Cisco เตือนช่องโหว่ Critical บน SD-WAN ถูกใช้โจมตีแบบ Zero-day มาตั้งแต่ปี 2023

February 26, 2026 Cisco, Cybersecurity, Products, Threats Update

Cisco ออกคำเตือนเกี่ยวกับช่องโหว่ Authentication Bypass ระดับ Critical บน Cisco Catalyst SD-WAN ที่ถูกใช้โจมตีแบบ Zero-day มาตั้งแต่ปี 2023 โดยผู้โจมตีสามารถเจาะเข้า Controller และเพิ่ม Rogue Peer เข้าไปในเครือข่ายได้

ช่องโหว่ดังกล่าวมีรหัส CVE-2026-20127 ได้รับค่า CVSS สูงสุดที่ 10.0 ส่งผลกระทบต่อ Cisco Catalyst SD-WAN Controller (เดิมคือ vSmart) และ Cisco Catalyst SD-WAN Manager (เดิมคือ vManage) ทั้งแบบ On-premises และ SD-WAN Cloud โดยช่องโหว่เกิดจากระบบ Peering Authentication ที่ทำงานไม่ถูกต้อง ทำให้ผู้โจมตีสามารถส่ง Request ที่สร้างขึ้นมาเป็นพิเศษเพื่อเข้าสู่ระบบในฐานะบัญชี Internal ระดับสิทธิ์สูง จากนั้นเข้าถึง NETCONF เพื่อแก้ไข Network Configuration ของ SD-WAN Fabric ทั้งหมดได้ ช่องโหว่นี้ถูกรายงานโดย Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC)

Cisco Talos ระบุว่าช่องโหว่นี้ถูกใช้ในการโจมตีจริงและติดตามกลุ่มผู้โจมตีภายใต้ชื่อ UAT-8616 ซึ่งประเมินว่าเป็นกลุ่มภัยคุกคามที่มีความซับซ้อนสูง จากข้อมูล Telemetry พบการโจมตีย้อนหลังไปถึงอย่างน้อยปี 2023 โดยผู้โจมตีใช้เทคนิค Downgrade เฟิร์มแวร์ไปยังเวอร์ชันเก่าเพื่อใช้ช่องโหว่ CVE-2022-20775 ในการยกระดับสิทธิ์เป็น Root จากนั้นกู้คืนเฟิร์มแวร์เวอร์ชันเดิมเพื่อหลบเลี่ยงการตรวจจับ เทคนิคนี้ทำให้ผู้โจมตีสามารถเพิ่ม Rogue Peer เข้าไปในสภาพแวดล้อม SD-WAN ที่ดูเหมือนอุปกรณ์ปกติ แล้วสร้าง Encrypted Connection เพื่อเจาะลึกเข้าไปในเครือข่ายขององค์กรได้

CISA ออก Emergency Directive 26-03 กำหนดให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ต้องสำรวจระบบ Cisco SD-WAN, เก็บ Forensic Artifact, จัดเก็บ Log ไว้ภายนอก, ติดตั้งอัปเดต และตรวจสอบการโจมตีภายในวันที่ 27 กุมภาพันธ์ 2026 ขณะที่ UK NCSC ก็ออกคำเตือนร่วมเกี่ยวกับการโจมตีที่เกิดขึ้นทั่วโลก พร้อม คู่มือการตรวจสอบและป้องกัน ที่แนะนำให้ตรวจสอบ Log สำหรับ Peering Event ที่ผิดปกติ, การ Authentication ที่ไม่ได้รับอนุญาต และ SSH Key ที่ไม่รู้จัก Cisco ปล่อยอัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่นี้แล้วโดยไม่มี Workaround ใดที่สามารถแก้ปัญหาได้อย่างสมบูรณ์ แนะนำให้ผู้ดูแลระบบอัปเดตเป็นเวอร์ชันที่แก้ไขแล้วโดยด่วน รวมถึงต้องไม่เปิด SD-WAN Management Interface ให้เข้าถึงจากอินเทอร์เน็ตได้

ที่มา: https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

NT พร้อมสนับสนุนหน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญ เตรียมความพร้อมสู่มาตรฐานความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ของ สกมช. ก่อนมีผลบังคับใช้ 10 กันยายน 2569 [PR]

บริษัท โทรคมนาคมแห่งชาติ จำกัด (มหาชน) หรือ NT ประกาศความพร้อมในการสนับสนุนหน่วยงานภาครัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศให้พร้อมใช้บริการคลาวด์อย่างมั่นคงปลอดภัย รองรับการปฏิบัติตามมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567 ของคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ซึ่งจะมีผลบังคับใช้ในวันที่ 10 กันยายน …

ServiceNow จับมือ IBM ปลดล็อกข้อมูลองค์กรเพื่อการใช้งาน AI อย่างมีประสิทธิภาพ

ServiceNow ขยายความร่วมมือกับ IBM ปลดล็อกข้อจำกัดด้านความพร้อมของข้อมูลและระบบ Legacy ซึ่งเป็นสองอุปสรรคใหญ่ที่สุดในการก้าวสู่การนำ AI มาใช้ในระดับองค์กร โดยความร่วมมือในครั้งนี้ผสานความสามารถด้าน AI ข้อมูล และระบบอัตโนมัติจาก IBM เข้ากับแพลตฟอร์มของ ServiceNow

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand