ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบช่องโหว่ในผลิตภัณฑ์ Cisco Catalyst SD-WAN Controller และ Cisco Catalyst SD-WAN Manager ผู้โจมตีสามารถเข้าควบคุมระบบเครือข่าย SD-WAN และแก้ไขการตั้งค่าระบบเครือข่ายได้ [1]
1. รายละเอียดช่องโหว่ [2]
CVE-2026-20182 (CVSS v3.1: 10.0) เป็นช่องโหว่ประเภท Authentication Bypass ซึ่งเกิดจากการยืนยันตัวตนระหว่าง Peering Authentication ทำงานไม่ถูกต้อง ส่งผลให้ผู้โจมตีที่ไม่ได้รับอนุญาตยกระดับสิทธิ์เข้าสู่ระบบในระดับสูงได้
ทั้งนี้ หน่วยงานสามารถตรวจสอบข้อมูลเพิ่มเติมได้ที่ https://dg.th/bpzm4tqi1k
2. ผลกระทบหากโจมตีสำเร็จ
หากผู้โจมตีสามารถเข้าระบบในสิทธิ์ระดับสูงอาจดำเนินการดังนี้
• เข้าถึงบริการ NETCONF และแก้ไขค่าการกำหนดเครือข่ายของ SD-WAN Fabric ได้
• เปลี่ยนแปลงค่าการกำหนดเครือข่ายทั้งหมดขององค์กร
• เพิ่มอุปกรณ์ Rogue Peer เข้าสู่ระบบ SD-WAN
• ดักจับหรือเปลี่ยนเส้นทางข้อมูลภายในองค์กร
• เคลื่อนย้ายระบบภายในเครือข่าย (Lateral Movement)
• ใช้เป็นจุดเริ่มต้นในการโจมตีระบบอื่นภายในเครือข่าย
3. ผลิตภัณฑ์ที่ได้รับผลกระทบ
• Cisco Catalyst SD-WAN Controller
• Cisco Catalyst SD-WAN Manager
4. แนวทางการแก้ไข
4.1 อัปเดต Cisco Catalyst SD-WAN ให้เป็นเวอร์ชันล่าสุด
4.2 จำกัดการเข้าถึง Management Interface และ Control Plane เฉพาะ IP Address ที่เชื่อถือได้
4.3 หลีกเลี่ยงการเปิดระบบ SD-WAN Controller สู่เครือข่ายอินเทอร์เน็ตโดยตรง
4.4 ตรวจสอบ Log การเข้าใช้งานที่ผิดปกติ
4.5 ตรวจสอบการเชื่อมต่อจาก IP Address ที่ไม่รู้จัก
4.6 ตรวจสอบการสร้างบัญชีผู้ใช้ใหม่หรือ SSH Key ที่ไม่ได้รับอนุญาต
5. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
5.1 จำกัดการเข้าถึง SD-WAN Management Interface ผ่าน Firewall หรือ ACL
5.2 ปิดการเข้าถึงจากภายนอกองค์กร (Internet Exposure)
5.3 อนุญาตการใช้งานเฉพาะ VPN ภายในองค์กร
5.4 ตรวจสอบบัญชีผู้ใช้และ SSH Authorized Keys อย่างสม่ำเสมอ
แหล่งอ้างอิง
หมายเหตุ – อ้างอิง CVSS จาก https://www.cve.org/