CISA ได้เพิ่มช่องโหว่ระดับ Critical 3 รายการของ Cisco Catalyst SD-WAN Manager ลงในรายชื่อช่องโหว่ที่กำลังถูกใช้ในการโจมตี (KEV) โดยเรียกร้องให้หน่วยงานรัฐบาลกลาง และองค์กรต่าง ๆ ดำเนินการโดยทันที ซึ่งช่องโหว่ทั้ง 3 รายการถูกเพิ่มเมื่อวันที่ 20 เมษายน 2026 และมีกำหนดให้แก้ไขภายในวันที่ 23 เมษายน 2026
ช่องโหว่ทั้ง 3 รายการนี้ส่งผลกระทบต่อ Cisco Catalyst SD-WAN Manager ซึ่งเป็นแพลตฟอร์มที่ใช้กันอย่างแพร่หลายในการบริหารจัดการโครงสร้างพื้นฐาน SD-WAN ขององค์กร โดยมีรายละเอียดดังนี้:
CVE-2026-20133 (CWE-200 – การเปิดเผยข้อมูลสำคัญ): ช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตน สามารถเข้าถึงไฟล์ที่มีข้อมูลสำคัญในระบบได้จากระยะไกล ซึ่งการโจมตีนี้ไม่จำเป็นต้องใช้การล็อกอิน จึงทำให้มีความเสี่ยงสูงมากสำหรับระบบที่มีการเชื่อมต่อ หรือเปิดใช้งานผ่านอินเทอร์เน็ตโดยตรง
CVE-2026-20122 (CWE-648 – การใช้งาน API ที่มีสิทธิ์พิเศษอย่างไม่ถูกต้อง): ช่องโหว่นี้เป็นช่องโหว่ในส่วน API ของการรับส่งไฟล์ ที่ช่วยให้ผู้โจมตีที่มีสิทธิ์ต่ำสามารถอัปโหลดไฟล์ที่เป็นอันตรายไปยังระบบไฟล์ภายในเครื่องได้ โดยหากการโจมตีสำเร็จ ผู้โจมตีจะได้รับสิทธิ์ในระดับผู้ใช้งาน vmanage ซึ่งช่วยให้สามารถเข้าถึงข้อมูลเชิงลึก และควบคุมสภาพแวดล้อมทั้งหมดของระบบ SD-WAN ได้
CVE-2026-20128 (CWE-257 – การจัดเก็บรหัสผ่านในรูปแบบที่สามารถกู้คืนได้): ช่องโหว่นี้อนุญาตให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และอยู่ในระบบ แม้จะมีสิทธิ์ต่ำ สามารถเข้าถึงไฟล์เก็บข้อมูลยืนยันตัวตน และกู้คืนรหัสผ่านของระบบ Data Collection Agent (DCA) ได้
SD-WAN Manager เปรียบเสมือนหัวใจสำคัญของโครงสร้างพื้นฐานเครือข่ายระดับองค์กร โดยทำหน้าที่ควบคุมการ Routing, การกำหนด Policies รวมถึงการตั้งค่าอุปกรณ์ต่าง ๆ ที่กระจายอยู่ภายในองค์กร ซึ่งการที่แพลตฟอร์มถูกเจาะระบบ อาจเปิดโอกาสให้ผู้โจมตีสามารถโจมตีต่อไปภายในเครือข่ายได้อย่างกว้างขวาง และใช้เป็นจุดเริ่มต้นในการขยายการโจมตีไปยังระบบอื่น ๆ ทั้วทั้งเครือข่าย
แม้ในขณะนี้จะยังไม่ทราบแน่ชัดว่ามี Ransomware เข้ามาเกี่ยวข้องด้วยหรือไม่ แต่จากสถิติที่ผ่านมา เหตุการณ์ในลักษณะนี้มักเป็นสัญญาณที่นำไปสู่การโจมตีเครือข่ายในวงกว้าง
CISA ได้ออกคำสั่งฉุกเฉินที่ 26-03 พร้อมกับคำแนะนำเฉพาะด้านสำหรับการตรวจสอบภัยคุกคาม และเพิ่มความปลอดภัยสำหรับอุปกรณ์ Cisco SD-WAN ซึ่งเป็นการเน้นย้ำถึงความรุนแรงของภัยคุกคามดังกล่าว โดยองค์กรที่ไม่สามารถดำเนินการแก้ไขเพื่อลดความเสี่ยงได้ ถูกสั่งให้ยุติการใช้งานผลิตภัณฑ์ดังกล่าวทันที ตามคำแนะนำของ BOD 22-01 สำหรับบริการคลาวด์
แนวทางปฏิบัติที่แนะนำ
- ดำเนินการติดตั้งแพตช์ และอัปเดตความปลอดภัยทั้งหมดที่ได้รับจาก Cisco ทันที
- ตรวจสอบคำสั่งฉุกเฉิน 26-03 ของ CISA เพื่อศึกษาขั้นตอนเฉพาะในการประเมินความเสี่ยง และภัยคุกคาม
- ปฏิบัติตามคู่มือ Hunt & Hardening ของ CISA เพื่อตรวจหาความผิดปกติ หรือร่องรอยที่บ่งชี้ว่าระบบอาจถูกบุกรุกไปแล้ว
- จำกัดการเข้าถึง API และทำการตรวจสอบสิทธิ์การใช้งานระบบไฟล์บนระบบที่ได้รับผลกระทบอย่างละเอียด
- เฝ้าระวังพฤติกรรมที่ผิดปกติ เช่น การพยายามยกระดับสิทธิ์ หรือการอัปโหลดไฟล์ที่ไม่ได้รับอนุญาต
องค์กรภาคเอกชนที่มีการใช้งานระบบ Cisco SD-WAN ควรให้ความสำคัญกับคำแนะนำนี้อย่างเร่งด่วนเช่นกัน เนื่องจากมีการตรวจพบการโจมตีจากช่องโหว่เหล่านี้ ซึ่งทำให้ช่องโหว่เหล่านี้กลายเป็นความเสี่ยงที่กระทบต่อความมั่นคงปลอดภัยของเครือข่ายโดยตรง
ที่มา : cybersecuritynews
You must be logged in to post a comment.