สรุปสั้น

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ประกาศเพิ่มช่องโหว่ 3 รายการเข้าแคตตาล็อก Known Exploited Vulnerabilities (KEV) เมื่อวันที่ 10 มิถุนายน พ.ศ. 2569 หลังยืนยันว่ามีการใช้โจมตีจริงในธรรมชาติ ช่องโหว่ทั้งสามได้แก่ CVE-2026-20245 ใน Cisco Catalyst SD-WAN Manager ที่เป็น privilege escalation ความรุนแรง CVSS 7.8, CVE-2026-11645 ใน Google Chrome V8 JavaScript engine ที่เป็น type confusion ความรุนแรง CVSS 8.8 และ CVE-2026-7473 ใน Arista EOS ที่เป็น command injection ความรุนแรง CVSS 6.9

หน่วยงานรัฐบาลกลางสหรัฐฯ ภายใต้คำสั่ง BOD 22-01 ถูกบังคับให้แพตช์ช่องโหว่ทั้งสามภายในวันที่ 23 มิถุนายน พ.ศ. 2569 อย่างไรก็ตาม สิ่งที่น่ากังวลคือบริษัท Arista Networks ประกาศอย่างเป็นทางการว่าจะไม่ออกแพตช์สำหรับ CVE-2026-7473 โดยระบุว่าช่องโหว่นี้อยู่ในฟีเจอร์ที่กำลังจะถูกยกเลิก (deprecated) และแนะนำให้ผู้ใช้ปิดฟีเจอร์ดังกล่าวแทน ทำให้หน่วยงานที่ใช้อุปกรณ์ Arista ต้องหาทางบรรเทาความเสี่ยงด้วยตัวเอง

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 10 มิถุนายน พ.ศ. 2569 ว่า CISA ได้เพิ่มช่องโหว่ 3 รายการเข้าแคตตาล็อก KEV พร้อมกำหนดเส้นตายให้หน่วยงานรัฐบาลกลางสหรัฐฯ ดำเนินการแก้ไขภายในวันที่ 23 มิถุนายน

CVE-2026-20245 เป็นช่องโหว่ privilege escalation ในบริษัท Cisco Catalyst SD-WAN Manager ที่ให้ผู้ใช้ที่ล็อกอินแล้วสามารถยกระดับสิทธิ์เป็น root ได้ บริษัท Cisco ได้ออกแพตช์แก้ไขแล้วในเวอร์ชัน 20.12.4 และ 20.15.1 ช่องโหว่นี้เคยถูกรายงานก่อนหน้านี้แต่การถูกเพิ่มเข้า KEV ยืนยันว่ามีผู้โจมตีนำไปใช้ประโยชน์ในสถานการณ์จริงแล้ว

CVE-2026-11645 เป็นช่องโหว่ type confusion ใน V8 JavaScript engine ของ Google Chrome ที่ให้ผู้โจมตีสามารถรันโค้ดตามอำเภอใจผ่านหน้าเว็บที่ออกแบบมาเป็นพิเศษ Google ได้ออกแพตช์ฉุกเฉินแก้ไขแล้วใน Chrome เวอร์ชัน 137.0.7151.68 ช่องโหว่นี้เป็น zero-day ตัวที่ 5 ของ Chrome ในปี 2569

สำหรับ CVE-2026-7473 เป็นช่องโหว่ command injection ใน Arista EOS (Extensible Operating System) ที่ให้ผู้โจมตีที่มีสิทธิ์เข้าถึงเครือข่ายสามารถรันคำสั่ง OS ได้ ช่องโหว่อยู่ในฟีเจอร์ Zero Touch Provisioning (ZTP) ซึ่งใช้สำหรับตั้งค่าอุปกรณ์อัตโนมัติ บริษัท Arista ระบุว่าฟีเจอร์นี้อยู่ระหว่างการยกเลิก จึงไม่มีแผนออกแพตช์ และแนะนำให้ปิด ZTP หรือจำกัดการเข้าถึง management plane แทน

รายละเอียดช่องโหว่

CVE-2026-20245 (Cisco Catalyst SD-WAN Manager, CVSS 7.8) เป็นช่องโหว่ local privilege escalation ที่เกิดจากการตรวจสอบสิทธิ์ไม่รัดกุมในคำสั่ง CLI บางตัว ผู้โจมตีที่ล็อกอินเข้าระบบด้วยสิทธิ์ต่ำสามารถรันคำสั่งเฉพาะเพื่อยกระดับเป็น root ได้ ส่งผลให้ควบคุมอุปกรณ์ SD-WAN Manager ได้ทั้งหมด

CVE-2026-11645 (Google Chrome V8, CVSS 8.8) เป็นช่องโหว่ type confusion ที่ผู้โจมตีสามารถหลอก V8 engine ให้ตีความข้อมูลผิดประเภท นำไปสู่การรันโค้ดตามอำเภอใจในบริบทของเบราว์เซอร์ การโจมตีทำได้เพียงหลอกให้เหยื่อเข้าเว็บไซต์ที่เป็นอันตราย

CVE-2026-7473 (Arista EOS, CVSS 6.9) เป็นช่องโหว่ command injection ในระบบ Zero Touch Provisioning ที่ให้ผู้โจมตีที่อยู่ในเครือข่ายเดียวกันสามารถแทรกคำสั่ง OS เข้าไปในกระบวนการ provisioning ที่ไม่ได้กรอง input อย่างเหมาะสม เนื่องจาก Arista ไม่มีแผนออกแพตช์ ทางเลือกเดียวคือปิด ZTP และจำกัดการเข้าถึง management interface

ผลกระทบต่อไทย

อุปกรณ์ Cisco SD-WAN และ Arista EOS ถูกใช้ในองค์กรขนาดใหญ่และผู้ให้บริการโทรคมนาคมในไทย โดยเฉพาะ Cisco SD-WAN ที่นิยมในภาคการเงินและองค์กรที่มีสาขาหลายแห่ง ส่วน Chrome เป็นเบราว์เซอร์ที่ใช้แพร่หลายที่สุดในไทย การที่ช่องโหว่ทั้งสามถูกใช้โจมตีจริงแล้วหมายความว่าองค์กรไทยมีความเสี่ยงโดยตรง โดยเฉพาะกรณี Arista ที่ไม่มีแพตช์ ซึ่งหน่วยงานที่ใช้อุปกรณ์ Arista ต้องหาทางบรรเทาความเสี่ยงด้วยการปิดฟีเจอร์ ZTP ทันที

คำแนะนำ

ผู้ดูแลระบบควรอัปเดต Cisco Catalyst SD-WAN Manager เป็นเวอร์ชัน 20.12.4 หรือ 20.15.1 ขึ้นไป อัปเดต Google Chrome เป็นเวอร์ชัน 137.0.7151.68 ขึ้นไปทันที สำหรับอุปกรณ์ Arista EOS ควรปิดฟีเจอร์ Zero Touch Provisioning และจำกัดการเข้าถึง management plane จากเครือข่ายภายนอก หากยังจำเป็นต้องใช้ ZTP ควรแยกเครือข่าย provisioning ออกจากเครือข่ายหลักและเฝ้าระวังทราฟฟิกที่ผิดปกติ

แหล่งอ้างอิง