Cisco เตือนช่องโหว่ Critical บน SD-WAN Controller ถูกใช้โจมตีแบบ Zero-day

Cisco ออกคำเตือนช่องโหว่ระดับ Critical บน Catalyst SD-WAN Controller ที่ถูกแฮกเกอร์ใช้โจมตีแบบ Zero-day เพื่อเข้าถึงระบบด้วยสิทธิ์ระดับสูง

ช่องโหว่ CVE-2026-20182 มีคะแนน CVSS สูงสุดที่ 10.0 เป็นช่องโหว่ประเภท Authentication Bypass ที่ส่งผลกระทบต่อ Cisco Catalyst SD-WAN Controller และ Cisco Catalyst SD-WAN Manager ทั้งในรูปแบบ On-prem และ SD-WAN Cloud โดยสาเหตุมาจากกลไก Peering Authentication ที่ทำงานไม่ถูกต้อง ทำให้ผู้โจมตีสามารถส่ง Request ที่ถูกสร้างขึ้นมาเป็นพิเศษเพื่อเข้าสู่ระบบในฐานะบัญชีภายในที่มีสิทธิ์ระดับสูงได้ เมื่อเข้าถึงระบบได้แล้ว ผู้โจมตีสามารถใช้ NETCONF เพื่อแก้ไข Network Configuration ของ SD-WAN Fabric ทั้งหมด

Cisco ตรวจพบว่าช่องโหว่นี้ถูกใช้โจมตีจริงตั้งแต่เดือนพฤษภาคม โดยช่องโหว่นี้ถูกค้นพบโดย Rapid7 ระหว่างที่กำลังศึกษาช่องโหว่อีกรายการคือ CVE-2026-20127 ซึ่งถูกแก้ไขไปแล้วเมื่อเดือนกุมภาพันธ์ ทั้งนี้ CVE-2026-20127 ก็เคยถูกกลุ่มผู้โจมตีที่รู้จักในชื่อ UAT-8616 ใช้โจมตีแบบ Zero-day มาตั้งแต่ปี 2023 เพื่อสร้าง Rogue Peer ภายในระบบขององค์กรเป้าหมาย

โดยการเพิ่ม Rogue Peer ผู้โจมตีสามารถแทรกอุปกรณ์ที่เป็นอันตรายเข้าไปใน SD-WAN Fabric ซึ่งอุปกรณ์ดังกล่าวจะสร้าง Encrypted Connection และประกาศ Network ที่อยู่ภายใต้การควบคุมของผู้โจมตี เปิดทางให้เจาะลึกเข้าไปในระบบเครือข่ายขององค์กรได้

Cisco ได้ปล่อยแพตช์แก้ไขแล้วและแจ้งว่าไม่มี Workaround ที่สามารถแก้ไขปัญหาได้อย่างสมบูรณ์ พร้อมแนะนำให้จำกัดการเข้าถึง SD-WAN Management และ Control-plane Interface เฉพาะเครือข่ายภายในที่เชื่อถือได้หรือ IP Address ที่ได้รับอนุญาตเท่านั้น รวมถึงตรวจสอบ Authentication Log เพื่อหากิจกรรมที่น่าสงสัย ด้าน CISA ได้เพิ่มช่องโหว่นี้เข้าสู่ Known Exploited Vulnerabilities Catalog แล้ว พร้อมสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ทำการแพตช์ภายในวันที่ 17 พฤษภาคม 2026 ผู้ดูแลระบบที่ใช้ Cisco Catalyst SD-WAN Controller ควรอัปเดตแพตช์โดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-warns-of-new-critical-sd-wan-flaw-exploited-in-zero-day-attacks/