TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Cisco ออกคำเตือนช่องโหว่ระดับ Critical บน Catalyst SD-WAN Controller ที่ถูกแฮกเกอร์ใช้โจมตีแบบ Zero-day เพื่อเข้าถึงระบบด้วยสิทธิ์ระดับสูง
ช่องโหว่ CVE-2026-20182 มีคะแนน CVSS สูงสุดที่ 10.0 เป็นช่องโหว่ประเภท Authentication Bypass ที่ส่งผลกระทบต่อ Cisco Catalyst SD-WAN Controller และ Cisco Catalyst SD-WAN Manager ทั้งในรูปแบบ On-prem และ SD-WAN Cloud โดยสาเหตุมาจากกลไก Peering Authentication ที่ทำงานไม่ถูกต้อง ทำให้ผู้โจมตีสามารถส่ง Request ที่ถูกสร้างขึ้นมาเป็นพิเศษเพื่อเข้าสู่ระบบในฐานะบัญชีภายในที่มีสิทธิ์ระดับสูงได้ เมื่อเข้าถึงระบบได้แล้ว ผู้โจมตีสามารถใช้ NETCONF เพื่อแก้ไข Network Configuration ของ SD-WAN Fabric ทั้งหมด
Cisco ตรวจพบว่าช่องโหว่นี้ถูกใช้โจมตีจริงตั้งแต่เดือนพฤษภาคม โดยช่องโหว่นี้ถูกค้นพบโดย Rapid7 ระหว่างที่กำลังศึกษาช่องโหว่อีกรายการคือ CVE-2026-20127 ซึ่งถูกแก้ไขไปแล้วเมื่อเดือนกุมภาพันธ์ ทั้งนี้ CVE-2026-20127 ก็เคยถูกกลุ่มผู้โจมตีที่รู้จักในชื่อ UAT-8616 ใช้โจมตีแบบ Zero-day มาตั้งแต่ปี 2023 เพื่อสร้าง Rogue Peer ภายในระบบขององค์กรเป้าหมาย
โดยการเพิ่ม Rogue Peer ผู้โจมตีสามารถแทรกอุปกรณ์ที่เป็นอันตรายเข้าไปใน SD-WAN Fabric ซึ่งอุปกรณ์ดังกล่าวจะสร้าง Encrypted Connection และประกาศ Network ที่อยู่ภายใต้การควบคุมของผู้โจมตี เปิดทางให้เจาะลึกเข้าไปในระบบเครือข่ายขององค์กรได้
Cisco ได้ปล่อยแพตช์แก้ไขแล้วและแจ้งว่าไม่มี Workaround ที่สามารถแก้ไขปัญหาได้อย่างสมบูรณ์ พร้อมแนะนำให้จำกัดการเข้าถึง SD-WAN Management และ Control-plane Interface เฉพาะเครือข่ายภายในที่เชื่อถือได้หรือ IP Address ที่ได้รับอนุญาตเท่านั้น รวมถึงตรวจสอบ Authentication Log เพื่อหากิจกรรมที่น่าสงสัย ด้าน CISA ได้เพิ่มช่องโหว่นี้เข้าสู่ Known Exploited Vulnerabilities Catalog แล้ว พร้อมสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ทำการแพตช์ภายในวันที่ 17 พฤษภาคม 2026 ผู้ดูแลระบบที่ใช้ Cisco Catalyst SD-WAN Controller ควรอัปเดตแพตช์โดยด่วน
