เมื่อวันพฤหัสบดีที่ผ่านมา Cisco ได้ออกแจ้งเตือนเกี่ยวกับช่องโหว่ Zero-day ระดับความรุนแรงสูงที่ยังไม่ได้รับการแก้ไขใน Cisco Catalyst SD-WAN Manager (CVE-2026-20245) ซึ่งกำลังถูกใช้ในการโจมตีเพื่อยกระดับสิทธิ์เป็นระดับ Root (Root Privilege) ได้
ช่องโหว่ Zero-day ดังกล่าว ส่งผลกระทบต่อการใช้งานทุกประเภท รวมถึง On-Prem Deployment, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) และ Cisco SD-WAN สำหรับภาครัฐ
ในเอกสารแจ้งเตือนเมื่อวันพฤหัสบดี Cisco ระบุว่า ช่องโหว่ดังกล่าวเกิดจากการตรวจสอบข้อมูลที่ผู้ใช้ป้อนเข้าสู่ระบบที่ยังไม่รัดกุมเพียงพอ ซึ่งอาจทำให้ผู้โจมตีที่มีสิทธิ์ระดับต่ำสามารถเรียกใช้คำสั่งใด ๆ ก็ได้ในฐานะผู้ดูแลระบบ
บริษัทอธิบายว่า "แฮ็กเกอร์สามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการอัปโหลดไฟล์ที่ถูกดัดแปลงขึ้นเป็นพิเศษไปยังระบบที่ได้รับผลกระทบ การโจมตีที่สำเร็จจะทำให้สามารถทำการแทรกคำสั่งที่เป็นอันตรายบนระบบดังกล่าว และยกระดับสิทธิ์ของตนเองให้เป็นระดับ root ได้"
ในการใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีต้องมีสิทธิ์ netadmin ซึ่งจำเป็นต้องใช้บัญชีผู้ใช้ที่มีสิทธิ์ถูกต้อง หรือการใช้ประโยชน์จากช่องโหว่ CVE-2026-20182 หรือ CVE-2026-20127 ร่วมด้วย
ทางบริษัทระบุเพิ่มเติมว่า "ยังไม่พบรายงานการโจมตีที่ประสบความสำเร็จด้วยวิธีอื่น ๆ"
"นอกจากนี้ Cisco ยังตรวจพบการใช้ประโยชน์จากช่องโหว่นี้ในวงจำกัด ส่งผลให้เกิดการส่งคำสั่งเปลี่ยนแปลง Configuration ที่ส่งไปยังอุปกรณ์ edge devices อีกด้วย"
ซอฟต์แวร์จัดการระบบเครือข่ายนี้ ซึ่งเดิมรู้จักกันในชื่อ SD-WAN vManage ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบ และจัดการอุปกรณ์ Catalyst SD-WAN ได้มากถึง 6,000 เครื่องจากแดชบอร์ดเดียว
ทีมตอบสนองภัยคุกคามด้านความปลอดภัยของผลิตภัณฑ์ Cisco (PSIRT) ได้รับทราบถึงการโจมตีช่องโหว่ CVE-2026-20245 ในเดือนมิถุนายน หลังจากที่ Mandiant ซึ่งเป็นบริษัทในเครือด้านความปลอดภัยทางไซเบอร์ของ Google Cloud ได้รายงานถึงช่องโหว่นี้ แต่ไม่ได้เปิดเผยรายละเอียดใด ๆ
อย่างไรก็ตาม ทางบริษัทได้มีการแชร์ข้อมูล Indicators of Compromise หรือ IOCs พร้อมแจ้งเตือนให้ผู้ดูแลระบบตรวจสอบไฟล์ข้อมูลระบบที่ /var/log/scripts.log ของ SD-WAN เพื่อตรวจหาความพยายามในการอัปโหลดข้อมูล tenant configuration ไปยังคอนโทรลเลอร์ vSmart เพื่อใช้คำสั่งที่ถูกต้องในการยกระดับสิทธิ์ ดังตัวอย่างต่อไปนี้ :
บริษัทระบุเพิ่มเติม โดยแนะนำให้ผู้ดูแลระบบรวบรวมไฟล์ admin-tech ไว้ก่อนเพื่อช่วยในการตรวจสอบว่า "หากลูกค้าต้องการความช่วยเหลือในการตรวจสอบว่าระบบ Cisco Catalyst SD-WAN Manager ถูกบุกรุกหรือไม่ สามารถแจ้งเรื่องกับทาง Cisco TAC ได้"
ยังไม่มีการออกแพตช์แก้ไขด้านความปลอดภัย
เมื่อเดือนที่แล้ว Cisco ยังได้ระบุว่า ช่องโหว่ authentication bypass ที่มีระดับความรุนแรงสูงสุดใน Catalyst SD-WAN Controller (CVE-2026-20182) กำลังถูกใช้โจมตีอย่างแพร่หลายในฐานะช่องโหว่ Zero-day เพื่อเข้าถึงสิทธิ์การดูแลระบบบนอุปกรณ์ที่ยังไม่ได้รับการอัปเดตแพตช์
แม้ว่า Cisco ยังไม่ได้ออกแพตช์สำหรับแก้ไขช่องโหว่ CVE-2026-20245 แต่ได้แนะนำให้ลูกค้าอัปเกรดเป็นซอฟต์แวร์ที่แก้ไขช่องโหว่ CVE-2026-20182 ในวันที่ 14 พฤษภาคม
ในเดือนกุมภาพันธ์ Cisco ได้ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยที่เปิดเผยข้อมูลอีกรายการหนึ่งใน Catalyst SD-WAN Manager (CVE-2026-20133) ซึ่ง CISA ได้ระบุว่ามีการใช้ประโยชน์จากช่องโหว่นี้อย่างแพร่หลายในปลายเดือนเมษายน และอีกสองสัปดาห์ต่อมา ก็ได้เตือนว่าช่องโหว่อีกสองจุด (CVE-2026-20128 และ CVE-2026-20122) กำลังถูกนำไปใช้โจมตีในวงกว้างเช่นกัน
ในเดือนมีนาคม Cisco ยังได้แก้ไข และแจ้งเตือนเกี่ยวกับช่องโหว่ authentication-bypass (CVE-2026-20127) ซึ่งถูกนำไปใช้ในการโจมตีแบบ Zero-day มาตั้งแต่ปี 2023 เป็นอย่างน้อย
ในช่วงหลายปีที่ผ่านมา CISA ได้ระบุว่ามีช่องโหว่ของ Cisco จำนวน 90 รายการที่ถูกนำไปใช้ในการโจมตีจริง โดยในจำนวนนั้นมี 4 รายการที่เป็นช่องโหว่บน Cisco Catalyst SD-WAN Manager และอีก 6 รายการถูกนำไปใช้ในการโจมตีด้วยแรนซัมแวร์
ที่มา : Bleepingcomputer
You must be logged in to post a comment.