CyberX

Critical threat day 🔴: 4 actively exploited CVEs added to CISA KEV (June 23): CVE-2025-67038 (Lantronix EDS5000 unauthenticated RCE), three Ubiquiti UniFi OS flaws, plus CVE-2026-20253 (Splunk pre-auth RCE confirmed in-the-wild exploitation) exploited within 2 days of disclosure. Backdrop: Mistic backdoor and macOS.Gaslight malware plus unpatched Cisco SD-WAN zero-day. If no Splunk or edge appliances in estate — low risk; if any present — immediate Ops escalation required.

---

Flags

• 🔴 CVE-2026-20253 Remediation Triage: Splunk Enterprise 10.2 < 10.2.4 และ 10.0 < 10.0.7 ต้อง patch ด่วน วันนี้; ถ้าไม่สามารถ patch ได้ ให้ disable PostgreSQL sidecar service ด้วย; หากเคยสัมผัสการเชื่อมต่อจากภายนอก ให้คิดว่าอาจถูกบุกรุกแล้ว → ทำการตรวจสอบเลยทีเดียว
• 🔴 Backdoor.Mistic + Teams Phishing Watch: Monitor DLL sideloading (MpExtMs.exe), suspicious PowerShell execution, Microsoft Teams fake helpdesk messages; ClickFix/FileFix/CrashFix campaigns active — train staff + enable Threat Intelligence alerts
• 🟡 Cisco SD-WAN Zero-Day (CVE-2026-20245) — No Patch Available: If operating Catalyst SD-WAN Manager/Controller — assume breach until proven otherwise; collect diagnostic logs, verify no rogue peering + root account creation; patch not yet available (monitor Cisco advisories)

<!-- ===EN=== -->

• 🔴 CVE-2026-20253 (Splunk) Patch Urgency: Splunk Enterprise 10.2 < 10.2.4 and 10.0 < 10.0.7 require emergency patch today; if patching unavailable, disable PostgreSQL sidecar service immediately; if ever internet-facing, assume compromise and initiate IR now
• 🔴 Backdoor.Mistic + Microsoft Teams Phishing: Monitor for DLL sideloading (MpExtMs.exe), suspicious PowerShell, fake IT helpdesk Teams messages; ClickFix/FileFix/CrashFix campaigns active — user awareness and endpoint detection rules mandatory
• 🟡 Cisco SD-WAN CVE-2026-20245 — Unpatched Zero-Day: If running Catalyst SD-WAN Manager/Controller, treat as potential compromise; collect logs, verify no unauthorized root accounts or peering; patch unavailable as of this report date

---

สรุปผู้บริหาร (Executive Verdict)

Threat Level: 🔴 CRITICAL

CISA ประกาศการใช้ประโยชน์อยู่จริงของ CVE-2025-67038 และเพิ่มเข้า KEV catalog วันที่ 23 มิถุนายน พร้อมกำหนด deadline สำหรับหน่วยงานสหรัฐฯ ให้ patch ภายในวันที่ 26 มิถุนายน

CVE-2026-20253 (Splunk, CVSS 9.8) เปิดเผยวันที่ 10 มิถุนายน; WatchTowr opublished PoC สองวันหลังจากนั้น; Splunk PSIRT ยืนยันการใช้ประโยชน์ที่จำกัดในเดือนมิถุนายน

คำแนะนำการกระทำวันนี้:

1. ตรวจสอบ Splunk Enterprise เดี๋ยวนี้ (🔴 ทำภายใน 2 ชม.)

ถ้ากำลังใช้ Splunk Enterprise 10.2 < 10.2.4 หรือ 10.0 < 10.0.7

—

upgrade ทันทีไป 10.2.4, 10.0.7 หรือ 10.4.0 ขึ้นไป

ถ้าไม่สามารถทำ maintenance window ได้ทันที สามารถ disable PostgreSQL sidecar service ได้ชั่วคราว แต่อาจทำให้ Edge Processor, OpAmp, SPL2 pipeline ขาด

2. Mistic Backdoor — DLL Sideloading Alert (🔴 ทำภายใน 4 ชม.)

Mistic ปรากฏครั้งแรกในเดือนเมษายน 2026; ถูกนำมาใช้ในการบุกรุกสหรัฐฯ ตั้งแต่เดือนเมษายนเป็นต้นมา

การ deliver มาผ่าน ClickFix, FileFix, CrashFix lures บังคับให้ผู้ใช้รัน PowerShell commands; Woodgnat เพิ่งใช้ fake IT helpdesk ผ่าน Microsoft Teams เพื่อบังคับให้วาง paste-and-run command และได้ persistent access ในเวลา minutes

— ส่งเตือนให้ทีม endpoint ตรวจหา MpExtMs.exe sideloading; block Teams external messages ที่อ้างตัวเป็น IT helpdesk

3. Cisco SD-WAN CVE-2026-20245 — No Patch (🟡 ทำภายในวันนี้)

ผู้บุกรุกจำนวนหนึ่งใช้ CVE-2026-20245 ในการ escalate จาก admin account ขึ้นไป root-level access บน Cisco Catalyst SD-WAN

ไม่มี patch หรือ mitigations ที่พร้อมใช้สำหรับ CVE-2026-20245 ณ ขณะนี้

— ถ้าใช้ SD-WAN บริษัท ให้ตรวจสอบ logs สำหรับการสร้าง root account ที่ไม่ได้อนุญาต

4. macOS.Gaslight — Analyst AI-Targeting Malware (🟡 ติดตามสถานการณ์)

Rust-based backdoor ที่ใช้ embedded prompt injection เพื่อหลอกเครื่องมือวิเคราะห์ที่ช่วยด้วย LLM

— ไม่เป็นภัยคุกคามที่วิกฤตต่อสแตกของ Nanote (ไม่มี macOS في office) แต่บ่งชี้แนวโน้มการโจมตี AI-assisted security tools

---

ภาพรวมภัยคุกคาม (Threat Landscape Overview)

ประกาศขาว (White Noise):

-

CISA ประกาศวันที่ 23 มิถุนายนถึงการใช้ประโยชน์อยู่จริงของ Lantronix EDS5000 CVE-2025-67038

— เป็นเครื่องอุปกรณ์ serial-to-ethernet industrial ไม่เกี่ยวกับสแตกของ Nanote

ภัยคุกคามที่วิกฤต (Critical to Nanote):

1. CVE-2026-20253 (Splunk) — ถ้าใช้ Splunk Enterprise เพื่อ log aggregation/SIEM → ความเสี่ยง สูงมาก (HIGH)

2. Backdoor.Mistic — ใช้ social engineering + Teams phishing → ความเสี่ยง กลาง (MEDIUM) เพราะพนักงานอาจตกเป็นเบ็ด

3. CVE-2026-20245 (Cisco SD-WAN) — ถ้าใช้ Catalyst SD-WAN Manager → ความเสี่ยง สูง (HIGH) เนื่องจากไม่มี patch และ LoLBin tradecraft

ความเกี่ยวข้องกับสแตก Nanote:

• ❌ Lantronix: ไม่เกี่ยวข้อง (ไม่มี OT/serial devices)
• ❌ Ubiquiti UniFi: ความเสี่ยง ต่ำ (ใช้เป็นอุปกรณ์ network หรือไม่)
• ⚠️ Splunk: ต้องตรวจสอบ (ใช้ Splunk หรือไม่?)
• ⚠️ Cisco SD-WAN: ต้องตรวจสอบ (ใช้ SD-WAN หรือไม่?)
• ✅ macOS.Gaslight: ไม่เกี่ยวข้อง (ส่วนใหญ่เป้าหมาย crypto/fintech; ไม่มี macOS endpoints ในสำนัก)

---

ตาราเปรียบเทียบภัยคุกคาม 5 รายการ

|

CVE-2025-67038

|

CVE-2026-20253

|

CVE-2026-34908

|

CVE-2026-20245

|

macOS.Gaslight

ที่มา: CISA KEV Catalog (2026-06-23), CVSS NVD, Splunk Advisory (2026-06-10), Cisco PSIRT (2026-06), SentinelOne Labs (2026-06-23)

---

บทวิเคราะห์รายภัยคุกคาม

1. CVE-2026-20253 (Splunk Enterprise Pre-Auth RCE) — 🔴 CRITICAL

เวกเตอร์การโจมตี:

PostgreSQL sidecar service endpoint ขาดการ authentication control ทั้งหมด; attacker ที่สามารถเข้าถึง network สามารถเรียก file operation ได้โดยไม่ต้อง credential

เงื่อนไขที่ทำให้ถูกโจมตี:

Splunk Enterprise deployments บน AWS เสี่ยงโดยค่าเริ่มต้น; on-premise installations อาจต้องให้ enable PostgreSQL Sidecar Service อย่างชัดเจน

สถานะ KEV/Exploit:

Splunk rating CVSS 9.8 Critical; CISA เพิ่มเข้า KEV catalog วันที่ 21 มิถุนายน ด้วย deadline 3 วันสำหรับ federal systems

CrowdSec Network ตรวจพบความพยายามใช้ประโยชน์แบบ early; exploit attempts ปรากฏครั้งแรกวันที่ 17 มิถุนายน

Mitigation:

-

Upgrade ไป Splunk Enterprise 10.2.4, 10.0.7, หรือ 10.4.0 ขึ้นไป

-

Workaround: ถ้าไม่สามารถ patch ได้ ให้จำกัด network access ไปยัง PostgreSQL sidecar port ที่ localhost เท่านั้น (127.0.0.1)

-

ถ้า Splunk Enterprise instance สัมผัส internet หรือ broad internal network ก่อน patching ให้คิดว่าอาจถูก compromise แล้ว

---

2. Backdoor.Mistic (MLTBackdoor) — 🔴 HIGH

เวกเตอร์การโจมตี:

Delivered via ClickFix, FileFix, CrashFix lures ที่บังคับให้ผู้ใช้รัน PowerShell commands; Woodgnat ใช้ fake Microsoft Teams helpdesk pretexts เพื่อให้ users paste-and-run command

เงื่อนไขที่ทำให้ถูกโจมตี:

Targeting opportunistic ทั่วไป; compromised organizations ทั่วประเภท insurance, education, IT, professional services

คือ ไม่ targeted Nanote แต่ cast wide net

สถานะ KEV/Exploit:

Mistic first seen April 2026; deployed in cybercrime intrusions since April

— actively exploited in the wild

Mitigation:

-

Monitor untuk unusual DLL sideloading activity โดยเฉพาะ legitimate Microsoft executables loading unexpected files; watch untuk suspicious use of curl.exe, certutil, WMIC, PowerShell ใน context นอก normal operations

-

Microsoft Teams external messages → enforce email authentication checks; block external Teams federation หรือ require approval untuk external user adds

-

Mistic ออกแบบเพื่อ stealth: in-memory execution, kill switch, no disk artifacts → ต้อง EDR/SIEM rules พิเศษ สำหรับ process hollowing + registry persistence

---

3. CVE-2026-20245 (Cisco Catalyst SD-WAN CLI RCE) — 🟡 HIGH

เวกเตอร์การโจมตี:

Threat actor ใช้ CVE-2026-20245 escalate privileges จาก compromised admin account ขึ้นไป root-level access

เงื่อนไขที่ทำให้ถูกโจมตี:

Vulnerability result จาก insufficient validation of user-supplied input; attacker ต้อง authenticated + local access ต่อ affected devices

Mandiant believe rogue peering อาจสร้างจาก exploitation of CVE-2026-20127 และ CVE-2026-20182 (authentication bypass zero-days)

สถานะ KEV/Exploit:

Mandiant identified threat actor targeting SD-WAN infrastructure early 2026; exploit zero-day CVE-2026-20245 ตั้งแต่ March 2026; subsequently attacked service provider network

Mitigation:

ไม่มี patches หรือ mitigations ที่พร้อมใช้สำหรับ CVE-2026-20245

— compensating controls:

-

Collect diagnostic data จาก SD-WAN devices, check for unauthorized peering connections, upgrade ไป latest software releases ถ้าไม่ได้ patch แล้ว

-

Treat CVE-2026-20245 detection เป็น incident response ไม่ใช่ routine patch management; ถ้า logs บ่งชี้ abuse การ install software fix เพียงอย่างเดียวไม่พอ — engage Cisco TAC สำหรับ recovery guidance

---

4. CVE-2025-67038 (Lantronix EDS5000 RCE) — 🟢 LOW (ไม่เกี่ยวข้อง)

Vulnerability exists เพราะ HTTP RPC module fail ที่ sanitize username parameter ก่อน concatenate ไป shell command สำหรับ logging failed authentication attempts

— ไม่เกี่ยวกับสแตก Nanote (ไม่มี industrial equipment)

---

5. macOS.Gaslight — 🟢 LOW (ไม่เกี่ยวข้อง Nanote)

Attribution place Gaslight ใน broader pattern of North Korea-linked macOS activity aimed at cryptocurrency, finance, blockchain, technology targets; operators use fake job interviews, bogus video-conferencing updates, developer tools

— ไม่มี macOS users ใน Nanote office โดยเฉพาะตั้งแต่เป็นbusiness SaaS startup

---

คำแนะนำแบบ Traffic-Light

🔴 ทำวันนี้ (Next 2–4 hours):

1. Inventory check:

ตรวจสอบว่ากำลังใช้ Splunk Enterprise 10.2 < 10.2.4 หรือ 10.0 < 10.0.7 หรือไม่

ถ้า Yes → patch immediately

2. SD-WAN Audit: ถ้าใช้ Cisco Catalyst SD-WAN Manager → ตรวจสอบ logs สำหรับ unauthorized root account creation + rogue peering

3. Mistic Alert:

Configure endpoint detection rules สำหรับ .NET credential stealer, curl/reg.exe/net.exe/certutil/WMIC/PowerShell sequences, WinPython/Node.exe loaders

🟡 ภายในสัปดาห์:

1. macOS.Gaslight Awareness: Train security team ว่า "ไม่ควร feed untrusted malware samples ตรง ไปยัง LLM triage WITHOUT sandboxing"

2. Microsoft Teams Phishing Campaign: Enforce external message blocking + MFA on Teams + user awareness training

3. CVE-2026-20245 Monitoring: Set up log collection + alerts สำหรับ SD-WAN configuration changes ถ้า patch ไม่พร้อม

🟢 เฝ้าระวัง (Ongoing):

1. Monitor CISA KEV catalog สำหรับ Cisco SD-WAN patch release (CVE-2026-20245)

2. Subscribe ไป threat intel feeds สำหรับ Mistic/Woodgnat infrastructure updates

3. Track Ubiquiti UniFi updates (ถ้าใช้)

---

ความเสี่ยง + ข้อจำกัด

ข้อมูลที่ได้มา:

• ข้อมูล ณ วันที่ 2026-06-25 (scan 24-48 ชม.ที่ผ่านมา)
• แหล่งข้อมูล: CISA KEV catalog, CVE NVD, CVSS scores, vendor advisories (Splunk, Cisco, SentinelOne, Symantec, Zscaler)
• สถานะความรุนแรง (CVSS scores) สำหรับ unpatched flaws ต้องพึ่งพา vendor risk assessment

ข้อมูลที่ไม่มี:

• ไม่ทราบว่า Nanote ใช้ Splunk, Cisco SD-WAN หรือ endpoints ใด ตัวอื่นที่กระทบ CVEs เหล่านี้
• ไม่มี indicators of compromise (IOCs) ที่เฉพาะสำหรับ Mistic ทั้งหมด (URL defanged, IP obscured ในต้นฉบับ)
• ไม่ทราบว่า Nanote ต้อนรับ visitors/contractors ใดที่อาจ social-engineered ผ่าน Teams/phishing

ข้อจำกัดประเมินความเสี่ยง:

• CVE-2026-20245 unpatched → ไม่สามารถขจัด risk ได้ ต้องใช้compensating controls เท่านั้น
• Mistic campaign opportunistic → อาจกระทบหลายบริษัท ไม่ targeted Nanote แต่ assume สามารถเกิดขึ้นได้
• macOS.Gaslight geographically focused (DPRK-linked targeting crypto/fintech) → unlikely ต่อ Nanote แต่ trend analysis ระบุ "AI-assisted analysis tools เป็นเป้าหมายใหม่"

---

แหล่งอ้างอิง

1.

CISA, "CISA Adds Four Known Exploited Vulnerabilities to Catalog", 2026-06-23

— https://www.cisa.gov/news-events/alerts/2026/06/23/cisa-adds-four-known-exploited-vulnerabilities-catalog

2.

Picus Security, "Splunk CVE-2026-20253: Unauthenticated Remote Code Execution Vulnerability Explained", 2026-06

— https://www.picussecurity.com/resource/blog/splunk-cve-2026-20253-unauthenticated-remote-code-execution-vulnerability-explained

3.

SecurityWeek, "Splunk Enterprise Vulnerability Exploited in Attacks Days After Disclosure", 2026-06-18

— https://www.securityweek.com/splunk-enterprise-vulnerability-exploited-in-attacks-days-after-disclosure/

4.

The Hacker News, "New Mistic Backdoor Linked to KongTuke in ClickFix and ModeloRAT Campaigns", 2026-06

— https://thehackernews.com/2026/06/new-mistic-backdoor-linked-to-kongtuke.html

5.

Infosecurity Magazine, "macOS Backdoor Uses Prompt Injection to Evade AI Triage", 2026-06-24

— https://www.infosecurity-magazine.com/news/macos-gaslight-rust-backdoor/

6.

Google Cloud Blog, "Zero-Day Exploitation of Vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager", 2026-06-24

— https://cloud.google.com/blog/topics/threat-intelligence/zero-day-exploitation-cisco-catalyst-sd-wan-manager

7.

SentinelOne Labs, "macOS.Gaslight | Rust Backdoor Turns Prompt Injection on the Analyst", 2026-06-23

— https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/

---

<!-- ===EN=== -->

Daily Threat Intelligence Report — 2026-06-25

Executive Summary (Verdict Box)

Threat Level: 🔴 CRITICAL

CISA announced active exploitation of CVE-2025-67038 and added it to the KEV catalog on June 23, setting a patch deadline of June 26 for federal agencies.

CVE-2026-20253 (Splunk, CVSS 9.8) disclosed June 10; WatchTowr published PoC two days later; Splunk PSIRT confirmed limited exploitation in June.

Action items today:

1. Audit Splunk Enterprise NOW (🔴 within 2 hours)

If running Splunk Enterprise 10.2 < 10.2.4 or 10.0 < 10.0.7

—

upgrade immediately to 10.2.4, 10.0.7, or 10.4.0+.

If an emergency maintenance window is not available, temporarily disable the PostgreSQL sidecar service, but be aware this may break Edge Processor, OpAmp, and SPL2 pipelines.

2. Mistic Backdoor — DLL Sideloading Alert (🔴 within 4 hours)

Mistic first seen April 2026; deployed in cybercrime intrusions since April against insurance, education, IT, and professional services.

Delivered via ClickFix, FileFix, CrashFix lures and fake IT helpdesk Microsoft Teams messages that coerce victims into paste-and-run PowerShell, achieving persistent access within minutes.

— Alert endpoint team to hunt for MpExtMs.exe sideloading; block external Teams messages impersonating IT support.

3. Cisco SD-WAN CVE-2026-20245 — No Patch Available (🟡 do today)

A threat actor exploited a zero-day vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN to escalate privileges from a compromised administrative account to root-level access.

There are currently no patches or mitigations available for CVE-2026-20245.

— If operating SD-WAN, check logs for unauthorized root account creation.

4. macOS.Gaslight — Analyst AI-Targeting Malware (🟡 monitor)

This Rust-based backdoor uses embedded prompt injection to deceive LLM-assisted malware analysis tools.

— Not an immediate threat to Nanote's stack (no macOS in office) but signals an emerging trend: AI-assisted security tools becoming attack targets.

---

Threat Landscape Overview

Baseline (Global threats unrelated to Nanote's stack):

-

CISA announced on June 23 active exploitation of Lantronix EDS5000 CVE-2025-67038.

— Serial-to-ethernet industrial device, not relevant to Nanote's tech stack.

Critical to Nanote (Requires Immediate Triage):

1. CVE-2026-20253 (Splunk) — If using Splunk Enterprise for log aggregation/SIEM → Risk: HIGH

2. Backdoor.Mistic — Uses social engineering and Teams phishing → Risk: MEDIUM due to employee exposure

3. CVE-2026-20245 (Cisco SD-WAN) — If operating Catalyst SD-WAN Manager → Risk: HIGH (no patch available + LoLBin tradecraft)

Stack Relevance Matrix (Next.js · Vercel · Node.js · Upstash Redis · Auth0 · GitHub):

• ❌ Lantronix: No relevance (no OT/serial devices)
• ❌ Ubiquiti UniFi: Low risk (inventory check required)
• ⚠️ Splunk: Must verify (using Splunk Enterprise?)
• ⚠️ Cisco SD-WAN: Must verify (operating Catalyst SD-WAN Manager?)
• ✅ macOS.Gaslight: No relevance (primarily targets crypto/fintech; no macOS fleet in office)

---

Vulnerability Comparison Table (5 Key Items)

|

CVE-2025-67038

|

CVE-2026-20253

|

CVE-2026-34908

|

CVE-2026-20245

|

macOS.Gaslight

Source: CISA KEV Catalog (2026-06-23), CVSS NVD, Splunk Advisory (2026-06-10), Cisco PSIRT (2026-06), SentinelOne Labs (2026-06-23)

---

Detailed Vulnerability Analysis

1. CVE-2026-20253 (Splunk Enterprise Pre-Auth RCE) — 🔴 CRITICAL

Attack Vector:

The PostgreSQL sidecar service endpoint lacks authentication controls completely; any network-reachable attacker can invoke file operations without authentication.

Exploitation Conditions:

Splunk Enterprise deployments on AWS are vulnerable by default; on-premise installations may require explicit enabling of the PostgreSQL Sidecar Service.

KEV / Exploit Status:

Splunk rates it CVSS 9.8 Critical; CISA added the vulnerability to the KEV catalog on June 18, 2026 with a 3-day deadline for federal systems.

CrowdSec Network detected early exploitation attempts; exploits first observed June 17, 2026, currently marked as "Early Exploitation".

Mitigation:

-

Upgrade Splunk Enterprise to 10.2.4, 10.0.7, or 10.4.0 and above.

-

Workaround: If immediate patching is not possible, restrict network access to the PostgreSQL sidecar port to localhost only (127.0.0.1).

-

If an affected Splunk Enterprise instance was reachable from the internet or a broad internal network before patching, assume the possibility of compromise until you have evidence otherwise.

---

2. Backdoor.Mistic (MTLBackdoor) — 🔴 HIGH

Attack Vector:

Delivered via ClickFix, FileFix, CrashFix lures tricking victims into executing attacker-supplied PowerShell commands; Woodgnat uses Microsoft Teams helpdesk pretexts to coerce victims into paste-and-run commands, achieving persistent access within minutes.

Exploitation Conditions:

Targeting has been opportunistic; compromised organizations span insurance, education, IT and professional services, suggesting the operator's objective is to establish saleable enterprise access.

KEV / Exploit Status:

Mistic was first seen in April 2026; it has been deployed on networks of organizations in insurance, education, IT, and professional services.

— Actively exploited in the wild.

Mitigation:

-

Monitor for unusual DLL sideloading activity, especially when legitimate Microsoft executables load unexpected files; watch for suspicious use of curl.exe, certutil, WMIC, and PowerShell in contexts outside normal operations.

-

Block external Microsoft Teams federation or require approval for external user adds; enforce email authentication checks on Teams messages.

-

Mistic is designed for stealth: in-memory execution, kill switch, no disk artifacts — requires specialized EDR/SIEM rules for process hollowing and registry persistence.

---

3. CVE-2026-20245 (Cisco Catalyst SD-WAN CLI RCE) — 🟡 HIGH

Attack Vector:

A threat actor exploited the zero-day vulnerability CVE-2026-20245 in Cisco Catalyst SD-WAN to escalate privileges from a compromised administrative account to root-level access.

Exploitation Conditions:

The vulnerability stems from insufficient validation of user-supplied input and can be exploited by authenticated attackers with local access.

Mandiant believes the rogue peering may have been created by exploiting previously disclosed Cisco SD-WAN authentication bypass zero-days, CVE-2026-20127 and CVE-2026-20182, though the exact method remains unclear.

KEV / Exploit Status:

Mandiant identified a threat actor targeting SD-WAN infrastructure at a service provider in early 2026; after gaining initial access, the threat actor exploited the zero-day CVE-2026-20245; subsequently, the attacker leveraged a privilege escalation vulnerability to gain root-level access via a malicious CSV upload.

Mitigation:

There are currently no patches or mitigations available for CVE-2026-20245.

— Compensating controls:

-

Collect diagnostic data from SD-WAN devices, check for signs of unauthorized peering connections, and upgrade to the latest software releases if not already patched.

-

CVE-2026-20245 detection should be treated as incident response rather than routine patch management; if logs indicate abuse, Cisco warns that simply installing the future software fix will not by itself secure the environment, and customers should engage TAC for recovery guidance tailored to confirmed compromise.

---

4. CVE-2025-67038 (Lantronix EDS5000 RCE) — 🟢 LOW (Not Relevant)

The vulnerability exists because the HTTP RPC module fails to sanitize the username parameter before concatenating it into a shell command for logging failed authentication attempts.

— Not relevant to Nanote's stack (no industrial OT equipment).

---

5. macOS.Gaslight — 🟢 LOW (Not Relevant to Nanote)

The attribution places Gaslight within a broader pattern of North Korea-linked macOS activity aimed at cryptocurrency, finance, blockchain and technology targets; operators associated with these campaigns have used fake job interviews, bogus video-conferencing updates, developer tools.

— No macOS users in Nanote office; primarily targets fintech/crypto.

---

Traffic-Light Recommendations

🔴 DO TODAY (Next 2–4 hours):

1. Inventory Check:

If running Splunk Enterprise versions 10.2 before 10.2.4 or 10.0 before 10.0.7

→ patch immediately

2. SD-WAN Audit: If operating Cisco Catalyst SD-WAN Manager → check logs for unauthorized root account creation and rogue peering

3. Mistic Alert:

Configure endpoint detection rules for .NET credential stealer, curl/reg.exe/net.exe/certutil/WMIC/PowerShell sequences, WinPython/Node.exe loaders.

🟡 THIS WEEK:

1. macOS.Gaslight Awareness: Train security team not to feed untrusted malware samples directly into LLM triage without sandboxing

2. Microsoft Teams Phishing Campaign: Enforce external message blocking + MFA on Teams + user awareness training

3. CVE-2026-20245 Monitoring: Set up log collection and alerts for SD-WAN configuration changes if patch is unavailable

🟢 ONGOING (Monitor):

1. Watch CISA KEV catalog for Cisco SD-WAN patch release (CVE-2026-20245)

2. Subscribe to threat intelligence feeds for Mistic/Woodgnat infrastructure updates

3. Track Ubiquiti UniFi updates (if applicable)

---

Risk + Limitations

Data Collected:

• Data as of 2026-06-25 (scan of past 24–48 hours)
• Sources: CISA KEV catalog, CVE NVD, CVSS scores, vendor advisories (Splunk, Cisco, SentinelOne, Symantec, Zscaler)
• Severity assessment (CVSS scores) for unpatched flaws relies on vendor risk scoring

Data Gaps:

• Unknown whether Nanote uses Splunk, Cisco SD-WAN, or other affected products
• No complete IOC list for Mistic (URLs defanged, IPs obscured in primary sources)
• No visibility into whether Nanote hosts visitors/contractors potentially vulnerable to social engineering via Teams/phishing

Risk Assessment Constraints:

• CVE-2026-20245 is unpatched → risk cannot be eliminated, only mitigated via compensating controls
• Mistic campaign is opportunistic → may impact multiple companies but not specifically targeted at Nanote; assume it can happen
• macOS.Gaslight is geographically focused (DPRK-linked targeting crypto/fintech) → unlikely for Nanote but trend analysis shows "AI-assisted analysis tools are becoming new targets"

---

References

1.

CISA, "CISA Adds Four Known Exploited Vulnerabilities to Catalog", June 23, 2026

— https://www.cisa.gov/news-events/alerts/2026/06/23/cisa-adds-four-known-exploited-vulnerabilities-catalog

2.

Picus Security, "Splunk CVE-2026-20253: Unauthenticated Remote Code Execution Vulnerability Explained", June 2026

— https://www.picussecurity.com/resource/blog/splunk-cve-2026-20253-unauthenticated-remote-code-execution-vulnerability-explained

3.

SecurityWeek, "Splunk Enterprise Vulnerability Exploited in Attacks Days After Disclosure", June 18, 2026

— https://www.securityweek.com/splunk-enterprise-vulnerability-exploited-in-attacks-days-after-disclosure/

4.

The Hacker News, "New Mistic Backdoor Linked to KongTuke in ClickFix and ModeloRAT Campaigns", June 2026

— https://thehackernews.com/2026/06/new-mistic-backdoor-linked-to-kongtuke.html

5.

Infosecurity Magazine, "macOS Backdoor Uses Prompt Injection to Evade AI Triage", June 24, 2026

— https://www.infosecurity-magazine.com/news/macos-gaslight-rust-backdoor/

6.

Google Cloud Blog, "Zero-Day Exploitation of Vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager", June 24, 2026

— https://cloud.google.com/blog/topics/threat-intelligence/zero-day-exploitation-cisco-catalyst-sd-wan-manager

7.

SentinelOne Labs, "macOS.Gaslight | Rust Backdoor Turns Prompt Injection on the Analyst", June 23, 2026

— https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/