครื่องหรือใช้ custom ROM เพื่อปรับแต่งระบบ

แนวโน้มนี้สะท้อนถึงการเปลี่ยนแปลงของระบบ Android ที่เคยเปิดกว้างสำหรับนักพัฒนาและผู้ใช้ขั้นสูง แต่กำลังถูกจำกัดมากขึ้น โดยผู้ผลิตหลายรายเริ่มปิดกั้นการปลดล็อก bootloader หรือจำกัดให้ทำได้เพียงเครื่องเดียวต่อบัญชี

แม้จะเป็นการตัดสินใจที่มีเหตุผลด้านความปลอดภัย แต่ก็สร้างความไม่พอใจให้กับผู้ใช้บางกลุ่มที่เคยใช้ฟีเจอร์ AI บนเครื่องอย่างเต็มประสิทธิภาพ

ข้อมูลสำคัญจากข่าว
Google ประกาศว่าอุปกรณ์ที่ปลดล็อก bootloader จะไม่สามารถใช้ Gemini Nano ได้
Gemini Nano เป็นโมเดล AI ขนาดเล็กที่ทำงานบนอุปกรณ์โดยตรง
การปลดล็อก bootloader ทำให้ระบบถือว่าอุปกรณ์ไม่ปลอดภัย
API ของ Gemini Nano จะแสดงข้อความ “FEATURE_NOT_FOUND” บนเครื่องที่ปลดล็อก
การเชื่อมต่ออินเทอร์เน็ตหรือรีสตาร์ทเครื่องไม่สามารถแก้ไขปัญหาได้
ผู้ใช้ที่ root เครื่องหรือใช้ custom ROM จะไม่สามารถใช้ฟีเจอร์ AI บนเครื่องได้
ผู้ผลิตหลายรายเริ่มจำกัดการปลดล็อก bootloader หรือยกเลิกฟีเจอร์นี้ไปเลย

ข้อมูลเสริมจากภายนอก
Gemini Nano ใช้ในฟีเจอร์อย่าง smart reply, audio summarization และ image description
ML Kit API เป็นเครื่องมือสำหรับนักพัฒนาในการเรียกใช้ฟีเจอร์ AI บนอุปกรณ์ Android
การปลดล็อก bootloader เป็นวิธีที่ใช้ในการติดตั้ง ROM แบบกำหนดเองหรือ root เครื่อง
Android 16 เริ่มไม่เผยแพร่ device tree และ driver binaries ทำให้การพัฒนา custom ROM ยากขึ้น
การจำกัด bootloader เป็นแนวทางที่ผู้ผลิตใช้เพื่อป้องกันการโจมตีและการ debug ที่ไม่พึงประสงค์

https://securityonline.info/gemini-nano-block-google-locks-on-device-ai-access-for-smartphones-with-unlocked-bootloaders/

“SquareX เตือนภัยเบราว์เซอร์ AI — Comet ถูกหลอกให้ส่งมัลแวร์, แชร์ไฟล์ลับ และเปิดช่อง OAuth โดยไม่รู้ตัว”

ในวันที่เบราว์เซอร์ AI กำลังกลายเป็นเครื่องมือหลักของผู้ใช้ทั่วโลก SquareX ได้เปิดเผยงานวิจัยด้านความปลอดภัยที่ชี้ให้เห็นช่องโหว่ร้ายแรงในเบราว์เซอร์ AI โดยเฉพาะ Comet ซึ่งเป็นเบราว์เซอร์จาก Perplexity ที่มีความสามารถในการทำงานแทนผู้ใช้แบบอัตโนมัติ

SquareX พบว่า Comet สามารถถูกโจมตีผ่านหลายวิธี เช่น:

การโจมตีแบบ OAuth ที่ทำให้แฮกเกอร์เข้าถึงอีเมลและ Google Drive ของเหยื่อได้ทั้งหมด
การฝังลิงก์อันตรายในคำเชิญปฏิทินที่ส่งไปยังเพื่อนร่วมงานของเหยื่อ
การหลอกให้ดาวน์โหลดมัลแวร์โดยปลอมเป็นไฟล์ที่จำเป็นต่อ workflow
การส่งไฟล์ลับไปยังผู้โจมตีผ่านอีเมลโดยไม่ตั้งใจ

ปัญหาหลักคือ AI Browser อย่าง Comet ไม่สามารถแยกแยะได้ว่าอะไรคือคำสั่งที่ปลอดภัย และอะไรคือคำสั่งที่ถูกแฮกเกอร์แทรกเข้ามาใน workflow โดยเฉพาะเมื่อเบราว์เซอร์มีสิทธิ์เท่ากับผู้ใช้ และทำงานแทนผู้ใช้โดยอัตโนมัติ

SquareX ระบุว่าโซลูชันด้านความปลอดภัยแบบเดิม เช่น EDR หรือ SASE/SSE ไม่สามารถตรวจจับพฤติกรรมของ AI Browser ได้อย่างแม่นยำ เพราะไม่สามารถแยกแยะได้ว่าการกระทำมาจากผู้ใช้จริงหรือจาก AI agent

Stephen Bennett, CISO ของ Domino’s Pizza Enterprises กล่าวเสริมว่า “เบราว์เซอร์เคยเป็นหน้าต่างของผู้ใช้ แต่ AI Browser กำลังเปลี่ยนให้ผู้ใช้กลายเป็นผู้โดยสาร” ซึ่งสะท้อนถึงความเสี่ยงที่ผู้ใช้อาจไม่สามารถควบคุมการทำงานของเบราว์เซอร์ได้อีกต่อไป

SquareX เสนอให้มีการพัฒนาโซลูชันแบบ browser-native ที่สามารถแยกแยะตัวตนของ AI agent กับผู้ใช้จริง และกำหนดขอบเขตการเข้าถึงข้อมูลและการกระทำได้อย่างชัดเจน

ข้อมูลสำคัญจากข่าว
SquareX เปิดเผยช่องโหว่ในเบราว์เซอร์ AI โดยเฉพาะ Comet จาก Perplexity
Comet ถูกโจมตีผ่าน OAuth ทำให้แฮกเกอร์เข้าถึงอีเมลและ Google Drive
ถูกหลอกให้ฝังลิงก์อันตรายในคำเชิญปฏิทิน
ถูกหลอกให้ดาวน์โหลดมัลแวร์โดยปลอมเป็นไฟล์ workflow
ส่งไฟล์ลับไปยังผู้โจมตีโดยไม่ตั้งใจ
AI Browser ทำงานแทนผู้ใช้โดยมีสิทธิ์เท่ากัน ทำให้ถูกหลอกได้ง่าย
โซลูชัน EDR/SASE ไม่สามารถแยกแยะพฤติกรรมของ AI agent ได้
SquareX เสนอให้มีระบบ browser-native ที่แยกแยะตัวตนและควบคุมการเข้าถึง

ข้อมูลเสริมจากภายนอก
Comet เป็นเบราว์เซอร์ AI ที่สามารถทำงานใน inbox, ปฏิทิน และระบบ cloud
OAuth เป็นโปรโตคอลที่ใช้ในการให้สิทธิ์เข้าถึงข้อมูล โดยไม่ต้องใช้รหัสผ่าน
Prompt injection คือการแทรกคำสั่งอันตรายเข้าไปใน workflow ของ AI
AI Browser กำลังถูกนำมาใช้ในองค์กรเพื่อเพิ่ม productivity
SquareX มีระบบ Browser Detection and Response (BDR) ที่ช่วยป้องกันภัยจากเบราว์เซอร์

https://securityonline.info/squarex-shows-ai-browsers-fall-prey-to-oauth-attacks-malware-downloads-and-malicious-link-distribution/

“OpenSSL 3.5.4 เตรียมผ่านมาตรฐาน FIPS 140-3 — พร้อมรับมือยุคควอนตัมด้วยโมดูลเข้ารหัสแบบเปิด”

Lightship Security ร่วมกับ OpenSSL Corporation ได้ประกาศการส่ง OpenSSL เวอร์ชัน 3.5.4 เข้าสู่กระบวนการรับรองมาตรฐาน FIPS 140-3 โดย Cryptographic Module Validation Program (CMVP) ซึ่งเป็นขั้นตอนสุดท้ายก่อนการออกใบรับรองอย่างเป็นทางการจาก NIST

การส่งครั้งนี้ยืนยันว่าโค้ดของโมดูลเข้ารหัสได้ผ่านการทดสอบจากห้องแล็บอิสระและผ่านเกณฑ์ของ NIST แล้วทั้งหมด โดย OpenSSL 3.5.4 ถือเป็นโมดูลแบบ open-source ที่สอดคล้องกับมาตรฐาน FIPS 140-3 ซึ่งจะช่วยให้องค์กรภาครัฐและเอกชนสามารถนำไปใช้งานได้อย่างมั่นใจในด้านความปลอดภัยและการปฏิบัติตามข้อกำหนด

OpenSSL 3.5 ซึ่งเปิดตัวเมื่อเดือนเมษายน 2025 ได้เพิ่มการรองรับอัลกอริธึมเข้ารหัสแบบ post-quantum เช่น ML-KEM, ML-DSA และ SLH-DSA ตามแนวทางการมาตรฐานของ NIST เพื่อเตรียมความพร้อมสำหรับยุคที่คอมพิวเตอร์ควอนตัมอาจทำลายระบบเข้ารหัสแบบเดิม

Jason Lawlor ประธานของ Lightship Security กล่าวว่า “นี่คือก้าวสำคัญในการรักษาความปลอดภัยแบบมาตรฐานในหนึ่งในไลบรารีโอเพ่นซอร์สที่ใช้กันแพร่หลายที่สุดในโลก” ขณะที่ Tim Hudson จาก OpenSSL Corporation ย้ำว่า “โมดูลนี้พร้อมใช้งานแล้ว แม้ใบรับรองจะยังไม่ออกก็ตาม”

การร่วมมือครั้งนี้ยังสานต่อประวัติศาสตร์ของ OpenSSL ในการพัฒนาโมดูลที่ได้รับการรับรอง FIPS ซึ่งถูกใช้งานในระบบของรัฐบาล กลาโหม และองค์กรเชิงพาณิชย์ทั่วโลก

ข้อมูลสำคัญจากข่าว
OpenSSL 3.5.4 ถูกส่งเข้าสู่กระบวนการรับรอง FIPS 140-3 โดย CMVP
โมดูลผ่านการทดสอบจาก NIST และห้องแล็บอิสระเรียบร้อยแล้ว
เป็นโมดูลแบบ open-source ที่สอดคล้องกับมาตรฐาน FIPS 140-3
OpenSSL 3.5 รองรับอัลกอริธึม post-quantum เช่น ML-KEM, ML-DSA, SLH-DSA
โมดูลนี้ถูกใช้งานในระบบของรัฐบาล กลาโหม และองค์กรเชิงพาณิชย์
Jason Lawlor และ Tim Hudson ยืนยันว่าโมดูลพร้อมใช้งานแล้ว
การรับรองจะช่วยให้องค์กรสามารถใช้งานได้อย่างมั่นใจในด้าน compliance

ข้อมูลเสริมจากภายนอก
FIPS 140-3 เป็นมาตรฐานความปลอดภัยสำหรับโมดูลเข้ารหัสที่ใช้ในภาครัฐสหรัฐฯ
Post-quantum cryptography คือการเข้ารหัสที่ทนต่อการโจมตีจากคอมพิวเตอร์ควอนตัม
ML-KEM และ ML-DSA เป็นอัลกอริธึมที่ได้รับการเสนอโดย NIST สำหรับการใช้งานในอนาคต
OpenSSL เป็นไลบรารีเข้ารหัสที่ใช้ในระบบอินเทอร์เน็ตและ embedded systems ทั่วโลก
การรับรอง FIPS ช่วยให้องค์กรสามารถผ่านข้อกำหนดด้านความปลอดภัยของหลายประเทศ

https://securityonline.info/lightship-security-and-the-openssl-corporation-submit-openssl-3-5-4-for-fips-140-3-validation/

“Cisco เปิดตัวเราเตอร์ 8223 — แกนกลางเครือข่าย AI แห่งอนาคต ด้วยความเร็ว 51.2 Tbps และชิป P200 สุดล้ำ”

ในยุคที่ปัญญาประดิษฐ์ (AI) กลายเป็นหัวใจของการประมวลผลระดับองค์กร Cisco ได้เปิดตัวเราเตอร์รุ่นใหม่ “Cisco 8223” ซึ่งเป็นเราเตอร์แบบ Ethernet fixed router ที่เร็วที่สุดในอุตสาหกรรม ด้วยความเร็วสูงถึง 51.2 Tbps โดยใช้ชิปที่พัฒนาขึ้นเองชื่อว่า “Silicon One P200” เพื่อรองรับการเชื่อมต่อระหว่างศูนย์ข้อมูลที่ต้องรับภาระจาก AI workloads ที่เพิ่มขึ้นอย่างมหาศาล

Martin Lund รองประธานฝ่ายฮาร์ดแวร์ของ Cisco ระบุว่า “AI compute กำลังเติบโตเกินขีดความสามารถของศูนย์ข้อมูลเดี่ยว ทำให้ต้องเชื่อมต่อศูนย์ข้อมูลหลายแห่งเข้าด้วยกันอย่างปลอดภัยและมีประสิทธิภาพ” ซึ่ง Cisco 8223 ตอบโจทย์นี้ได้ด้วยการออกแบบให้รองรับการ “scale-across” หรือการกระจายงาน AI ไปยังหลายศูนย์ข้อมูล

Cisco 8223 มีจุดเด่นด้านพลังงานและพื้นที่ โดยเป็นระบบแบบ 3RU ที่ใช้พลังงานต่ำที่สุดในกลุ่มเราเตอร์ระดับนี้ พร้อมรองรับพอร์ต 800G ถึง 64 ช่อง และสามารถประมวลผลได้มากกว่า 20 พันล้านแพ็กเก็ตต่อวินาที รองรับการเชื่อมต่อระยะไกลถึง 1,000 กิโลเมตรผ่าน coherent optics

ชิป P200 ยังมีความสามารถในการปรับแต่งโปรโตคอลใหม่ ๆ ได้แบบเรียลไทม์ โดยไม่ต้องเปลี่ยนฮาร์ดแวร์ และมีระบบ deep buffering ที่ช่วยดูดซับการพุ่งขึ้นของปริมาณข้อมูลจากการฝึก AI ได้อย่างมีประสิทธิภาพ

ด้านความปลอดภัย Cisco 8223 มาพร้อมการเข้ารหัสระดับ line-rate ด้วยอัลกอริธึมที่ทนต่อการโจมตีจากคอมพิวเตอร์ควอนตัม พร้อมระบบตรวจสอบและวิเคราะห์เครือข่ายแบบละเอียดผ่านแพลตฟอร์ม observability ของ Cisco

ระบบนี้จะเริ่มต้นใช้งานกับระบบปฏิบัติการ SONiC แบบโอเพ่นซอร์ส และจะรองรับ IOS XR ในอนาคต รวมถึงสามารถนำชิป P200 ไปใช้ในระบบ modular และ disaggregated ได้อีกด้วย

ข้อมูลสำคัญจากข่าว
Cisco เปิดตัวเราเตอร์ 8223 ความเร็ว 51.2 Tbps สำหรับงาน AI ระดับองค์กร
ใช้ชิป Silicon One P200 ที่พัฒนาโดย Cisco เอง
รองรับการเชื่อมต่อระหว่างศูนย์ข้อมูลแบบ “scale-across”
ระบบแบบ 3RU ที่ประหยัดพลังงานและพื้นที่มากที่สุดในกลุ่ม
รองรับพอร์ต 800G จำนวน 64 ช่อง และเชื่อมต่อได้ไกลถึง 1,000 กม.
ประมวลผลได้มากกว่า 20 พันล้านแพ็กเก็ตต่อวินาที
รองรับการเข้ารหัสแบบ post-quantum และระบบตรวจสอบเครือข่าย
รองรับ SONiC และเตรียมเปิดใช้งานกับ IOS XR และ NX-OS
ชิป P200 สามารถนำไปใช้ในระบบ modular และ disaggregated

ข้อมูลเสริมจากภายนอก
Silicon One เป็นสถาปัตยกรรม unified networking ที่ใช้ใน hyperscaler และ AI infrastructure
Microsoft และ Alibaba เป็นลูกค้ารายแรกที่นำ Cisco 8223 ไปใช้งาน
การเชื่อมต่อแบบ coherent optics ช่วยลด latency และเพิ่มความเสถียรในการเชื่อมต่อระยะไกล
Deep buffering ช่วยจัดการกับข้อมูลที่พุ่งขึ้นจากการฝึก AI ได้ดี
การ scale-across เป็นแนวทางใหม่ที่แทนการ scale-up หรือ scale-out ในศูนย์ข้อมูล

https://www.techpowerup.com/341711/cisco-rolls-out-8223-router-with-51-2-tbps-powered-by-in-house-chip

“จับสองวัยรุ่นอังกฤษ โจมตีแรนซัมแวร์ใส่ศูนย์เด็ก Kido — ข้อมูลเด็ก 8,000 คนถูกขโมยและขู่เรียกค่าไถ่”

ตำรวจนครบาลลอนดอน (Met Police) ได้จับกุมวัยรุ่นชายอายุ 17 ปีสองคนในเมือง Bishop’s Stortford, Hertfordshire เมื่อวันที่ 7 ตุลาคม 2025 จากข้อหาการใช้คอมพิวเตอร์ในทางมิชอบและการแบล็กเมล์ หลังจากเกิดเหตุโจมตีแรนซัมแวร์ต่อเครือข่ายศูนย์เด็ก Kido ซึ่งมีสาขาทั่วลอนดอน

กลุ่มแฮกเกอร์ที่เรียกตัวเองว่า “Radiant” ได้อ้างความรับผิดชอบในการโจมตี โดยสามารถเข้าถึงข้อมูลส่วนตัวของเด็กกว่า 8,000 คนและครอบครัวผ่านซอฟต์แวร์ Famly ที่ศูนย์เด็กใช้ในการจัดการข้อมูล แม้ Famly จะยืนยันว่าโครงสร้างพื้นฐานของตนไม่ถูกเจาะ แต่การเข้าถึงผ่านบัญชีผู้ใช้ก็เพียงพอให้ Radiant ขโมยข้อมูลสำคัญ เช่น ชื่อ ที่อยู่ รูปถ่าย ข้อมูลติดต่อของผู้ปกครอง และบันทึกทางการแพทย์ที่เป็นความลับ

Radiant ได้เรียกร้องค่าไถ่ประมาณ £600,000 เป็น Bitcoin และใช้วิธีการกดดันที่รุนแรง เช่น โทรหาผู้ปกครองโดยตรง และโพสต์ภาพเด็กบางคนลงใน dark web เพื่อบีบให้ศูนย์เด็กจ่ายเงิน อย่างไรก็ตาม กลุ่มนี้กลับได้รับเสียงประณามอย่างหนัก แม้แต่จากแฮกเกอร์ด้วยกัน จนสุดท้าย Radiant ได้เบลอภาพและประกาศลบข้อมูลทั้งหมดเมื่อวันที่ 2 ตุลาคม

ตำรวจ Met ยืนยันว่ากำลังดำเนินการสอบสวนอย่างจริงจัง โดย Will Lyne หัวหน้าฝ่ายอาชญากรรมไซเบอร์กล่าวว่า “นี่เป็นก้าวสำคัญในการนำผู้กระทำผิดเข้าสู่กระบวนการยุติธรรม” ขณะที่ศูนย์เด็ก Kido ก็ออกแถลงการณ์ขอบคุณการดำเนินการของตำรวจ

เหตุการณ์นี้สะท้อนถึงความเปราะบางของภาคการศึกษา โดยเฉพาะศูนย์เด็กและโรงเรียนที่มักมีงบประมาณด้าน IT จำกัด ทำให้ตกเป็นเป้าหมายของแรนซัมแวร์บ่อยครั้ง รายงานจาก Sophos และ AtlastVPN เคยระบุว่า 80% ของผู้ให้บริการการศึกษาระดับต้นเคยถูกโจมตีด้วยแรนซัมแวร์ภายในหนึ่งปี

ข้อมูลสำคัญจากข่าว
ตำรวจ Met จับกุมวัยรุ่นชายสองคนจากข้อหาใช้คอมพิวเตอร์ในทางมิชอบและแบล็กเมล์
เหตุโจมตีเกิดขึ้นกับศูนย์เด็ก Kido ซึ่งมีข้อมูลเด็กกว่า 8,000 คนถูกขโมย
ข้อมูลที่ถูกขโมยรวมถึงชื่อ ที่อยู่ รูปถ่าย และบันทึกทางการแพทย์
กลุ่มแฮกเกอร์ Radiant เรียกร้องค่าไถ่ £600,000 เป็น Bitcoin
Radiant โทรหาผู้ปกครองและโพสต์ภาพเด็กใน dark web เพื่อกดดัน
หลังถูกประณาม กลุ่ม Radiant เบลอภาพและประกาศลบข้อมูล
ตำรวจ Met ยืนยันดำเนินการสอบสวนอย่างจริงจัง
ศูนย์เด็ก Kido ขอบคุณการดำเนินการของตำรวจ

ข้อมูลเสริมจากภายนอก
Famly เป็นซอฟต์แวร์จัดการศูนย์เด็กที่ใช้กันแพร่หลายในยุโรป
ข้อมูลเด็กเป็นเป้าหมายของแฮกเกอร์ เพราะมีประวัติเครดิตสะอาดและยากต่อการตรวจพบ
การโจมตีแรนซัมแวร์ในภาคการศึกษามักเกิดจาก phishing และการตั้งค่าความปลอดภัยต่ำ
กลุ่มแฮกเกอร์วัยรุ่น เช่น Lapsus$ และ Scattered Spider เคยโจมตีองค์กรใหญ่หลายแห่ง
การโจมตีข้อมูลเด็กถือเป็น “จุดต่ำสุดใหม่” ของอาชญากรรมไซเบอร์

https://hackread.com/uk-police-arrest-teens-kido-nursery-ransomware-attack/

“Miggo Security คว้าตำแหน่ง Gartner Cool Vendor — พลิกเกมป้องกันภัยไซเบอร์ในยุค AI ด้วยการตรวจจับแบบเรียลไทม์”

ในวันที่ AI กลายเป็นทั้งเครื่องมือสร้างสรรค์และช่องทางโจมตีใหม่สำหรับภัยไซเบอร์ บริษัท Miggo Security จาก Tel Aviv ได้รับการยกย่องจาก Gartner ให้เป็นหนึ่งใน “Cool Vendor” ด้าน AI Security ประจำปี 2025 จากความสามารถในการตรวจจับและตอบสนองภัยคุกคามในแอปพลิเคชันแบบเรียลไทม์ ผ่านแพลตฟอร์ม Application Detection & Response (ADR)

Miggo มุ่งเน้นการแก้ปัญหา “ช่องว่างระหว่างการตรวจจับและการตอบสนอง” ซึ่งเป็นจุดอ่อนของระบบรักษาความปลอดภัยแบบเดิม โดยใช้เทคโนโลยี DeepTracing ที่สามารถตรวจจับภัยคุกคามใหม่ ๆ เช่น zero-day และรูปแบบการโจมตีที่เกิดขึ้นเฉพาะในแอปพลิเคชันที่มี AI ฝังอยู่

แพลตฟอร์มของ Miggo ยังมีฐานข้อมูล AppDNA และ Predictive Vulnerability Database ที่ช่วยลด backlog ของช่องโหว่ได้ถึง 99% โดยใช้ AI วิเคราะห์บริบทของแอปพลิเคชันและจัดลำดับความสำคัญของช่องโหว่ที่ควรแก้ก่อน

นอกจากนี้ยังมีฟีเจอร์ WAF Copilot ที่สามารถสร้างกฎป้องกันเว็บแอปพลิเคชันแบบ custom ได้ภายในไม่กี่นาที และระบบ Agentless Integration ที่สามารถติดตั้งร่วมกับ Kubernetes และระบบ CI/CD ได้โดยไม่ต้องเปลี่ยนโครงสร้างเดิม

Gartner เตือนว่า “ภายในปี 2029 กว่า 50% ของการโจมตีไซเบอร์ที่สำเร็จต่อ AI agents จะเกิดจากการเจาะระบบควบคุมสิทธิ์ เช่น prompt injection” ซึ่งทำให้การป้องกันแบบ runtime และการวิเคราะห์พฤติกรรมของแอปพลิเคชันกลายเป็นสิ่งจำเป็น

CEO ของ Miggo, Daniel Shechter กล่าวว่า “การได้รับการยอมรับจาก Gartner คือการยืนยันว่า ADR คืออนาคตของการรักษาความปลอดภัยในยุค AI” โดยเน้นว่าองค์กรต้องสามารถ “รู้ พิสูจน์ และป้องกัน” ภัยคุกคามที่เกิดขึ้นในแอปพลิเคชันได้ทันที

ข้อมูลสำคัญจากข่าว
Miggo Security ได้รับการยกย่องเป็น Gartner Cool Vendor ด้าน AI Security ปี 2025
ใช้แพลตฟอร์ม Application Detection & Response (ADR) สำหรับการตรวจจับแบบ runtime
เทคโนโลยี DeepTracing ตรวจจับ AI-native threats และ zero-day ได้แบบเรียลไทม์
ฐานข้อมูล AppDNA และ Predictive Vulnerability Database ลด backlog ช่องโหว่ได้ 99%
WAF Copilot สร้างกฎป้องกันเว็บแอปแบบ custom ได้ภายในไม่กี่นาที
Agentless Integration รองรับ Kubernetes และระบบ CI/CD โดยไม่ต้องติดตั้ง agent
Gartner เตือนภัย prompt injection จะเป็นช่องโหว่หลักของ AI agents ภายในปี 2029
CEO Daniel Shechter ยืนยันว่า ADR คืออนาคตของการรักษาความปลอดภัยในยุค AI

ข้อมูลเสริมจากภายนอก
Prompt injection คือการแทรกคำสั่งใน input เพื่อควบคุมพฤติกรรมของ AI
Zero-day คือช่องโหว่ที่ยังไม่มีแพตช์แก้ไข และมักถูกใช้ในการโจมตีขั้นสูง
Runtime security คือการตรวจสอบพฤติกรรมของแอปพลิเคชันขณะทำงานจริง
Gartner Cool Vendor เป็นการยกย่องบริษัทที่มีนวัตกรรมโดดเด่นในอุตสาหกรรม
การใช้ AI ในระบบรักษาความปลอดภัยช่วยลดเวลาในการตอบสนองและเพิ่มความแม่นยำ

https://hackread.com/miggo-security-named-a-gartner-cool-vendor-in-ai-security/

“OpenAI เตือนภัย — กลุ่มแฮกเกอร์จากรัฐต่างชาติใช้ AI เป็นเครื่องมือโจมตีไซเบอร์แบบครบวงจร”

รายงานล่าสุดจาก OpenAI ในเดือนตุลาคม 2025 ชื่อว่า “Disrupting Malicious Uses of AI” เผยให้เห็นแนวโน้มที่น่ากังวล: กลุ่มภัยคุกคามจากรัฐต่างชาติ เช่น รัสเซีย จีน เกาหลีเหนือ และอิหร่าน กำลังใช้เครื่องมือ AI อย่าง ChatGPT และโมเดลอื่น ๆ เพื่อเสริมประสิทธิภาพในการโจมตีไซเบอร์ การหลอกลวง และปฏิบัติการชักจูงทางข้อมูล (influence operations)

OpenAI พบว่ากลุ่มเหล่านี้ไม่ได้เปลี่ยนวิธีการโจมตี แต่ใช้ AI เพื่อทำให้กระบวนการเดิมเร็วขึ้นและแม่นยำขึ้น เช่น เขียนมัลแวร์ ปรับแต่งข้อความฟิชชิ่ง หรือจัดการเนื้อหาหลอกลวงในโซเชียลมีเดีย โดยใช้ ChatGPT ในขั้นตอนวางแผนและใช้โมเดลอื่นในขั้นตอนปฏิบัติ

ตัวอย่างที่พบ ได้แก่:

กลุ่มรัสเซียใช้ ChatGPT เพื่อเขียนโค้ดสำหรับ remote-access tools และ credential stealers โดยหลบเลี่ยงข้อจำกัดของโมเดลด้วยการขอคำแนะนำทีละส่วน

กลุ่มเกาหลีเหนือใช้ ChatGPT เพื่อ debug โค้ดและสร้างข้อความฟิชชิ่งเกี่ยวกับคริปโตเคอร์เรนซี

กลุ่มจีนใช้ ChatGPT เพื่อสร้างเนื้อหาฟิชชิ่งหลายภาษา และช่วย debug มัลแวร์ โดยมีเป้าหมายโจมตีสถาบันการศึกษาและอุตสาหกรรมเซมิคอนดักเตอร์

นอกจากนี้ยังพบการใช้ AI ในเครือข่ายหลอกลวงขนาดใหญ่ในประเทศกัมพูชา เมียนมา และไนจีเรีย เช่น ใช้ ChatGPT เพื่อแปลข้อความ สร้างโปรไฟล์บริษัทลงทุนปลอม และจัดการกลุ่มแชตปลอมใน WhatsApp

ที่น่ากังวลที่สุดคือการใช้ AI เพื่อวัตถุประสงค์ด้านการสอดแนม โดยมีบัญชีที่เชื่อมโยงกับรัฐบาลจีนขอให้ ChatGPT ช่วยร่างข้อเสนอสำหรับระบบติดตามบุคคล เช่น “แบบจำลองเตือนภัยการเคลื่อนไหวของชาวอุยกูร์” โดยใช้ข้อมูลการเดินทางและตำรวจ

OpenAI ยืนยันว่าโมเดลของตนตอบกลับเฉพาะข้อมูลสาธารณะ และได้ปิดบัญชีที่เกี่ยวข้องกับการใช้งานผิดวัตถุประสงค์ไปแล้วกว่า 40 เครือข่าย พร้อมร่วมมือกับ Microsoft Threat Intelligence เพื่อป้องกันการละเมิดในอนาคต

ข้อมูลสำคัญจากข่าว
OpenAI เผยรายงาน “Disrupting Malicious Uses of AI” เดือนตุลาคม 2025
พบการใช้ AI โดยกลุ่มภัยคุกคามจากรัฐ เช่น รัสเซีย จีน เกาหลีเหนือ และอิหร่าน
ใช้ ChatGPT เพื่อวางแผนโจมตี เช่น เขียนโค้ดมัลแวร์และข้อความฟิชชิ่ง
กลุ่มจีนใช้ AI เพื่อสร้างเนื้อหาฟิชชิ่งหลายภาษาและ debug มัลแวร์
กลุ่มรัสเซียใช้หลายบัญชี ChatGPT เพื่อสร้าง remote-access tools
กลุ่มเกาหลีเหนือใช้ AI เพื่อพัฒนา VPN และ browser extensions
เครือข่ายหลอกลวงในกัมพูชา เมียนมา และไนจีเรียใช้ AI เพื่อจัดการกลุ่มแชตปลอม
พบการใช้ AI เพื่อวัตถุประสงค์ด้านการสอดแนม เช่น ติดตามชาวอุยกูร์
OpenAI ปิดบัญชีที่ละเมิดแล้วกว่า 40 เครือข่าย และร่วมมือกับ Microsoft

ข้อมูลเสริมจากภายนอก
WormGPT, FraudGPT และ SpamGPT เป็นโมเดล AI ที่ถูกใช้ในงานโจมตีโดยเฉพาะ
MatrixPDF เป็นเครื่องมือที่เปลี่ยนไฟล์ PDF ธรรมดาให้กลายเป็นมัลแวร์
Influence operations คือการใช้ข้อมูลเพื่อชักจูงความคิดเห็นสาธารณะ
“Stop News” และ “Nine emdash Line” เป็นแคมเปญที่ใช้ AI เพื่อสร้างเนื้อหาโปรรัสเซียและวิจารณ์ประเทศในเอเชีย
AI ถูกใช้ในการวางแผนโจมตีแบบ kill chain ตั้งแต่ reconnaissance ถึง execution

https://hackread.com/openai-ai-tools-exploitation-threat-groups/

“RediShell — ช่องโหว่ 13 ปีใน Redis ที่เปิดประตูให้แฮกเกอร์ยึดเซิร์ฟเวอร์กว่า 60,000 เครื่องทั่วโลก”

Redis ฐานข้อมูลแบบ in-memory ที่ใช้กันอย่างแพร่หลายในระบบคลาวด์ทั่วโลก กำลังเผชิญกับช่องโหว่ร้ายแรงที่ถูกค้นพบในปี 2025 โดยนักวิจัยจาก Wiz ซึ่งตั้งชื่อว่า “RediShell” (CVE-2025-49844) ช่องโหว่นี้มีคะแนนความรุนแรง CVSS เต็ม 10.0 และถูกซ่อนอยู่ในโค้ดของ Redis มานานกว่า 13 ปีโดยไม่มีใครตรวจพบ

จุดอ่อนเกิดจากบั๊กประเภท use-after-free ใน Lua interpreter ของ Redis ซึ่งเป็นฟีเจอร์ที่เปิดใช้งานโดยค่าเริ่มต้น ผู้โจมตีสามารถส่งสคริปต์ Lua ที่ถูกออกแบบมาอย่างเจาะจงเพื่อหลบหนีจาก sandbox และรันคำสั่ง native บนเซิร์ฟเวอร์ได้โดยตรง ส่งผลให้สามารถขโมยข้อมูล ติดตั้งมัลแวร์ หรือใช้เซิร์ฟเวอร์ที่ถูกยึดเพื่อโจมตีระบบอื่นต่อได้

จากการสแกนของ Wiz พบว่า Redis ถูกใช้งานในกว่า 75% ของระบบคลาวด์ และมี Redis instance ที่เปิดให้เข้าถึงจากอินเทอร์เน็ตกว่า 330,000 เครื่อง โดยประมาณ 60,000 เครื่องไม่มีระบบ authentication ใด ๆ ทำให้เสี่ยงต่อการถูกโจมตีโดยไม่ต้องยืนยันตัวตน

Redis ได้ออกแพตช์แก้ไขเมื่อวันที่ 3 ตุลาคม 2025 และแนะนำให้ผู้ดูแลระบบอัปเดตทันที พร้อมตั้งค่าความปลอดภัยเพิ่มเติม เช่น ปิด Lua scripting หากไม่จำเป็น ใช้บัญชี non-root และจำกัดการเข้าถึงผ่าน firewall หรือ VPC

RediShell เป็นตัวอย่างชัดเจนของ “หนี้ทางเทคนิค” ที่สะสมในโค้ดโอเพ่นซอร์ส และแสดงให้เห็นว่าการตั้งค่าระบบที่ไม่รัดกุมสามารถเปิดช่องให้เกิดการโจมตีระดับร้ายแรงได้ แม้จะไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้โจมตีจริงในขณะนี้ แต่ความเสี่ยงที่เกิดขึ้นถือว่าสูงมาก โดยเฉพาะในระบบที่เปิดสู่สาธารณะ

ข้อมูลสำคัญจากข่าว
ช่องโหว่ RediShell (CVE-2025-49844) เป็นบั๊ก use-after-free ใน Lua interpreter ของ Redis
ผู้โจมตีสามารถส่ง Lua script เพื่อหลบหนี sandbox และรันคำสั่ง native บนเซิร์ฟเวอร์
มี Redis instance เปิดสู่สาธารณะกว่า 330,000 เครื่อง โดย 60,000 ไม่มี authentication
Redis ใช้ในกว่า 75% ของระบบคลาวด์ทั่วโลก
Redis ออกแพตช์แก้ไขเมื่อวันที่ 3 ตุลาคม 2025
Wiz ค้นพบช่องโหว่นี้ในงาน Pwn2Own Berlin และแจ้ง Redis ล่วงหน้า
แนะนำให้ปิด Lua scripting หากไม่จำเป็น และใช้บัญชี non-root
ควรจำกัดการเข้าถึง Redis ด้วย firewall หรือ VPC
เปิดระบบ logging และ monitoring เพื่อจับพฤติกรรมผิดปกติ

ข้อมูลเสริมจากภายนอก
Lua เป็นภาษา lightweight ที่นิยมใช้ใน embedded systems และเกม
use-after-free เป็นบั๊กที่เกิดจากการใช้ memory หลังจากถูกปล่อยคืนแล้ว
Redis เคยถูกโจมตีด้วยมัลแวร์ เช่น P2PInfect, Redigo, HeadCrab และ Migo
Redis container บน Docker มักไม่มีการตั้งค่า authentication โดยค่าเริ่มต้น
การตั้งค่า bind 0.0.0.0 ใน Docker Compose อาจเปิด Redis สู่สาธารณะโดยไม่ตั้งใจ

https://hackread.com/13-year-old-redishell-vulnerability-redis-servers-risk/