Cisco ได้ระบุว่า ช่องโหว่ด้านความปลอดภัย 2 รายการใน Catalyst SD-WAN Manager กำลังถูกผู้ไม่หวังดีใช้โจมตีอยู่ในขณะนี้ และขอให้ผู้ดูแลระบบรีบทำการอัปเกรดอุปกรณ์ที่มีความเสี่ยงต่อช่องโหว่นี้
Catalyst SD-WAN Manager เป็นซอฟแวร์บริหารจัดการเครือข่ายที่ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบ และจัดการอุปกรณ์ Catalyst SD-WAN ได้มากถึง 6,000 เครื่อง ผ่านหน้า Dashboard กลางเพียงแห่งเดียว
ในเดือนมีนาคม 2026 หน่วยงาน Cisco PSIRT ได้ทราบถึงการพยายามโจมตีช่องโหว่ตามที่ระบุไว้ใน CVE-2026-20128 และ CVE-2026-20122 แล้ว ซึ่งบริษัทได้เตือนไว้ในเอกสารอัปเดตจากคำแนะนำเมื่อวันที่ 25 กุมภาพันธ์ที่ผ่านมา สำหรับช่องโหว่ที่อธิบายไว้ใน CVE อื่น ๆ ที่ระบุไว้ในประกาศฉบับนี้ ยังไม่เป็นที่ทราบแน่ชัดว่าถูกโจมตีแล้วหรือไม่
อย่างไรก็ตาม Cisco แนะนำอย่างยิ่งให้ลูกค้าอัปเกรดซอฟต์แวร์เป็นเวอร์ชันที่แก้ไขแล้ว เพื่อปิดช่องโหว่ และป้องกันความเสี่ยงที่อาจเกิดขึ้น
ช่องโหว่ความปลอดภัยระดับความรุนแรงสูงที่ทำให้ผู้โจมตีสามารถเขียนทับไฟล์ในระบบได้โดยไม่ได้รับอนุญาต (CVE-2026-20122) สามารถถูกโจมตีได้จากระยะไกล โดยผู้โจมตีสามารถใช้ Credentials ที่ถูกต้องซึ่งมีสิทธิ์เข้าถึงแบบ Read-only และสามารถเข้าถึงระบบผ่าน API ได้ ในขณะที่ช่องโหว่การเปิดเผยข้อมูลที่มีความรุนแรงระดับปานกลาง (CVE-2026-20128) กำหนดให้ผู้โจมตีต้องเข้าถึงเครื่องโดยตรง และต้องมี Credentials ของ vManage ที่ถูกต้องบนระบบเป้าหมายด้วย ซึ่ง Cisco ระบุเพิ่มเติมว่า ช่องโหว่เหล่านี้ส่งผลกระทบต่อซอฟต์แวร์ Catalyst SD-WAN Manager โดยไม่ขึ้นอยู่กับการกำหนดค่าอุปกรณ์
การโจมตีช่องโหว่ Zero-day บน SD-WAN ที่เกิดขึ้นตั้งแต่ปี 2023
เมื่อสัปดาห์ที่ผ่านมา Cisco ได้ระบุว่าช่องโหว่ระดับ critical ที่อาจทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตัวของระบบได้ (CVE-2026-20127) กำลังถูกนำไปใช้โจมตีแบบ Zero-day โดยกลุ่ม Hacker ที่มีความเชี่ยวชาญสูง สามารถเจาะระบบ และเข้าควบคุม Controllers รวมถึงสามารถเพิ่มอุปกรณ์เครือข่ายปลอมที่เป็นอันตรายเข้าสู่เครื่องเป้าหมายได้ โดยพฤติกรรมดังกล่าวเกิดขึ้นมาอย่างน้อยตั้งเเต่ปี 2023
อุปกรณ์เครือข่ายที่ไม่ได้รับอนุญาตเหล่านี้ ทำให้ผู้โจมตีสามารถแทรกซึมอุปกรณ์อันตรายที่มีลักษณะเหมือนอุปกรณ์ที่ถูกต้องเข้าสู่ระบบ ซึ่งทำให้สามารถขยายการโจมตีลึกเข้าไปในเครือข่ายที่ถูกบุกรุกได้
การโจมตีดังกล่าวถูกเปิดเผยในประกาศแจ้งเตือนที่ออกโดย Cisco รวมถึงหน่วยงานภาครัฐของสหรัฐฯ และสหราชอาณาจักร นอกจากนี้ CISA (หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ) ยังได้ออกคำสั่งฉุกเฉินหมายเลข 26-03 เพื่อบังคับให้หน่วยงานรัฐบาลกลางดำเนินการตรวจสอบบัญชีรายชื่อระบบ Cisco SD-WAN ทั้งหมด, รวบรวมหลักฐานทางนิติวิทยาศาสตร์ดิจิทัล , ติดตั้งอัปเดตซอฟต์แวร์ และตรวจสอบข้อมูลเพิ่มเติมที่อาจมีความเชื่อมโยงกับการโจมตีผ่านช่องโหว่ CVE-2026-20127
ล่าสุด Cisco ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงระดับสูงสุด 2 รายการ ในซอฟต์แวร์ Secure Firewall Management Center (FMC)
ช่องโหว่ด้านความปลอดภัยเหล่านี้ ซึ่งประกอบด้วยช่องโหว่การ bypass การยืนยันตัวตน (CVE-2026-20079) และช่องโหว่การสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล หรือ RCE (CVE-2026-20131) ซึ่งผู้โจมตีสามารถใช้โจมตีได้จากระยะไกล โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน ส่งผลให้สามารถเข้าถึงสิทธิ์ระดับ Root ของระบบปฏิบัติการ และสั่งรันโค้ด Java ใด ๆ ในฐานะ Root บนอุปกรณ์ที่ยังไม่ได้อัปเดตแพตช์
ที่มา: bleepingcomputer
You must be logged in to post a comment.