ที่มาภาพ: The Hacker News
Cisco Catalyst SD‑WAN เผชิญ Zero‑Day CVE‑2026‑20245 ที่ให้สิทธิ์ root
⚡ สรุป 30 วิ
Mandiant พบว่าผู้โจมตีใช้ช่องโหว่ระดับสูงของ Cisco Catalyst SD‑WAN (CVE‑2026‑20245) เป็นเวลาอย่างน้อยสองเดือนก่อนประกาศ CVSS 7.8 ทำให้สามารถรันคำสั่งด้วยสิทธิ์…
การสำรวจของ Mandiant ซึ่งเป็นบริษัทในเครือของ Google เปิดเผยว่า ผู้กระทำผิดที่ไม่ทราบตัวตนได้ใช้ช่องโหว่ระดับสูงของ Cisco Catalyst SD‑WAN เป็นระยะเวลานานอย่างน้อยสองเดือนก่อนที่ช่องโหว่นั้นจะถูกประกาศต่อสาธารณะ ช่องโหว่ที่ระบุด้วยรหัส CVE‑2026‑20245 มีคะแนน CVSS 7.8 และทำให้ผู้โจมตีที่มีสิทธิ์เข้าใช้งานในระบบสามารถรันคำสั่งใด ๆ ด้วยสิทธิ์ระดับราก (root) ได้ การโจมตีเช่นนี้อาจทำให้เครือข่ายองค์กรที่พึ่งพาโซลูชัน SD‑WAN ของ Cisco เสี่ยงต่อการถูกควบคุมโดยผู้ไม่หวังดีอย่างรุนแรง
Overview
Cisco Catalyst SD‑WAN เป็นผลิตภัณฑ์ที่ให้บริการเชื่อมต่อเครือข่ายระดับองค์กรผ่านเทคโนโลยีซอฟต์แวร์‑กำหนดเครือข่าย (SD‑WAN) ที่มุ่งเน้นการจัดการและเพิ่มประสิทธิภาพของการสื่อสารระหว่างสาขาต่าง ๆ ของบริษัท ความนิยมของผลิตภัณฑ์นี้มาจากการที่ Cisco สามารถผสานรวมฟังก์ชันความปลอดภัยและการกำหนดเส้นทางเข้าด้วยกันได้อย่างครอบคลุม อย่างไรก็ตาม ความซับซ้อนของซอฟต์แวร์ที่ทำงานบนอุปกรณ์เครือข่ายทำให้ระบบมีจุดอ่อนที่อาจถูกค้นพบและนำไปใช้ประโยชน์ได้
ในหลายปีที่ผ่านมา ช่องโหว่ของอุปกรณ์เครือข่าย Cisco ได้รับการตรวจสอบและแก้ไขอย่างต่อเนื่อง แต่เหตุการณ์ล่าสุดนี้ชี้ให้เห็นว่าการตรวจสอบและอัปเดตอย่างสม่ำเสมอยังไม่เพียงพอหากไม่มีการเฝ้าระวังพฤติกรรมของผู้ใช้ภายในระบบอย่างละเอียด การใช้ช่องโหว่ในระดับ zero‑day แสดงให้เห็นถึงความสามารถของผู้โจมตีที่มีการเตรียมพร้อมและอาจทำการสำรวจระบบเป็นเวลานานก่อนทำการโจมตีจริง
Vulnerability Details
ช่องโหว่ที่ระบุด้วย CVE‑2026‑20245 นั้นจัดอยู่ในระดับความรุนแรง CVSS 7.8 ซึ่งถือว่าเป็นระดับสูง ผู้โจมตีต้องมีการยืนยันตัวตนและเข้าถึงอุปกรณ์ในระดับท้องถิ่นก่อนจึงจะสามารถใช้ช่องโหว่นี้ได้ การใช้สิทธิ์ที่ได้รับทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งใด ๆ บนอุปกรณ์โดยตรง ซึ่งอาจทำให้ได้สิทธิ์ระดับ root หรือผู้ดูแลระบบเต็มรูปแบบ
การที่ช่องโหว่นี้ต้องการการยืนยันตัวตนเป็นข้อจำกัดหนึ่งที่ทำให้ความเสี่ยงต่อผู้ใช้ทั่วไปอาจดูน้อยลง แต่ในสภาพแวดล้อมขององค์กรที่มีการใช้ระบบจัดการบัญชีกลางและการเข้าถึงที่แบ่งปันกันอย่างกว้างขวาง การขโมยข้อมูลรับรองหรือการใช้บัญชีที่มีสิทธิ์สูงอาจเปิดช่องทางให้ผู้โจมตีใช้ช่องโหว่นี้ได้อย่างรวดเร็ว
Discovery & Timeline
Mandiant รายงานว่าการสำรวจและวิเคราะห์พบว่าผู้โจมตีได้ใช้ช่องโหว่นี้เป็นระยะเวลานานอย่างน้อยสองเดือนก่อนที่ข้อมูลเกี่ยวกับ CVE‑2026‑20245 จะถูกเปิดเผยต่อสาธารณะ รายงานไม่ได้ระบุวันเวลาที่แน่ชัดของการเปิดเผย แต่ยืนยันว่าการใช้ช่องโหว่เป็น zero‑day ทำให้ผู้โจมตีมีเวลาเพียงพอในการดำเนินการสำรวจและขยายผลการโจมตีโดยไม่ต้องกังวลเกี่ยวกับการปิดช่องโหว่
การเปิดเผยต่อสาธารณะของช่องโหว่นี้มาจากการประกาศของ Cisco ที่ให้รายละเอียดเบื้องต้นเกี่ยวกับวิธีการแก้ไขและคำแนะนำการบรรเทาผลกระทบ ซึ่งทำให้ผู้ดูแลระบบสามารถดำเนินการอัปเดตแพตช์ได้โดยเร็ว การตอบสนองของ Cisco ต่อเหตุการณ์นี้สอดคล้องกับแนวทางปฏิบัติของบริษัทในการให้ข้อมูลแก่ลูกค้าเพื่อป้องกันการใช้ช่องโหว่ในระยะยาว
Impact Assessment
องค์กรที่ใช้ Cisco Catalyst SD‑WAN อยู่ในหลายภาคส่วน ทั้งการเงิน, การผลิต, และบริการสาธารณะ มีความเสี่ยงต่อการถูกเข้าถึงระดับรากของระบบเครือข่าย ซึ่งอาจนำไปสู่การขโมยข้อมูลสำคัญ, การเปลี่ยนแปลงการตั้งค่าเครือข่าย, หรือแม้กระทั่งการทำให้บริการหยุดทำงาน การที่ผู้โจมตีสามารถรันคำสั่งโดยตรงบนอุปกรณ์ทำให้การตรวจจับการบุกรุกยากขึ้น เนื่องจากพฤติกรรมอาจดูเหมือนการบำรุงรักษาโดยผู้ดูแลระบบ
นอกจากนี้ การที่ช่องโหว่ต้องการการเข้าถึงในระดับท้องถิ่นทำให้การโจมตีอาจเริ่มต้นจากจุดที่ผู้ใช้ภายในองค์กรได้รับสิทธิ์เข้าถึงอุปกรณ์เครือข่าย เช่น ผ่านการเชื่อมต่อ VPN หรือการเข้าถึงคอนโซลโดยตรง หากไม่มีการควบคุมการเข้าถึงอย่างเข้มงวด ความเสียหายที่อาจเกิดขึ้นจะขยายไปทั่วเครือข่ายขององค์กรได้อย่างรวดเร็ว
Mitigation & Recommendations
- ตรวจสอบว่าระบบ Cisco Catalyst SD‑WAN มีการติดตั้งแพตช์ล่าสุดจาก Cisco ตามคำแนะนำในประกาศของบริษัท
- ตรวจสอบและจำกัดสิทธิ์การเข้าถึงของบัญชีผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบ ลดการใช้บัญชีเดียวกันในหลายระบบ
- ใช้ระบบตรวจจับการบุกรุก (IDS/IPS) เพื่อตรวจสอบพฤติกรรมที่ผิดปกติบนอุปกรณ์เครือข่าย รวมถึงการรันคำสั่งที่ไม่ได้รับอนุญาต
- ปรับใช้การตรวจสอบล็อก (log auditing) อย่างสม่ำเสมอเพื่อระบุการเข้าถึงที่อาจเป็นอันตรายและทำการตอบสนองอย่างรวดเร็ว
การดำเนินการตามขั้นตอนเหล่านี้จะช่วยลดความเสี่ยงจากการใช้ช่องโหว่ CVE‑2026‑20245 และเสริมความแข็งแกร่งให้กับโครงสร้างพื้นฐานเครือข่ายขององค์กรในระยะยาว
Summary
ช่องโหว่ CVE‑2026‑20245 ของ Cisco Catalyst SD‑WAN ถูกใช้เป็น zero‑day โดยผู้โจมตีที่ไม่ทราบตัวตนเป็นเวลานานอย่างน้อยสองเดือนก่อนการเปิดเผยต่อสาธารณะ การใช้ช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันคำสั่งด้วยสิทธิ์ระดับรากได้ การอัปเดตแพตช์และการเสริมความปลอดภัยของระบบเป็นแนวทางสำคัญในการป้องกันการโจมตีในอนาคต.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Cisco Catalyst SD-WAN Zero-Day CVE-2026-20245 Exploited to Gain Root Access
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 25 มิถุนายน 2569 เวลา 12:46
