จากรายงานผลการตรวจสอบ และรับมือเหตุการณ์ของ Mandiant พบว่า มีการใช้ช่องโหว่ Zero-Day ที่เพิ่งเปิดเผยใหม่ในระบบ Learning Management System (LMS) ของ KnowledgeDeliver ไปใช้ในการโจมตีจริงเพื่อติดตั้ง Web shell แบบ In-Memory ที่ชื่อว่า BLUEBEAM

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-5426 ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน (Remote Code Execution) และส่งผลกระทบต่อระบบที่มีการตั้งค่า ASP.NET ตามค่า Default ก่อนวันที่ 24 กุมภาพันธ์ 2026

KnowledgeDeliver ซึ่งพัฒนาโดยบริษัท Digital Knowledge ในประเทศญี่ปุ่น เป็นระบบที่ถูกใช้งานกันอย่างแพร่หลายทั้งในระดับองค์กร และสถาบันการศึกษา การสืบสวนของ Mandiant ต่อเหตุการณ์การโจมตีในช่วงปลายปี 2025 เผยให้เห็นว่าสาเหตุของการถูกโจมตีนั้นมาจากแนวทางปฏิบัติด้านการเข้ารหัสที่ไม่ปลอดภัย โดยเฉพาะการนำ Machine Key ของ ASP.NET ที่เหมือนกันมาใช้ซ้ำในระบบของลูกค้าหลายราย

Keys เหล่านี้มีหน้าที่ในการรักษาความปลอดภัยของข้อมูล ViewState ซึ่งเป็นกลไกที่ใช้สำหรับรักษาสถานะของหน้าเว็บเพจในระหว่างที่มีการส่ง Request ในแอปพลิเคชัน ASP.NET

ช่องโหว่ Zero-Day ของ KnowledgeDeliver LMS ถูกนำไปใช้ในการโจมตี

เนื่องจากค่า machineKey ถูกฝังไว้แบบ Hardcoded และถูกใช้งานร่วมกัน ผู้โจมตีที่ได้ Keys เหล่านี้จากเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่ง จึงสามารถสร้าง Payload ที่เป็นอันตรายของ ViewState และนำไปใช้ซ้ำเพื่อโจมตีเซิร์ฟเวอร์อื่น ๆ ที่ใช้งาน Keys เดียวกันได้

ด้วยการสร้าง Payload แบบ Serialized และส่งผ่านพารามิเตอร์ __VIEWSTATE ใน HTTP Request ผู้โจมตีสามารถบังคับให้เซิร์ฟเวอร์ทำการ Deserialize โดยใช้ข้อมูลที่ไม่น่าเชื่อถือ ซึ่งส่งผลให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ได้สำเร็จ

รูปแบบการโจมตีแบบ Attack chain นี้ คล้ายคลึงอย่างมากกับการโจมตีแบบ ViewState Deserialization ที่เคยมีรายงานก่อนหน้านี้บนแพลตฟอร์มอย่าง Sitecore รวมถึงแคมเปญการโจมตีก่อนหน้าที่ Microsoft เคยเน้นย้ำซึ่งเกี่ยวข้องกับการรั่วไหลของ Machine Key

หลังจากที่โจมตีเข้าสู่ระบบในเบื้องต้นได้สำเร็จ ผู้โจมตีได้ทำการฝัง BLUEBEAM ซึ่งเป็น Web shell ที่ทำงานบน .NET (หรือที่รู้จักกันในชื่อ Godzilla) แตกต่างจาก Web shell แบบเดิมที่ต้องอาศัยไฟล์ที่จัดเก็บไว้ใน Disk เพราะ BLUEBEAM จะทำงานในหน่วยความจำทั้งหมดภายใต้โปรเซส IIS worker (w3wp.

Trend Micro บริษัทซอฟต์แวร์ด้านความปลอดภัยทางไซเบอร์ของญี่ปุ่น ออกมาแจ้งเตือนช่องโหว่ Zero-day ใน Apex One ที่กำลังถูกนำมาใช้ในการโจมตีบน Windows

Apex One คือ enterprise-grade endpoint security platform ของ Trend Micro ที่สามารถป้องกันภัยคุกคามด้านความปลอดภัยทางไซเบอร์หลากหลายรูปแบบ รวมถึง malware, ransomware, fileless attacks และการโจมตีแบบ web-based (more…)

มีการเปิดเผยช่องโหว่ Zero-day Remote Code Execution รายการใหม่ ที่ถูกตั้งชื่อว่า nginx-poolslip โดยพบในซอฟต์แวร์เว็บเซิร์ฟเวอร์ที่ถูกใช้งานอย่างแพร่หลายอย่าง NGINX เวอร์ชัน 1.31.0 ซึ่งเป็น Stable release ล่าสุด

(more…)

Microsoft ได้เผยแพร่วิธีลดผลกระทบสำหรับ YellowKey ซึ่งเป็นช่องโหว่ Zero-Day ของ Windows BitLocker ที่เพิ่งถูกเปิดเผยเมื่อไม่นานมานี้ โดยช่องโหว่ดังกล่าวทำให้ผู้ไม่หวังดีสามารถเข้าถึงไดรฟ์ที่ถูก protected ไว้ได้ (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่โค้ดตัวอย่างการโจมตี (PoC) ของช่องโหว่ Zero-Day ใน Windows ที่เรียกว่า "MiniPlasma" ซึ่งทำให้ Hacker สามารถเข้าถึงสิทธิ์ระดับ SYSTEM บนระบบ Windows ที่อัปเดตแพตซ์แล้วได้ (more…)

 

ช่องโหว่ Zero-day ระดับความรุนแรงสูงสุดใน Cisco Catalyst SD-WAN Controller กำลังถูกนำไปใช้โจมตีจริงในปัจจุบัน ซึ่งอาจทำให้ผู้โจมตีจากภายนอก ที่ไม่ต้องผ่านการยืนยันตัวตน สามารถ Bypass การ Authentication ได้ และสามารถเข้ายึดสิทธิ์การควบคุมระดับผู้ดูแลระบบ (Admin) ใน Network Infrastructure ขององค์กรได้ (more…)

นักวิจัยจาก Google Threat Intelligence Group (GTIG) เปิดเผยรายงานสำคัญระบุว่า มีการตรวจพบการใช้ zero-day exploit ที่มุ่งเป้าไปที่เครื่องมือการดูแลเว็บแบบโอเพ่นซอร์สยอดนิยม โดยวิเคราะห์ว่าโค้ดที่ใช้โจมตีนั้น น่าจะถูกสร้างขึ้นโดย AI (more…)

ช่องโหว่ Zero-day ใหม่บน Linux ที่มีชื่อว่า Dirty Frag อาจทำให้ผู้โจมตีที่สามารถเข้าถึงเครื่องของเหยื่อได้ และได้รับสิทธิ์ Root บน Major Linux Distributions ส่วนใหญ่ได้ด้วยการใช้คำสั่งเพียงคำสั่งเดียว

Hyunwoo Kim นักวิจัยด้านความปลอดภัยเป็นผู้เปิดเผยช่องโหว่นี้เมื่อวันที่ 8 พฤษภาคมที่ผ่านมา พร้อมทั้งเผยแพร่ชุดโค้ด Proof-of-concept (PoC) โดยระบุว่า ช่องโหว่ Local privilege escalation นี้เกิดขึ้นมาเมื่อราว ๆ 9 ปีก่อนในส่วน Algorithm interface การเข้ารหัส algif_aead ของ Linux kernel

Dirty Frag ทำงานโดยการเชื่อมโยงช่องโหว่ 2 รายการของ Kernel เข้าด้วยกัน ได้แก่ ช่องโหว่ xfrm-ESP Page-Cache Write และช่องโหว่ RxRPC Page-Cache Write เพื่อทำการแก้ไขไฟล์ระบบที่ได้รับการปกป้องไว้ในหน่วยความจำโดยไม่ได้รับอนุญาต และทำให้สามารถยกระดับสิทธิ์ได้ในที่สุด

นอกจากนี้ แม้ว่า Dirty Frag จะจัดอยู่ในช่องโหว่ประเภทเดียวกันกับ Dirty Pipe และ Copy Fail บน Linux แต่มันก็ทำการโจมตีผ่าน Fragment field ของโครงสร้างข้อมูล Kernel ที่แตกต่างออกไป

Kim ระบุว่า "เช่นเดียวกับช่องโหว่ Copy Fail ก่อนหน้านี้ Dirty Frag อาจทำให้สามารถยกระดับสิทธิ์เป็น Root ได้ในทันทีบน Major distributions ทั้งหมด และมันทำงานโดยการเชื่อมโยงช่องโหว่ 2 รายการที่แยกจากกันเข้าด้วยกัน"

"Dirty Frag เป็นกรณีที่ขยายขอบเขตของ Bug class ที่ Dirty Pipe และ Copy Fail จัดอยู่ เนื่องจากมันเป็น Deterministic logic bug ซึ่งไม่ได้ขึ้นอยู่กับช่วงเวลา จึงไม่จำเป็นต้องอาศัยเงื่อนไข Race condition ส่งผลให้ Kernel ไม่เกิดการหยุดทำงานกะทันหันแม้การโจมตีจะไม่สำเร็จ และทำให้มีอัตราความสำเร็จที่สูงมาก"

การยกระดับสิทธิ์ระดับ Kernel นี้ส่งผลกระทบต่อ Linux distros เป็นวงกว้าง รวมถึง Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed และ Fedora ซึ่งในขณะนี้ยังไม่ได้รับการแพตช์แก้ไข

Kim ได้เผยแพร่เอกสารรายละเอียดของ Dirty Frag ฉบับสมบูรณ์ และชุดโค้ด PoC โดยได้รับความยินยอมจากผู้ดูแล Distribution หลังจากข้อตกลงในการระงับการเปิดเผยข้อมูลต่อสาธารณะถูกละเมิดเมื่อวันที่ 7 พฤษภาคม 2026 เนื่องจากมีบุคคลที่สามที่ไม่เกี่ยวข้องได้เผยแพร่วิธีการโจมตีดังกล่าวออกมา

Kim ระบุว่า "เนื่องจากข้อตกลงระงับการเปิดเผยข้อมูลถูกละเมิดไปแล้ว จึงยังไม่มีแพตช์แก้ไขหรือหมายเลข CVE ออกมารองรับในขณะนี้ หลังจากได้ปรึกษากับเหล่าผู้ดูแลผ่านทาง linux-distros@vs.

Ivanti ได้แจ้งเตือนลูกค้าให้เร่งแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่มีระดับความรุนแรงสูงใน Endpoint Manager Mobile (EPMM) ซึ่งกำลังถูกใช้ในการโจมตีแบบ Zero-Day

CVE-2026-6973 (คะแนน CVSS 7.2/10 ความรุนแรงระดับ High) เป็นช่องโหว่ Input Validation ที่ทำให้ Hacker จากภายนอกที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถเรียกใช้โค้ดที่เป็นอันตรายบนระบบเป้าหมายที่ใช้งาน EPMM ที่มีช่องโหว่ เวอร์ชัน 12.8.0.0 และก่อนหน้า

Ivanti ได้แนะนำให้ผู้ใช้งาน EPMM เวอร์ชันที่มีช่องโหว่ ทำการอัปเดตเวอร์ชันเป็น Ivanti EPMM เวอร์ชัน 12.6.1.1, 12.7.0.1 และ 12.8.0.1 และแนะนำให้ลูกค้าตรวจสอบบัญชีที่มีสิทธิ์ผู้ดูแลระบบ และเปลี่ยนข้อมูล credentials เหล่านั้นหากจำเป็น

Ivanti ระบุว่า พบการโจมตีช่องโหว่ Zero-Day ดังกล่าว ในวงจำกัดมาก ซึ่งต้องใช้สิทธิ์ของผู้ดูแลระบบจึงจะโจมตีได้สำเร็จ โดยยังไม่มีรายละเอียดอื่น ๆ เพิ่มเติม

ช่องโหว่ CVE-2026-6973 นี้ ส่งผลกระทบเฉพาะผลิตภัณฑ์ EPMM ที่ติดตั้งบนเซิร์ฟเวอร์ภายในองค์กรเท่านั้น และไม่พบใน Ivanti Neurons for MDM, โซลูชัน endpoint management บนคลาวด์ของ Ivanti, Ivanti EPM (ผลิตภัณฑ์ที่มีชื่อคล้ายกัน แต่เป็นผลิตภัณฑ์ที่แตกต่างกัน), Ivanti Sentry หรือผลิตภัณฑ์อื่น ๆ ของ Ivanti

Shadowserver หน่วยงานตรวจสอบความปลอดภัยทางอินเทอร์เน็ต ได้ติดตาม IP addresses กว่า 850 รายการ ที่มีร่องรอยการใช้งาน Ivanti EPMM ทางออนไลน์ ส่วนใหญ่มาจากยุโรป 508 รายการ และอเมริกาเหนือ 182 รายการ อย่างไรก็ตาม ยังไม่มีข้อมูลว่ามีกี่รายการที่ได้รับการแก้ไขช่องโหว่ CVE-2026-6973 แล้ว

นอกจากนี้ Ivanti ยังได้แก้ไขช่องโหว่ EPMM ที่มีระดับความรุนแรงสูงอีก 4 รายการ (CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 และ c) ซึ่งอาจทำให้ Hacker สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบ ปลอมตัวเป็น Sentry hosts ที่ลงทะเบียนไว้เพื่อรับ CA-signed client certificates ที่ถูกต้อง เรียกใช้ methods และเข้าถึงข้อมูลที่จำกัดได้

อย่างไรก็ตาม Ivanti ระบุว่า ไม่มีหลักฐานว่าช่องโหว่เหล่านี้ถูกนำไปใช้โจมตีในทางปฏิบัติ และระบุว่า CVE-2026-7821 (ซึ่ง Hacker ที่ไม่มีสิทธิ์พิเศษสามารถใช้โจมตีได้) ส่งผลกระทบเฉพาะผู้ใช้ที่ใช้งาน และกำหนดค่า Apple Device Enrollment เท่านั้น

ในเดือนมกราคม Ivanti ได้เปิดเผยช่องโหว่ code-injection ระดับ Critical 2 รายการในระบบ EPMM (CVE-2026-1281 และ CVE-2026-1340) ซึ่งถูกนำไปใช้ในการโจมตีแบบ Zero-Day ที่ส่งผลกระทบต่อลูกค้าจำนวนจำกัด โดย Ivanti แนะนำให้ผู้ใช้งานทำการเปลี่ยนข้อมูล credentials หากถูกโจมตีด้วย CVE-2026-1281 และ CVE-2026-1340 ซึ่งจะทำให้ความเสี่ยงในการถูกโจมตีช่องโหว่ CVE-2026-6973 ลดลงไปอย่างมาก

ในเดือนเมษายน 2026 หน่วยงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ให้เวลาหน่วยงานรัฐบาลสหรัฐฯ 4 วันในการรักษาความปลอดภัยระบบของตนจากการโจมตีจากช่องโหว่ CVE-2026-1340

ทั้งนี้ช่องโหว่ Zero-Day อื่น ๆ ของ Ivanti EPMM อีกหลายรายการ ถูกนำไปใช้ในการโจมตีในช่วงไม่กี่ปีที่ผ่านมา เพื่อเจาะระบบเป้าหมายที่หลากหลาย รวมถึงหน่วยงานรัฐบาลทั่วโลก โดยรวมแล้ว CISA ได้ระบุช่องโหว่ของ Ivanti จำนวน 33 รายการที่กำลังถูกใช้โจมตีในวงกว้าง ซึ่ง 12 รายการในจำนวนนี้ถูกนำไปใช้โดยกลุ่ม Ransomware ต่าง ๆ ด้วย

โดย Ivanti ให้บริการ IT asset management แก่ลูกค้ากว่า 40,000 ราย ผ่านเครือข่ายพันธมิตรมากกว่า 7,000 รายทั่วโลก

 

ที่มา : bleepingcomputer.

ช่องโหว่ Zero-Day ระดับ Critical ในเครือข่าย Litecoin ถูกกลุ่มผู้ไม่หวังดีนำมาใช้โจมตีแบบ Denial-of-Service (DoS) ทำให้การดำเนินงานของ Mining Pools รายใหญ่ต้องหยุดชะงักชั่วคราว ก่อนที่นักพัฒนาจะออกแพตซ์แก้ไขอย่างสมบูรณ์

(more…)