CISA เตือนช่องโหว่ Cisco SD-WAN ตัวใหม่ถูกใช้โจมตีจริงแล้ว สั่งหน่วยงานรัฐแพตช์ภายใน 4 วัน

CISA เพิ่มช่องโหว่ใหม่บน Cisco Catalyst SD-WAN Manager เข้าบัญชี Known Exploited Vulnerabilities หลังพบหลักฐานว่าถูกใช้โจมตีจริงแล้ว พร้อมสั่งหน่วยงานรัฐบาลกลางแพตช์ภายในวันศุกร์นี้

ช่องโหว่ดังกล่าวคือ CVE-2026-20133 ซึ่งเป็นช่องโหว่ประเภท Information Disclosure บน Catalyst SD-WAN Manager (เดิมคือ vManage) ซอฟต์แวร์สำหรับจัดการและมอนิเตอร์อุปกรณ์ SD-WAN ได้สูงสุดถึง 6,000 เครื่องจากแดชบอร์ดเดียว ช่องโหว่นี้เกิดจากการจำกัดสิทธิ์การเข้าถึง File System ไม่เพียงพอ ทำให้ผู้โจมตีสามารถเข้าถึง API ของระบบเพื่ออ่านข้อมูลสำคัญบน Operating System ได้โดยไม่ต้องผ่านการยืนยันตัวตน โดย Cisco ได้ออกแพตช์แก้ไขไปแล้วตั้งแต่ปลายเดือนกุมภาพันธ์

CISA ได้เพิ่มช่องโหว่นี้เข้า Known Exploited Vulnerabilities (KEV) Catalog เมื่อวันจันทร์ที่ผ่านมา พร้อมสั่งให้หน่วยงาน Federal Civilian Executive Branch (FCEB) ดำเนินการแก้ไขภายในวันศุกร์ที่ 24 เมษายน ทั้งยังแนะนำให้ปฏิบัติตาม Emergency Directive 26-03 และ Hunt & Hardening Guidance สำหรับอุปกรณ์ Cisco SD-WAN อย่างเคร่งครัด อย่างไรก็ตาม Cisco ยังไม่ได้ยืนยันรายงานของ CISA โดยในประกาศช่องโหว่ของ Cisco ยังระบุว่าทีม PSIRT ยังไม่พบการใช้ช่องโหว่ CVE-2026-20133 ในทางที่เป็นอันตราย

ช่องโหว่นี้เป็นส่วนหนึ่งของปัญหาด้านความปลอดภัยบน Cisco SD-WAN ที่เกิดขึ้นอย่างต่อเนื่อง ก่อนหน้านี้ในเดือนกุมภาพันธ์ Cisco เคยพบว่าช่องโหว่ CVE-2026-20128 และ CVE-2026-20122 ที่แพตช์ในวันเดียวกันถูกใช้โจมตีจริงเช่นกัน รวมถึงช่องโหว่ Authentication Bypass ระดับ Critical อย่าง CVE-2026-20127 ที่ถูกใช้ในการโจมตีแบบ Zero-day โดยรวมแล้ว CISA ได้ขึ้นบัญชีช่องโหว่ของ Cisco ที่ถูกใช้โจมตีจริงไปแล้วถึง 91 รายการ ผู้ดูแลระบบที่ใช้งาน Cisco SD-WAN ควรตรวจสอบและแพตช์ระบบโดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/cisa-flags-new-sd-wan-flaw-as-actively-exploited-in-attacks/