สรุปสั้น

หน่วยงาน CISA ของสหรัฐอเมริกาเพิ่มช่องโหว่ CVE-2026-20182 ในผลิตภัณฑ์ Cisco Catalyst SD-WAN Controller เข้ารายการช่องโหว่ที่ถูกใช้โจมตีจริง (KEV) เมื่อวันที่ 14 พฤษภาคม 2569 ช่องโหว่นี้เป็นประเภท Authentication Bypass ที่ได้รับคะแนนความรุนแรงระดับสูงสุด CVSS 10.0 จาก 10 ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถข้ามขั้นตอนการ Login และได้รับสิทธิ์ผู้ดูแลระบบ (Admin) บนอุปกรณ์ที่มีช่องโหว่ได้ทันที Cisco Talos ระบุด้วยความมั่นใจสูงว่ากลุ่มภัยคุกคาม UAT-8616 เป็นผู้อยู่เบื้องหลังการโจมตีครั้งนี้ นอกจากนี้ยังพบอีกอย่างน้อย 10 กลุ่มแฮ็กเกอร์ที่ใช้ช่องโหว่ในตระกูลเดียวกันเพื่อฝัง Web Shell และติดตั้งมัลแวร์บนระบบที่ถูกเจาะ หน่วยงานรัฐบาลกลางของสหรัฐฯ ได้รับคำสั่งให้แก้ไขช่องโหว่ภายในวันที่ 17 พฤษภาคม 2569

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 15 พฤษภาคม พ.ศ. 2569 ว่า หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ใหม่ที่ส่งผลกระทบต่อ Cisco Catalyst SD-WAN Controller เข้าสู่แคตตาล็อก Known Exploited Vulnerabilities (KEV) โดยกำหนดให้หน่วยงานภาครัฐของสหรัฐฯ ต้องดำเนินการแก้ไขภายในวันที่ 17 พฤษภาคม 2569

ช่องโหว่ดังกล่าวมีรหัส CVE-2026-20182 เป็นประเภท Authentication Bypass ที่ได้รับคะแนน CVSS สูงสุดที่ 10.0 ซึ่งหมายความว่าผู้โจมตีจากระยะไกลที่ไม่ผ่านการยืนยันตัวตนสามารถข้ามระบบ Authentication ทั้งหมดและเข้าถึงสิทธิ์ผู้ดูแลระบบได้โดยตรง

Cisco Talos ซึ่งเป็นทีมวิจัยด้านความปลอดภัยของ Cisco ระบุว่ากลุ่มภัยคุกคาม UAT-8616 เป็นผู้รับผิดชอบการโจมตีนี้ โดยเป็นกลุ่มเดียวกับที่เคยใช้ช่องโหว่ CVE-2026-20127 ก่อนหน้านี้ หลังจากเจาะเข้าระบบสำเร็จ กลุ่มดังกล่าวจะพยายามเพิ่ม SSH Key แก้ไขการตั้งค่า NETCONF และยกระดับสิทธิ์เป็น Root

นอกจากนี้ยังพบว่ามีกลุ่มภัยคุกคามอย่างน้อย 10 กลุ่มที่ใช้ช่องโหว่ในตระกูลเดียวกัน (CVE-2026-20133, CVE-2026-20128 และ CVE-2026-20122) ตั้งแต่เดือนมีนาคม 2569 โดยกลุ่มเหล่านี้ใช้ Exploit ที่เผยแพร่สาธารณะเพื่อฝัง Web Shell เช่น Godzilla, Behinder และ XenShell รวมถึงติดตั้ง Sliver C2 Framework, XMRig Miner สำหรับขุดคริปโต และ Credential Stealer เพื่อขโมย JWT Key และ AWS Credentials

รายละเอียดช่องโหว่

CVE-2026-20182 เป็นช่องโหว่ประเภท Authentication Bypass ใน Cisco Catalyst SD-WAN Controller และ Manager ที่เกิดจากข้อบกพร่องในกระบวนการตรวจสอบสิทธิ์ ทำให้ผู้โจมตีจากระยะไกลสามารถส่ง Request พิเศษเพื่อข้ามระบบ Authentication ได้โดยสมบูรณ์

เมื่อเข้าถึงระบบสำเร็จ ผู้โจมตีจะได้รับสิทธิ์ Admin เต็มรูปแบบ ซึ่งสามารถใช้ในการเพิ่ม SSH Key สำหรับเข้าถึงในอนาคต แก้ไขการตั้งค่า NETCONF เพื่อเปลี่ยนแปลงนโยบายเครือข่าย และยกระดับสิทธิ์เป็น Root เพื่อควบคุมอุปกรณ์ได้อย่างเต็มที่

โครงสร้างพื้นฐานที่ใช้ในการโจมตีมีความเชื่อมโยงกับเครือข่าย Operational Relay Box (ORB) ซึ่งเป็นเครือข่ายอุปกรณ์ที่ถูกยึดครองเพื่อใช้เป็นตัวกลางในการโจมตี ทำให้ยากต่อการติดตามต้นทางของผู้โจมตี

การโจมตีใช้ Exploit Code ที่เผยแพร่สาธารณะโดย ZeroZenX Labs เพื่อติดตั้ง Web Shell บนระบบที่ถูกเจาะ โดย Web Shell ที่พบมากที่สุดคือ XenShell ซึ่งเป็น JSP-based Web Shell ที่ช่วยให้ผู้โจมตีสามารถรันคำสั่ง Bash บนเซิร์ฟเวอร์ได้ตามต้องการ

ผลกระทบต่อไทย

Cisco SD-WAN เป็นโซลูชันที่ได้รับความนิยมในองค์กรขนาดใหญ่และผู้ให้บริการโทรคมนาคมในประเทศไทย โดยเฉพาะธนาคาร บริษัทประกัน และหน่วยงานภาครัฐที่มีสาขาหลายแห่งทั่วประเทศ ช่องโหว่ระดับ CVSS 10.0 ที่ถูกใช้โจมตีจริงนี้หมายความว่าอุปกรณ์ SD-WAN Controller ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ตมีความเสี่ยงสูงมาก

การที่มีกลุ่มแฮ็กเกอร์อย่างน้อย 10 กลุ่มกำลังโจมตีช่องโหว่ตระกูลนี้อยู่แล้ว รวมถึงกลุ่มที่ขุดคริปโตและกลุ่มที่ขโมย Credential แสดงให้เห็นว่าการโจมตีไม่ได้จำกัดเฉพาะกลุ่มรัฐ แต่รวมถึงอาชญากรไซเบอร์ทั่วไปด้วย ผู้ดูแลระบบเครือข่ายในไทยที่ใช้ Cisco SD-WAN ควรตรวจสอบและอัปเดตแพตช์โดยเร่งด่วน

คำแนะนำ

  • อัปเดตเฟิร์มแวร์ Cisco Catalyst SD-WAN Controller และ Manager เป็นเวอร์ชันล่าสุดที่แก้ไขช่องโหว่ CVE-2026-20182 โดยเร่งด่วน
  • จำกัดการเข้าถึง SD-WAN management จากอินเทอร์เน็ต — ใช้ VPN หรือ jump host
  • สแกนหา web shell (เช่น XenShell) และ SSH keys ที่ถูกเพิ่มโดยไม่ได้รับอนุญาต

แหล่งอ้างอิง