ช่องโหว่ Zero-day ระดับความรุนแรงสูงสุดใน Cisco Catalyst SD-WAN Controller กำลังถูกนำไปใช้โจมตีจริงในปัจจุบัน ซึ่งอาจทำให้ผู้โจมตีจากภายนอก ที่ไม่ต้องผ่านการยืนยันตัวตน สามารถ Bypass การ Authentication ได้ และสามารถเข้ายึดสิทธิ์การควบคุมระดับผู้ดูแลระบบ (Admin) ใน Network Infrastructure ขององค์กรได้
ช่องโหว่นี้มีหมายเลข CVE-2026-20182 โดยมีคะแนนความรุนแรง CVSS เต็ม 10.0 ซึ่งส่งผลให้ระบบ SD-WAN ที่ติดตั้งใช้งานอยู่ทั้งหมด ไม่ว่าจะเป็นระบบภายในองค์กร (on-premises) ระบบคลาวด์ หรือเครือข่ายของหน่วยงานรัฐบาล ตกอยู่ในความเสี่ยงระดับ Critical
ช่องโหว่ Zero-day ของ Cisco Catalyst SD-WAN Controller
ช่องโหว่ถูกค้นพบโดย Stephen Fewer และ Jonah Burgess นักวิจัยจาก Rapid7 Labs ในระหว่างการตรวจสอบช่องโหว่ SD-WAN ก่อนหน้านี้ (CVE-2026-20127) โดยพบว่าช่องโหว่ใหม่นี้มีอยู่ในบริการ vdaemon ที่ทำงานผ่าน DTLS บนพอร์ต UDP 12346 ซึ่งเป็นบริการ Control-plane peering เดียวกับที่ถูกใช้เป็นเป้าหมายในการโจมตีเมื่อเดือนกุมภาพันธ์ ปี 2026
ช่องโหว่นี้เกิดจาก Logic gap ภายในฟังก์ชัน vbond_proc_challenge_ack() ซึ่งทำหน้าที่ตรวจสอบ certificate เฉพาะประเภทอุปกรณ์ ในระหว่างกระบวนการ Handshake เพื่อสร้างการเชื่อมต่อส่วนควบคุม
กระบวนการ authentication จะตรวจสอบอุปกรณ์ที่ระบุว่าเป็น vSmart (type 3), vManage (type 5) และ vEdge (type 1) แต่ไม่มี verification code สำหรับ vHub (type 2)
ผู้โจมตีที่ส่งข้อความ CHALLENGE_ACK โดยอ้างว่าเป็น vHub จะ bypasses การตรวจสอบ certificate checks ทั้งหมด ทำให้สถานะการ authentication ของอุปกรณ์ถูกตั้งค่าเป็น true โดยไม่มีเงื่อนไข
ผู้โจมตีไม่จำเป็นต้องมีข้อมูล certificate ที่ถูกต้อง, CA-signed certificate และความรู้เกี่ยวกับโครงสร้าง SD-WAN ของเป้าหมายเพื่อทำการโจมตี
ตามรายงานของนักวิจัยจาก Rapid7 ขั้นตอนการเจาะระบบ (Exploit chain) ทั้งหมดนั้นมีความรวบรัดเป็นอย่างมาก โดยมีลำดับดังนี้:
เริ่มจากการทำ DTLS handshake ด้วย self-signed certificate ใด ๆ ก็ตาม → รับข้อความ CHALLENGE → ส่ง CHALLENGE_ACK กลับไปโดยระบุประเภทอุปกรณ์เป็น 2 (vHub) → สถานะการยืนยันตัวตน (Authentication flag) จะถูกตั้งค่าให้ผ่าน → ส่งข้อความ Hello → Node ปลายทาง จะเปลี่ยนเข้าสู่สถานะ UP ในฐานะ Node control-plane ที่ได้รับการ fully trusted
เมื่อผ่านการยืนยันตัวตนแล้ว ผู้โจมตีจะอาศัยช่องโหว่จาก message handler ที่ชื่อ MSG_VMANAGE_TO_PEER (vbond_proc_vmanage_to_peer()) ซึ่งจะทำการเพิ่ม SSH public key ที่ควบคุมโดยผู้โจมตีเข้าไปยังไฟล์ /home/vmanage-admin/.ssh/authorized_keys โดยตรง โดยที่ไม่มีการตรวจสอบ และ Sanitization ข้อมูลที่รับเข้ามาเลย
กระบวนการนี้จะเปลี่ยนเซสชันการเชื่อมต่อแบบชั่วคราว ให้กลายเป็นการเข้าถึง SSH แบบถาวรโดยไม่ต้องใช้ข้อมูลยืนยันตัวตนเพื่อเข้าสู่บริการ NETCONF บนพอร์ต TCP 830 ในฐานะบัญชี vmanage-admin ซึ่งมีสิทธิ์ระดับสูง
เมื่อใช้บัญชีนี้ ผู้โจมตีจะสามารถรันคำสั่ง NETCONF ใด ๆ ก็ได้ตามต้องการ เพื่ออ่าน และดัดแปลงการตั้งค่า Network configurations ที่กำลังทำงานอยู่ครอบคลุมทั่วทั้งโครงข่าย SD-WAN ทั้งระบบ
Rapid7 ได้พัฒนาโมดูล Metasploit ที่สามารถใช้งานได้จริง ซึ่งสาธิตให้เห็นถึงการ Authentication Bypass และ Key Injection ของ vHub โดยมีกำหนดการเผยแพร่สู่สาธารณะอย่างเต็มรูปแบบในวันที่ 27 พฤษภาคม 2026
ช่องโหว่ CVE-2026-20182 ส่งผลกระทบต่อ Cisco Catalyst SD-WAN Controller และ SD-WAN Manager ไม่ว่าจะมีการตั้งค่าไว้แบบใดก็ตาม โดยครอบคลุมรูปแบบการติดตั้งใช้งานทุกรูปแบบดังนี้ On-Prem, SD-WAN Cloud-Pro, Cisco Managed Cloud และ SD-WAN for Government (FedRAMP)
ทีม Incident Response (IR) ของผลิตภัณฑ์ Cisco ยืนยันว่ามีการพบการใช้ช่องโหว่นี้โจมตีจริงเมื่อเดือนพฤษภาคม 2026
ผู้รับผิดชอบด้านความปลอดภัยควรตรวจสอบไฟล์ /var/log/auth.log เพื่อหารายการที่แสดงข้อความ Accepted publickey for vmanage-admin ที่มาจาก IP addresses ที่ไม่ได้รับอนุญาต
นอกจากนี้ ผู้ดูแลระบบควรรันคำสั่ง show control connections detail หรือ show control connections-history detail จากหน้าจอคำสั่ง (CLI) ของ Controller/Manager โดยให้สังเกตสถานะ state:up ที่ปรากฏควบคู่กับ challenge-ack: 0 ซึ่งเป็นตัวบ่งชี้ว่าอุปกรณ์ผ่านการ authentication โดยที่ยังไม่ได้ทำขั้นตอน Challenge handshake ให้เสร็จสมบูรณ์
Indicators of Compromise (IOC)
Cisco ได้ยืนยันแล้วว่าไม่มี Workaround สำหรับช่องโหว่นี้ การอัปเดตแพตช์เป็นวิธีแก้ไขเพียงวิธีเดียว
ก่อนทำการอัปเกรด ผู้ใช้งานจะต้องรันคำสั่ง request admin-tech บน control components ทั้งหมด เพื่อเก็บรักษาข้อมูลที่อาจเป็น Forensic evidence ในกรณีที่ระบบถูกเจาะ
เวอร์ชันซอฟต์แวร์หลักที่ได้รับการแก้ไขแล้ว ได้แก่ เวอร์ชัน 20.12.5.4 / 20.12.6.2 / 20.12.7.1 for the 20.12 branch, 20.15.4.4 / 20.15.5.2 for 20.15, 20.18.2.2 for 20.18, and 26.1.1.1 for the 26.1 branch
สำหรับซอฟต์แวร์เวอร์ชันที่เก่ากว่า 20.9 รวมถึงเวอร์ชัน 20.10, 20.11, 20.13, 20.14 และ 20.16 ได้สิ้นสุดระยะเวลาการสนับสนุนแล้ว (End-of-Software Maintenance) ผู้ใช้งานจะต้องย้ายการทำงานไปยังเวอร์ชันที่ได้รับการแก้ไขที่ยังคงรองรับการสนับสนุนอยู่
ที่มา : Cybersecuritynews
You must be logged in to post a comment.