สรุปสั้น

บริษัท Cisco ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2026-20262 ในผลิตภัณฑ์ Catalyst SD-WAN Manager (เดิมชื่อ SD-WAN vManage) ซึ่งเป็นซอฟต์แวร์บริหารจัดการเครือข่าย SD-WAN ที่รองรับอุปกรณ์ได้ถึง 6,000 เครื่องจากแดชบอร์ดเดียว ช่องโหว่ดังกล่าวเกิดจากการตรวจสอบ Input ไม่เพียงพอในระหว่างกระบวนการอัปโหลดไฟล์ผ่าน API ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้วแม้มีสิทธิ์ระดับต่ำ สามารถส่ง HTTP Request ที่ถูกดัดแปลงเพื่อสร้างหรือเขียนทับไฟล์ใดก็ได้ในระบบปฏิบัติการ จากนั้นใช้ไฟล์ที่สร้างขึ้นเพื่อยกระดับสิทธิ์เป็น Root ได้

ช่องโหว่นี้ส่งผลกระทบต่อทุกรูปแบบการติดตั้ง ไม่ว่าจะเป็น On-Prem, SD-WAN Cloud-Pro, SD-WAN Cloud (Cisco Managed) หรือ SD-WAN for Government (FedRAMP) โดย Cisco ยืนยันว่าทีม PSIRT ตรวจพบการใช้ช่องโหว่นี้ในการโจมตีจริงตั้งแต่ต้นเดือนมิถุนายน 2569 และแนะนำอย่างยิ่งให้ลูกค้าอัปเดตแพตช์โดยเร็ว นับเป็นช่องโหว่ในตระกูล Cisco Catalyst SD-WAN ตัวที่ 6 ที่ถูก Exploit ในปี 2569 นี้ ขณะที่ CISA ระบุว่าตลอดหลายปีที่ผ่านมามีช่องโหว่ Cisco ถึง 91 รายการที่ถูกใช้โจมตีจริง

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 15 มิถุนายน พ.ศ. 2569 ว่า บริษัท Cisco ได้เผยแพร่อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2026-20262 ในผลิตภัณฑ์ Catalyst SD-WAN Manager ซึ่งถูกใช้โจมตีจริงในรูปแบบ Zero-Day เพื่อยกระดับสิทธิ์เป็น Root บนระบบที่ได้รับผลกระทบ ช่องโหว่อยู่ในส่วน Web UI ของ SD-WAN Manager โดยเกิดจากการตรวจสอบข้อมูลที่ผู้ใช้ส่งเข้ามาไม่เพียงพอระหว่างกระบวนการอัปโหลดไฟล์ ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้วสามารถส่ง HTTP Request ที่ถูกดัดแปลงไปยัง API Endpoint เพื่อสร้างหรือเขียนทับไฟล์ใดก็ได้บนระบบไฟล์ จากนั้นใช้ไฟล์ดังกล่าวเพื่อยกระดับสิทธิ์เป็น Root

Cisco ระบุว่าช่องโหว่นี้กระทบทุกรูปแบบการติดตั้ง โดยไม่ขึ้นกับการตั้งค่าอุปกรณ์ ครอบคลุมทั้ง On-Prem, SD-WAN Cloud-Pro, SD-WAN Cloud (Cisco Managed) และ SD-WAN for Government (FedRAMP) ทีม PSIRT ของ Cisco รับทราบการโจมตีตั้งแต่ต้นเดือนมิถุนายน และแนะนำอย่างยิ่งให้ลูกค้าดำเนินการแพตช์โดยเร็ว พร้อมแชร์ Indicators of Compromise (IOCs) เตือนผู้ดูแลระบบให้ตรวจสอบล็อกของ vmanage-server, vmanage-appserver และ serviceproxy-access เพื่อหาความพยายามอัปโหลดไฟล์ index.jsp และ .war

เวอร์ชันที่ได้รับผลกระทบและเวอร์ชันที่แก้ไขแล้วมีดังนี้ — 20.9.9.1 และก่อนหน้า (แก้ใน 20.9.9.2), 20.12.7.1 และก่อนหน้า (แก้ใน 20.12.7.2), 20.15.4.4 และก่อนหน้า (แก้ใน 20.15.4.5), 20.15.5.2 และก่อนหน้า (แก้ใน 20.15.5.3), 20.18.3 (แก้ใน 20.18.3.1) และ 26.1.1.1 และก่อนหน้า (แก้ใน 26.1.1.2)

ช่องโหว่นี้ไม่ใช่กรณีแรกในปี 2569 ที่ผลิตภัณฑ์ตระกูล Cisco Catalyst SD-WAN ถูกโจมตี ก่อนหน้านี้ในเดือนกุมภาพันธ์ Cisco แพตช์ช่องโหว่ Information Disclosure CVE-2026-20133 ซึ่งถูกใช้โจมตีจริงในช่วงปลายเดือนเมษายน ตามด้วย CVE-2026-20128 และ CVE-2026-20122 อีกสองสัปดาห์ต่อมา จากนั้นในเดือนพฤษภาคมมีช่องโหว่ Authentication Bypass ระดับ CVSS สูงสุด CVE-2026-20182 และล่าสุดในต้นเดือนมิถุนายนยังมี Zero-Day CVE-2026-20245 ที่ถูก Exploit อีกด้วย โดย CISA ระบุว่าตลอดหลายปีที่ผ่านมามีช่องโหว่ Cisco ทั้งหมด 91 รายการที่ถูกใช้โจมตีจริง ในจำนวนนี้มี 5 รายการอยู่ใน Catalyst SD-WAN Manager และอีก 6 รายการถูกใช้ในการโจมตีแรนซัมแวร์

รายละเอียดช่องโหว่

CVE-2026-20262 เป็นช่องโหว่ประเภท Arbitrary File Write ที่อยู่ใน API Endpoint ของ Web UI ในผลิตภัณฑ์ Cisco Catalyst SD-WAN Manager สาเหตุหลักมาจากการที่ระบบไม่ได้ตรวจสอบข้อมูลที่ผู้ใช้ส่งเข้ามาอย่างเพียงพอในระหว่างกระบวนการอัปโหลดไฟล์ ทำให้ผู้โจมตีที่มีสิทธิ์เข้าถึงระบบแม้เพียงระดับต่ำ (Low-Privilege Authenticated User) สามารถสร้าง HTTP Request ที่ถูกดัดแปลงเป็นพิเศษส่งไปยัง API Endpoint ที่มีช่องโหว่

เมื่อ Exploit สำเร็จ ผู้โจมตีสามารถสร้างไฟล์ใหม่หรือเขียนทับไฟล์ที่มีอยู่แล้วบนระบบไฟล์ของระบบปฏิบัติการได้ จากหลักฐานที่ Cisco เปิดเผย พบว่าผู้โจมตีใช้ช่องโหว่นี้ในการอัปโหลดไฟล์ index.jsp และไฟล์ .war เข้าสู่ระบบ ซึ่งเป็นไฟล์ Java Web Application ที่สามารถทำงานบน Application Server ได้ ทำให้ผู้โจมตีสามารถรันคำสั่งในระดับ Root ได้ในที่สุด การโจมตีนี้ต้องการเพียงการเข้าถึงระบบที่ผ่านการยืนยันตัวตนแล้วผ่านเครือข่าย (Remote) ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

ผลกระทบต่อไทย

องค์กรในประเทศไทยที่ใช้ผลิตภัณฑ์ Cisco Catalyst SD-WAN Manager ในการบริหารจัดการเครือข่าย SD-WAN ควรให้ความสำคัญกับช่องโหว่นี้เป็นอย่างยิ่ง โดยเฉพาะหน่วยงานภาครัฐ สถาบันการเงิน ผู้ให้บริการโทรคมนาคม และองค์กรขนาดใหญ่ที่มักใช้ SD-WAN ในการเชื่อมต่อสาขาหลายแห่ง เนื่องจากช่องโหว่นี้ถูกใช้โจมตีจริงแล้วและกระทบทุกรูปแบบการติดตั้ง การไม่อัปเดตแพตช์อาจทำให้ผู้โจมตียึดครองระบบบริหารจัดการเครือข่ายทั้งหมดได้ ซึ่งจะส่งผลกระทบต่อเครือข่ายสาขาทั้งองค์กร นอกจากนี้ข้อเท็จจริงที่ว่ามีช่องโหว่ในตระกูลเดียวกันถูก Exploit ถึง 6 ตัวในปีเดียวสะท้อนให้เห็นว่าผลิตภัณฑ์ตระกูลนี้เป็นเป้าหมายหลักของผู้โจมตี

คำแนะนำ

ผู้ดูแลระบบที่ใช้ Cisco Catalyst SD-WAN Manager ควรอัปเดตเป็นเวอร์ชันที่ได้รับการแก้ไขทันที ตรวจสอบล็อกของ vmanage-server, vmanage-appserver และ serviceproxy-access เพื่อค้นหาความพยายามอัปโหลดไฟล์ index.jsp และ .war ที่ผิดปกติ จำกัดการเข้าถึง Web UI และ API Endpoint ให้เฉพาะเครือข่ายที่เชื่อถือได้เท่านั้น ตรวจสอบและ Revoke บัญชีผู้ใช้ที่ไม่จำเป็นหรือน่าสงสัย และพิจารณาใช้ระบบ SIEM หรือ IDS/IPS เฝ้าระวังกิจกรรมที่ผิดปกติบน Management Plane

แหล่งอ้างอิง