Cisco เตือนช่องโหว่ Critical บน SD-WAN ถูกใช้โจมตีแบบ Zero-day มาตั้งแต่ปี 2023

Cisco ออกคำเตือนเกี่ยวกับช่องโหว่ Authentication Bypass ระดับ Critical บน Cisco Catalyst SD-WAN ที่ถูกใช้โจมตีแบบ Zero-day มาตั้งแต่ปี 2023 โดยผู้โจมตีสามารถเจาะเข้า Controller และเพิ่ม Rogue Peer เข้าไปในเครือข่ายได้

ช่องโหว่ดังกล่าวมีรหัส CVE-2026-20127 ได้รับค่า CVSS สูงสุดที่ 10.0 ส่งผลกระทบต่อ Cisco Catalyst SD-WAN Controller (เดิมคือ vSmart) และ Cisco Catalyst SD-WAN Manager (เดิมคือ vManage) ทั้งแบบ On-premises และ SD-WAN Cloud โดยช่องโหว่เกิดจากระบบ Peering Authentication ที่ทำงานไม่ถูกต้อง ทำให้ผู้โจมตีสามารถส่ง Request ที่สร้างขึ้นมาเป็นพิเศษเพื่อเข้าสู่ระบบในฐานะบัญชี Internal ระดับสิทธิ์สูง จากนั้นเข้าถึง NETCONF เพื่อแก้ไข Network Configuration ของ SD-WAN Fabric ทั้งหมดได้ ช่องโหว่นี้ถูกรายงานโดย Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC)

Cisco Talos ระบุว่าช่องโหว่นี้ถูกใช้ในการโจมตีจริงและติดตามกลุ่มผู้โจมตีภายใต้ชื่อ UAT-8616 ซึ่งประเมินว่าเป็นกลุ่มภัยคุกคามที่มีความซับซ้อนสูง จากข้อมูล Telemetry พบการโจมตีย้อนหลังไปถึงอย่างน้อยปี 2023 โดยผู้โจมตีใช้เทคนิค Downgrade เฟิร์มแวร์ไปยังเวอร์ชันเก่าเพื่อใช้ช่องโหว่ CVE-2022-20775 ในการยกระดับสิทธิ์เป็น Root จากนั้นกู้คืนเฟิร์มแวร์เวอร์ชันเดิมเพื่อหลบเลี่ยงการตรวจจับ เทคนิคนี้ทำให้ผู้โจมตีสามารถเพิ่ม Rogue Peer เข้าไปในสภาพแวดล้อม SD-WAN ที่ดูเหมือนอุปกรณ์ปกติ แล้วสร้าง Encrypted Connection เพื่อเจาะลึกเข้าไปในเครือข่ายขององค์กรได้

CISA ออก Emergency Directive 26-03 กำหนดให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ต้องสำรวจระบบ Cisco SD-WAN, เก็บ Forensic Artifact, จัดเก็บ Log ไว้ภายนอก, ติดตั้งอัปเดต และตรวจสอบการโจมตีภายในวันที่ 27 กุมภาพันธ์ 2026 ขณะที่ UK NCSC ก็ออกคำเตือนร่วมเกี่ยวกับการโจมตีที่เกิดขึ้นทั่วโลก พร้อม คู่มือการตรวจสอบและป้องกัน ที่แนะนำให้ตรวจสอบ Log สำหรับ Peering Event ที่ผิดปกติ, การ Authentication ที่ไม่ได้รับอนุญาต และ SSH Key ที่ไม่รู้จัก Cisco ปล่อยอัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่นี้แล้วโดยไม่มี Workaround ใดที่สามารถแก้ปัญหาได้อย่างสมบูรณ์ แนะนำให้ผู้ดูแลระบบอัปเดตเป็นเวอร์ชันที่แก้ไขแล้วโดยด่วน รวมถึงต้องไม่เปิด SD-WAN Management Interface ให้เข้าถึงจากอินเทอร์เน็ตได้

ที่มา: https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …

ActiveMedia ขอเชิญเข้าฟัง Webinar “Next-Generation Data Protection for Your Business” 23 ก.ค. เวลา 14:00 น.

องค์กรของคุณพร้อมรับมือกับความท้าทายด้านข้อมูลในยุคดิจิทัลแล้วหรือยัง?