ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

10 ข่าว

Januscape CVE-2026-53359 — ช่องโหว่ KVM อายุ 16 ปี ให้ VM แขกหนีออกไปยึด Host ได้ทั้ง Intel และ AMD

linux kvm januscape cve-2026-53359 guest vm escape to host on intel and amd
นักวิจัย Hyunwoo Kim พบช่องโหว่ use-after-free ใน KVM hypervisor ของ Linux ชื่อ Januscape (CVE-2026-53359) ที่ VM แขกซึ่งมีสิทธิ์ root สามารถทำให้ host เคอร์เนลเสียหายและอาจรันโค้ดบน host ได้ ถือเป็นการหนีจาก guest สู่ host ตัวแรกที่ทำงานได้ทั้ง Intel และ AMD ช่องโหว่ซ่อนอยู่ในโค้ด shadow MMU มานานราว 16 ปี แพตช์ออกแล้ว 4 ก.ค. 2026 ต้องเปิด nested virtualization จึงถูกโจมตีได้

Velvet Ant แฮ็กเกอร์จีนฝัง Backdoor ใน PAM และ OpenSSH บน Linux ซ่อนตัวเกือบ 10 ปี — ขโมย Credential และสั่งงานจากระบบล็อกอินที่เชื่อถือ

Linux backdoor in PAM and OpenSSH by Velvet Ant
บริษัท Sygnia เปิดปฏิบัติการ Operation Highland พบกลุ่ม Velvet Ant ที่เชื่อมโยงจีนแก้ไขโมดูล PAM และ OpenSSH บนเซิร์ฟเวอร์ Linux เพื่อขโมย credential และเปิดช่องทางเข้าถึงลับตั้งแต่ปี 2016. ผู้โจมตีสร้าง backdoor ถึง 9 เวอร์ชัน ซ่อนในระบบล็อกอินที่ผู้ดูแลไม่เคยตรวจสอบ. ก่อนหน้านี้กลุ่มเดียวกันเคยฝังตัวในอุปกรณ์ F5 BIG-IP และ Cisco NX-OS. เทคนิคนี้ทำให้การรีเซ็ตรหัสผ่านไม่ช่วยอะไร เพราะตัวตรวจสอบ credential ถูกควบคุมโดยผู้โจมตี.

CVE-2026-23111 — ช่องโหว่ Linux Kernel nftables เพียง 1 ตัวอักขระ เปิดทางผู้ใช้ทั่วไปยกระดับเป็น root และทะลุ Container

CVE-2026-23111 Linux kernel nftables use-after-free vulnerability
พบช่องโหว่ use-after-free ใน nftables ของ Linux kernel เกิดจากตัวอักขระ ! ที่วางผิดเพียงตัวเดียว ทำให้ผู้ใช้ในเครื่องที่ไม่มีสิทธิ์ยกระดับเป็น root และหลุดออกจาก container ได้ โดยบริษัท Exodus Intelligence ปล่อย exploit ที่ทำงานได้จริงระดับความเชื่อถือเกิน 99 เปอร์เซ็นต์ พร้อมทดสอบสำเร็จบน Debian Bookworm Trixie Ubuntu 22.04 และ 24.04 LTS ทั้งนี้แพตช์แก้ไขปล่อยตั้งแต่ 5 กุมภาพันธ์ 2569 แต่บางดิสโทรยังไม่ได้อัปเดต

แฮ็กเกอร์จีนฝัง Linux Implant ในเราเตอร์ขอบเครือข่ายทั่วเอเชียตะวันออกเฉียงใต้ — ไทยเสี่ยงโดยตรง

China-linked APT deploys router.elf Linux implant on Southeast Asian edge routers with Cobalt Strike on Windows
กลุ่ม APT ที่เชื่อมโยงกับจีนถูกพบฝัง Linux implant ชื่อ router.elf ในเราเตอร์ขอบเครือข่ายทั่วเอเชียตะวันออกเฉียงใต้ ระบบ C2 ใช้ HTTPS port 443 และหลีกเลี่ยง DNS monitoring ผ่าน Cloudflare DNS over HTTPS ขณะที่ Windows endpoint ในเครือข่ายเดียวกันถูกโจมตีด้วย Cobalt Strike Beacon ผ่าน DLL sideloading IoC ชี้ไปที่จีนจากภาษา Mandarin ในโค้ด และ license ID ที่เชื่อมโยงกับปฏิบัติการจีนมาโดยตลอด

Packagist Supply Chain Attack — แฮ็กเกอร์ฝัง Linux Binary ใน 8 PHP Package ผ่าน package.json Postinstall Hook

Packagist supply chain attack infects 8 PHP packages with Linux malware via postinstall hook
แคมเปญ Supply Chain Attack ใหม่โจมตี Packagist ซึ่งเป็น Package Registry หลักของ PHP โดยฝังโค้ดอันตรายใน 8 แพ็กเกจ Composer แต่ซ่อนไว้ใน package.json แทน composer.json ทำให้ทีม Security ที่สแกนเฉพาะ PHP dependency อาจมองข้าม Postinstall Script ดาวน์โหลด Linux Binary จาก GitHub Releases แล้วรันในพื้นหลัง บริษัท Socket พบร่องรอยของ payload เดียวกันในไฟล์บน GitHub กว่า 777 ไฟล์ ชี้ว่าแคมเปญนี้อาจกว้างกว่าที่เห็น

Showboat มัลแวร์ Linux ตัวใหม่จากจีน โจมตีโทรคมนาคมตะวันออกกลาง — กลุ่ม Calypso ที่เคยเจาะไทยอยู่เบื้องหลัง

Showboat Linux malware targeting telecom infrastructure
Lumen Black Lotus Labs เปิดเผยมัลแวร์ Linux ชื่อ Showboat ที่โจมตีผู้ให้บริการโทรคมนาคมตะวันออกกลางตั้งแต่กลางปี 2565 เป็น post-exploitation framework ที่เปิด remote shell และทำ SOCKS5 proxy เชื่อมโยงกับกลุ่ม Calypso จากจีนที่เคยโจมตีหน่วยงานรัฐในไทย

ช่องโหว่ Linux Kernel อายุ 9 ปี CVE-2026-46333 — ยกระดับสิทธิ์เป็น Root ได้บน Debian, Ubuntu และ Fedora

Linux kernel CVE-2026-46333 privilege escalation vulnerability
Qualys เปิดเผยช่องโหว่ CVE-2026-46333 ใน Linux kernel ที่ซ่อนมา 9 ปี เป็นปัญหาในฟังก์ชัน __ptrace_may_access() ให้ผู้ใช้ทั่วไปยกระดับสิทธิ์เป็น root บน Debian, Ubuntu และ Fedora มี PoC เผยแพร่แล้ว แนะนำอัปเดต kernel ทันที

DirtyDecrypt — PoC ยกระดับสิทธิ์เป็น Root บน Linux Kernel ผ่านช่องโหว่ rxgk ตัวใหม่ในตระกูล Copy Fail

DirtyDecrypt Linux kernel privilege escalation PoC
ทีมวิจัย Zellic และ V12 เปิดเผย PoC exploit สำหรับช่องโหว่ DirtyDecrypt (CVE-2026-31635) ใน Linux Kernel ที่ช่วยยกระดับสิทธิ์จากผู้ใช้ทั่วไปเป็น Root ได้ ช่องโหว่เกิดจาก missing COW guard ในโมดูล rxgk ส่งผลกระทบต่อ Fedora, Arch Linux และ openSUSE Tumbleweed รวมถึงเป็นอันตรายร้ายแรงต่อ Container และ Cloud Environment

Linux Kernel ช่องโหว่ Copy Fail อายุ 9 ปี ถูก Exploit จริง — ยกระดับสิทธิ์เป็น Root ด้วย Python 732 ไบต์

Linux kernel Copy Fail privilege escalation vulnerability CVE-2026-31431
CISA เพิ่มช่องโหว่ CVE-2026-31431 หรือ Copy Fail ใน Linux Kernel เข้าแคตตาล็อก KEV หลังพบการโจมตีจริง ช่องโหว่อายุ 9 ปีนี้เกิดจาก Logic Bug ที่ทำให้ผู้ใช้ทั่วไปยกระดับสิทธิ์เป็น Root ได้ด้วย Exploit เพียง 732 ไบต์ กระทบ Linux ทุก Distribution ตั้งแต่ปี 2017 และเป็นอันตรายร้ายแรงต่อ Container และ Cloud Environment

Fragnesia — ช่องโหว่ใหม่ใน Linux Kernel ยกระดับสิทธิ์เป็น Root ผ่าน Page Cache Corruption

Fragnesia Linux Kernel LPE CVE-2026-46300
พบช่องโหว่ CVE-2026-46300 (CVSS 7.8) ใน Linux Kernel ชื่อรหัส Fragnesia อยู่ใน XFRM ESP-in-TCP subsystem ผู้โจมตีที่มีสิทธิ์ local สามารถยกระดับเป็น root ได้ กระทบ Linux distributions หลักและ Kubernetes clusters จำนวนมาก — แพตช์พร้อมใช้แล้ว