สรุปสั้น

Cisco ออกประกาศเตือนว่าช่องโหว่ระดับสูง CVE-2026-20245 ใน Catalyst SD-WAN Manager (เดิมชื่อ SD-WAN vManage) กำลังถูกโจมตีจริงในวงจำกัด ช่องโหว่มีคะแนน CVSS 7.8 และเปิดทางให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแบบ local รันคำสั่งใดๆ ในระดับ root ได้

สาเหตุเกิดจากการตรวจสอบข้อมูลที่ผู้ใช้ป้อนไม่เพียงพอ ทำให้สามารถอัปโหลดไฟล์ที่สร้างขึ้นพิเศษเพื่อทำ command injection และยกระดับสิทธิ์เป็น root อย่างไรก็ตามการโจมตีต้องมีสิทธิ์ netadmin บนระบบเป้าหมายก่อน ซึ่งอาจได้มาจาก credential ที่ถูกต้องหรือจากการเจาะช่องโหว่ authentication bypass อื่น

ช่องโหว่นี้กระทบทั้งแบบ On-Prem, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) และเวอร์ชันสำหรับหน่วยงานรัฐ (FedRAMP) ปัจจุบันยังไม่มีแพตช์หรือมาตรการบรรเทาเฉพาะสำหรับ CVE-2026-20245 ทำให้องค์กรที่เปิดระบบสู่อินเทอร์เน็ตมีความเสี่ยงสูง

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 6 มิถุนายน พ.ศ. 2569 ว่า Cisco ได้เผยแพร่ประกาศด้านความปลอดภัยเตือนถึง CVE-2026-20245 ช่องโหว่ใน CLI ของ Catalyst SD-WAN Manager ที่กำลังถูกใช้โจมตีจริง โดยระบุว่าผู้โจมตีที่ผ่านการยืนยันตัวตนแบบ local สามารถรันคำสั่งใดๆ ในระดับ root ได้ด้วยการป้อนไฟล์ที่สร้างขึ้นพิเศษให้กับระบบ

Cisco อธิบายว่าช่องโหว่เกิดจากการตรวจสอบ input ของผู้ใช้ไม่เพียงพอ ผู้โจมตีจึงใช้ประโยชน์ด้วยการอัปโหลดไฟล์ที่สร้างขึ้นมาเป็นพิเศษ ทำให้เกิดการโจมตีแบบ command injection และยกระดับสิทธิ์ขึ้นเป็น root ได้ การโจมตีกำหนดเงื่อนไขว่าผู้โจมตีต้องมีสิทธิ์ netadmin บนระบบก่อน ซึ่งอาจได้จาก credential ที่ถูกต้อง หรือจากการเจาะช่องโหว่ CVE-2026-20182 และ CVE-2026-20127 ที่เป็น authentication bypass

CVE-2026-20182 (CVSS 10.0) ถูกเปิดเผยเมื่อเดือนก่อนโดย Rapid7 ในฐานะช่องโหว่ที่เปิดทางให้ผู้โจมตีจากระยะไกลแบบไม่ต้องยืนยันตัวตนได้สิทธิ์ระดับ administrator ส่วน CVE-2026-20127 เป็น authentication bypass ในคอมโพเนนต์เดียวกัน ทั้งสองช่องโหว่ถูกใช้โจมตีในฐานะ zero-day โดยกลุ่มกิจกรรมที่ชื่อ UAT-8616 มีร่องรอยย้อนไปถึงปี 2023 Cisco ให้เครดิตทีมนักวิจัยจาก Google Mandiant ในการค้นพบและรายงานช่องโหว่ใหม่นี้ แต่ยังไม่ทราบว่าใครอยู่เบื้องหลังการโจมตีล่าสุด

รายละเอียดช่องโหว่

CVE-2026-20245 เป็นช่องโหว่ command injection / privilege escalation ใน CLI ของ Catalyst SD-WAN Manager ซึ่งเกิดจากการ validate ไฟล์ที่ผู้ใช้อัปโหลดไม่รัดกุม ผู้โจมตีที่มีสิทธิ์ netadmin จึงแทรกคำสั่งที่ฝังในไฟล์ให้ระบบรันด้วยสิทธิ์ root ได้ Cisco พบกรณีจำกัดที่การโจมตี CVE-2026-20245 ส่งผลให้มีการ push การเปลี่ยนแปลงค่า configuration ลงไปยังอุปกรณ์ edge ซึ่งอันตรายมากเพราะกระทบเครือข่ายทั้งระบบ

เนื่องจากยังไม่มีแพตช์ Cisco แนะนำให้ผู้ดูแลระบบตรวจสอบไฟล์ /var/log/scripts.log เพื่อหา indicators of compromise (IoCs) โดยมองหา log ที่บ่งชี้การอัปโหลดไฟล์ผ่านสคริปต์ เช่นบรรทัดที่อ้างถึง vconfd_script_upload_tenant_list.sh หรือสคริปต์อัปโหลด chassis/serial number ที่ชี้ไปยัง path ใน /home/admin/ ที่น่าสงสัย CVE-2026-20245 นับเป็นช่องโหว่ SD-WAN ตัวที่ 7 ที่ถูกระบุว่าถูกโจมตีจริงในปี 2026 เพียงปีเดียว ต่อจาก CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 และ CVE-2022-20775

ผลกระทบต่อไทย

Cisco SD-WAN เป็นโซลูชันเครือข่ายที่องค์กรขนาดใหญ่ ธนาคาร ผู้ให้บริการโทรคมนาคม และหน่วยงานรัฐในไทยใช้งานอย่างแพร่หลายในการเชื่อมต่อสาขาหลายแห่งเข้าด้วยกัน การที่ Catalyst SD-WAN Manager เป็นศูนย์กลางควบคุมทั้งเครือข่าย หากถูกยึดในระดับ root ผู้โจมตีสามารถ push configuration ที่เป็นอันตรายไปยังทุกอุปกรณ์ edge ได้ในคราวเดียว ซึ่งเป็นความเสี่ยงระดับ catastrophic ต่อความต่อเนื่องทางธุรกิจ ยิ่งไปกว่านั้นช่องโหว่ตัวนี้ต้องอาศัย CVE-2026-20182/20127 ที่เป็น authentication bypass ระดับร้ายแรง ระบบที่เปิดสู่อินเทอร์เน็ตและยังไม่ได้แพตช์จึงตกอยู่ในความเสี่ยงสูงเป็นพิเศษ

คำแนะนำ

อัปเกรดซอฟต์แวร์ SD-WAN ให้เป็นเวอร์ชันที่ได้รับแพตช์แก้ CVE-2026-20182 ที่ปล่อยเมื่อวันที่ 14 พฤษภาคม 2026 ทันที เพื่อปิดช่องทาง authentication bypass ที่เป็นเงื่อนไขนำไปสู่การโจมตี CVE-2026-20245 ห้ามเปิด management interface ของ SD-WAN Manager สู่อินเทอร์เน็ตโดยตรง ควรจำกัดการเข้าถึงผ่าน VPN หรือ jump host เท่านั้น ตรวจสอบไฟล์ /var/log/scripts.log เพื่อหาร่องรอยการอัปโหลดไฟล์ที่น่าสงสัย ทบทวนบัญชีที่มีสิทธิ์ netadmin และบังคับใช้ MFA กับทุกบัญชีผู้ดูแล รวมถึงติดตามประกาศจาก Cisco อย่างใกล้ชิดเพื่อรับแพตช์สำหรับ CVE-2026-20245 ทันทีที่เผยแพร่

แหล่งอ้างอิง