Cisco ออกแพตช์อัปเดตความปลอดภัย เพื่อแก้ไขช่องโหว่ใน Catalyst SD-WAN Manager หมายเลข CVE-2026-20262 ซึ่งถูกนำไปใช้ในการโจมตีเพื่อยกระดับสิทธิ์ของผู้ใช้งานขึ้นเป็นสิทธิ์ระดับสูงสุด
ซอฟต์แวร์จัดการเครือข่ายนี้ เดิมชื่อ SD-WAN vManage ซึ่งผู้ดูแลระบบสามารถจัดการอุปกรณ์ SD-WAN ได้มากถึง 6,000 เครื่องผ่านแดชบอร์ดส่วนกลางเพียงแห่งเดียว
ช่องโหว่แบบ Zero-day ที่ได้รับการแก้ไขแล้วในครั้งนี้ ส่งผลกระทบต่อการใช้งานทุกประเภท โดยไม่คำนึงถึงการกำหนดค่าอุปกรณ์ ซึ่งครอบคลุมทั้งการติดตั้งในองค์กร เช่น On-premises, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) และ Cisco SD-WAN สำหรับ Government (FedRAMP)
Cisco ระบุว่าช่องโหว่นี้เกิดจากระบบตรวจสอบข้อมูลระหว่างการอัปโหลดไฟล์ที่ไม่ดีพอ ซึ่งอาจทำให้ผู้โจมตีจากภายนอกที่มีสิทธิ์ต่ำ สามารถรันคำสั่งด้วยสิทธิ์ root ได้ตามต้องการ โดยการส่ง HTTP requests ที่สร้างขึ้นเป็นพิเศษ ไปยัง API endpoint ที่มีช่องโหว่
Cisco ระบุในรายงานแจ้งเตือนเมื่อวันจันทร์ที่ผ่านมาว่า ช่องโหว่ในหน้าเว็บ UI ของ Cisco Catalyst SD-WAN Manager ชื่อเดิมคือ SD-WAN vManage อาจทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนแล้ว สามารถสร้างไฟล์ หรือเขียนทับไฟล์ใดก็ได้ บนระบบของเครื่องที่มีช่องโหว่
ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ด้วยการส่ง HTTP request ที่สร้างขึ้นเป็นพิเศษไปยัง API endpoint ของระบบที่มีช่องโหว่ ซึ่งหากทำการโจมตีสำเร็จ จะช่วยให้ผู้โจมตีสามารถสร้าง หรือเขียนทับไฟล์ใดบนระบบปฏิบัติการก็ได้ และไฟล์นี้สามารถนำมาใช้ในภายหลังเพื่อยกระดับสิทธิ์ขึ้นเป็น root ได้
Cisco ระบุว่า ทีม Product Security Incident Response ได้ตรวจพบการโจมตีโดยใช้ช่องโหว่ CVE-2026-20262 นี้เมื่อช่วงต้นเดือนที่ผ่านมา และขอแนะนำให้ลูกค้าทำการอัปเดตแพตช์ของตนเองโดยด่วน
แม้ว่าทาง Cisco จะไม่ได้เปิดเผยรายละเอียดใด ๆ เกี่ยวกับการโจมตีเหล่านี้ แต่ก็ได้แชร์ IOCs เพื่อแจ้งเตือนให้ผู้ดูแลระบบตรวจสอบ Log ของ SD-WAN vmanage-server, vmanage-appserver และ serviceproxy-access เพื่อเฝ้าระวังความพยายามในการอัปโหลดไฟล์ index.jsp และ .war
ในเดือนกุมภาพันธ์ที่ผ่านมา Cisco ได้ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยในการเปิดเผยข้อมูลของ Catalyst SD-WAN Manager (CVE-2026-20133) ซึ่งถูกระบุว่ามีการนำไปใช้ในการโจมตีจริงในช่วงปลายเดือนเมษายน และในอีกสองสัปดาห์ต่อมา ก็ได้แจ้งเตือนเกี่ยวกับช่องโหว่อีกสองรายการ (CVE-2026-20128 และ CVE-2026-20122) ที่ถูกนำไปใช้โจมตีในวงกว้างเช่นกัน
เมื่อเดือนที่แล้ว Cisco ยังได้ระบุว่าช่องโหว่ Authentication-bypass ที่มีระดับความรุนแรงสูงสุดบน Catalyst SD-WAN Controller (CVE-2026-20182) ได้ถูกนำไปใช้โจมตีจริงในรูปแบบ Zero-day เพื่อเข้าควบคุม และเข้าถึงสิทธิ์ผู้ดูแลระบบบนอุปกรณ์ที่ยังไม่ได้อัปเดตแพตช์
ล่าสุดเมื่อช่วงต้นเดือนมิถุนายนที่ผ่านมา Cisco ได้แจ้งเตือนเกี่ยวกับช่องโหว่ระดับ Zero-day บน Catalyst SD-WAN Manager (CVE-2026-20245) ซึ่งยังไม่มีแพตช์แก้ไข และถูกพบว่ามีการนำไปใช้ในการโจมตีแล้ว โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าควบคุม และเข้าถึงสิทธิ์ระดับ root ได้
ในช่วงหลายปีที่ผ่านมา หน่วยงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้ระบุว่า มีช่องโหว่ของ Cisco ถึง 91 รายการที่ถูกนำไปใช้ในการโจมตีจริง ซึ่งในจำนวนนี้มี 5 รายการที่เกิดขึ้นบน Cisco Catalyst SD-WAN Manager และอีก 6 รายการถูกนำไปใช้ในการโจมตีด้วยแรนซัมแวร์
ที่มา : bleepingcomputer
You must be logged in to post a comment.