พบ Zero-Day ใน Cisco SD-WAN
🚨 ช่องโหว่ร้ายแรง Cisco SD-WAN ถูกโจมตีแบบ Zero-Day ตั้งแต่ปี 2023
บริษัทเครือข่ายระดับโลกอย่าง Cisco ออกประกาศเตือนถึงช่องโหว่ร้ายแรงระดับสูงสุด (CVSS 10.0) ในระบบ Cisco Catalyst SD-WAN ที่ถูกนำไปใช้โจมตีแบบ Zero-Day มาอย่างต่อเนื่องตั้งแต่ปี 2023
ช่องโหว่นี้ถูกติดตามในรหัส CVE-2026-20127 เป็นปัญหา Authentication Bypass ที่เปิดทางให้ผู้โจมตีจากภายนอกสามารถเข้าควบคุม Controller และเพิ่ม Rogue Peer เข้าไปในเครือข่ายองค์กรได้ 🔓
🔍 ช่องโหว่นี้อันตรายอย่างไร?
CVE-2026-20127 ส่งผลกระทบต่อ
-
Cisco Catalyst SD-WAN Controller (เดิม vSmart)
-
Cisco Catalyst SD-WAN Manager (เดิม vManage)
-
ทั้งแบบ On-Premise และ SD-WAN Cloud
สาเหตุหลักมาจากกลไก Peering Authentication ทำงานผิดพลาด ทำให้แฮกเกอร์สามารถส่งคำขอที่ถูกสร้างขึ้นเป็นพิเศษ (Crafted Requests) เพื่อเข้าสู่ระบบในสิทธิ์ระดับสูงได้
หากโจมตีสำเร็จ ผู้บุกรุกสามารถ:
✅ เข้าสู่ระบบในสิทธิ์ผู้ใช้ภายในระดับสูง
✅ เข้าถึง NETCONF
✅ แก้ไขค่าคอนฟิกเครือข่าย SD-WAN
✅ เพิ่มอุปกรณ์ Rogue Peer ปลอมเข้าเครือข่าย
เมื่อ Rogue Peer ถูกเพิ่มเข้าไป อุปกรณ์นั้นจะดูเหมือนถูกต้องตามระบบ สามารถสร้างการเชื่อมต่อแบบเข้ารหัส และโฆษณาเส้นทางเครือข่ายที่ผู้โจมตีควบคุมได้ ซึ่งอาจนำไปสู่การยึดระบบทั้งเครือข่าย 🛑
🛠 มีการโจมตีจริง และยกระดับสิทธิ์เป็น Root
ทีมวิจัยจาก Cisco Talos ระบุว่าพบการโจมตีจริงภายใต้ชื่อปฏิบัติการ “UAT-8616” และเชื่อว่าเป็นฝีมือของกลุ่มภัยคุกคามระดับสูง
จากข้อมูลของ CISA และ National Cyber Security Centre ระบุว่า ผู้โจมตีอาจใช้วิธี
-
Downgrade ซอฟต์แวร์เป็นเวอร์ชันเก่า
-
ใช้ประโยชน์จากช่องโหว่ CVE-2022-20775 เพื่อยกระดับสิทธิ์เป็น Root
-
อัปเกรดกลับเวอร์ชันเดิมเพื่อหลบเลี่ยงการตรวจจับ
วิธีนี้ทำให้สามารถเข้าถึงสิทธิ์ Root ได้แบบแนบเนียน และควบคุมระบบได้อย่างถาวร 🔥
📢 คำสั่งเร่งด่วนจากภาครัฐสหรัฐฯ
เมื่อวันที่ 25 กุมภาพันธ์ 2026 หน่วยงาน CISA ออก Emergency Directive 26-03 ให้หน่วยงานรัฐบาลกลาง
-
ตรวจสอบระบบ Cisco SD-WAN ทั้งหมด
-
เก็บหลักฐาน Forensic
-
ส่ง Log ไปเก็บภายนอก
-
อัปเดตแพตช์ภายใน 27 กุมภาพันธ์ 2026
เนื่องจากประเมินว่าเป็น “ภัยคุกคามเร่งด่วนต่อเครือข่ายภาครัฐ”
🔎 วิธีตรวจสอบการถูกเจาะระบบ (Indicators of Compromise)
ผู้ดูแลระบบควรตรวจสอบ
-
ไฟล์
/var/log/auth.log -
การ Login ด้วยบัญชี vmanage-admin จาก IP แปลกปลอม
-
การเพิ่ม/ลบบัญชีผู้ใช้ผิดปกติ
-
การเปิดใช้งาน PermitRootLogin
-
การ Downgrade ซอฟต์แวร์หรือ Reboot ผิดปกติ
-
Log หายหรือมีขนาดเล็กผิดปกติ
หากพบ IP ที่ไม่รู้จักเข้าสู่ระบบสำเร็จ ควรถือว่าระบบถูกเจาะแล้ว และติดต่อ Cisco TAC ทันที
🛡 แนวทางป้องกันที่แนะนำ
ทั้ง CISA และ National Cyber Security Centre แนะนำว่า
✔ ห้ามเปิด SD-WAN Management Interface สู่ Internet
✔ วาง Controller หลัง Firewall
✔ แยก Management Network ออกจาก Production
✔ ส่ง Log ไปเก็บภายนอก
✔ อัปเดตซอฟต์แวร์เวอร์ชันที่แก้ไขแล้วทันที
Cisco ยืนยันว่า ไม่มีวิธีแก้ชั่วคราว (Workaround) ที่ป้องกันได้สมบูรณ์ นอกจากอัปเดตแพตช์เท่านั้น
🎯 ทำไมองค์กรควรมี IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์
ระบบ SD-WAN มักถูกใช้ในองค์กรขนาดกลางถึงใหญ่ เชื่อมต่อสาขา Data Center และ Cloud หากถูกเจาะ จะกระทบทั้งระบบเครือข่าย
การมีทีม IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ ช่วยให้
✅ ตรวจสอบ Patch และ Firmware อย่างสม่ำเสมอ
✅ ทำ Vulnerability Assessment
✅ จัดทำ Log Monitoring และ Threat Hunting
✅ วาง Network Segmentation ที่ปลอดภัย
✅ รับมือ Incident Response ได้รวดเร็ว
โดยเฉพาะองค์กรที่ไม่มีทีม Security เฉพาะทาง การใช้ IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ ถือเป็นการลงทุนเชิงป้องกันที่คุ้มค่าในระยะยาว 💼
📌 สรุป
ช่องโหว่ CVE-2026-20127 ใน Cisco Catalyst SD-WAN เป็นภัยระดับวิกฤตที่ถูกใช้โจมตีจริงมานานกว่า 2 ปี
หากองค์กรของคุณใช้ระบบ SD-WAN ควร
🔐 อัปเดตแพตช์ทันที
🔐 ตรวจสอบ Log และเหตุการณ์ Peering ผิดปกติ
🔐 จำกัดการเข้าถึงจากอินเทอร์เน็ต
🔐 พิจารณาใช้ IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ เพื่อดูแลเชิงรุก
ภัยไซเบอร์ยุคใหม่ไม่ใช่แค่ Malware ธรรมดา แต่คือการยึดโครงสร้างเครือข่ายทั้งระบบ การป้องกันล่วงหน้าจึงสำคัญที่สุด 🚀
ที่มา – https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/