ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัย เกี่ยวกับช่องโหว่การยกระดับสิทธิ์ใน Cisco Catalyst SD-WAN Manager โดย Cisco ยืนยันว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริง (Active Exploitation) ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ดังกล่าวควรเร่งตรวจสอบความเสี่ยงและดำเนินมาตรการป้องกันตามคำแนะนำของผู้ผลิตโดยเร็วที่สุด
1. รายละเอียดช่องโหว่ [1]
ช่องโหว่ CVE-2026-20245 (CVSS 3.1: 7.8 )[2] เป็นช่องโหว่ประเภท Privilege Escalation และ Command Injection ในส่วน Command Line Interface (CLI) ของ Cisco Catalyst SD-WAN Manager เกิดจากการตรวจสอบข้อมูลนำเข้า (Input Validation) ที่ไม่เพียงพอ ทำให้ผู้โจมตีที่มีสิทธิ์ระดับ netadmin สามารถอัปโหลดไฟล์ที่ถูกสร้างขึ้นเป็นพิเศษ (Crafted File) เพื่อสั่งรันคำสั่งบนระบบด้วยสิทธิ์ root ได้สำเร็จ นำไปสู่การเข้าควบคุมระบบบริหารจัดการ SD-WAN ได้อย่างสมบูรณ์ ส่งผลกระทบต่อความลับ (Confidentiality) ความถูกต้อง (Integrity) และความพร้อมใช้งาน (Availability) ของระบบที่ได้รับผลกระทบ
2. รูปแบบการโจมตี
ผู้โจมตีจำเป็นต้องมีสิทธิ์ระดับ netadmin บนระบบ Cisco Catalyst SD-WAN Manager ก่อน จึงจะสามารถใช้ช่องโหว่ CVE-2026-20245 เพื่อยกระดับสิทธิ์เป็น root และรันคำสั่งบนระบบได้ตามต้องการ โดย Cisco ระบุว่าผู้โจมตีอาจได้รับสิทธิ์ดังกล่าวจากการใช้บัญชีผู้ใช้ที่ถูกต้อง หรืออาศัยการโจมตีผ่านช่องโหว่อื่นที่เคยถูกเปิดเผยก่อนหน้านี้ เช่น CVE-2026-20127 (CVSS 3.1: 10.0) [3] และ CVE-2026-20182 (CVSS 3.1: 10.0) [4] ซึ่งเป็นช่องโหว่ประเภท Authentication Bypass ที่เปิดโอกาสให้ผู้โจมตีจากภายนอกเข้าถึงระบบในระดับผู้ดูแล จากนั้นจึงใช้ช่องโหว่ CVE-2026-20245 เป็นขั้นตอนต่อเนื่องในการยกระดับสิทธิ์และเข้าควบคุมระบบ ทั้งนี้ Cisco ยืนยันว่าพบการใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีจริงแล้ว และในบางกรณีส่งผลให้มีการเปลี่ยนแปลงค่าคอนฟิกบนอุปกรณ์ SD-WAN Edge ภายในเครือข่ายเป้าหมาย
3. ผลิตภัณฑ์ที่ได้รับผลกระทบ
ช่องโหว่นี้ส่งผลกระทบต่อ Cisco Catalyst SD-WAN Manager ทุกรูปแบบการติดตั้ง ได้แก่
– On-Prem Deployment
– Cisco SD-WAN Cloud-Pro
– Cisco SD-WAN Cloud (Cisco Managed)
– Cisco SD-WAN for Government (FedRAMP)
4. แนวทางการแก้ไข
ปัจจุบัน Cisco ยังไม่มีแพตช์ (Security Update) สำหรับแก้ไขช่องโหว่ CVE-2026-20245 และ ไม่มี Workaround ที่สามารถป้องกันช่องโหว่นี้ได้โดยตรง โดย Cisco ได้แนะนำให้ผู้ใช้งานดำเนินการอัปเกรดระบบเป็นเวอร์ชันที่ได้รับการแก้ไขช่องโหว่ตามที่ระบุไว้ใน Catalyst SD-WAN Security Advisory [5] ซึ่งเผยแพร่เมื่อวันที่ 14 พฤษภาคม 2569 โดยเฉพาะการแก้ไขช่องโหว่ที่อาจถูกใช้ร่วมกันในการโจมตี (Chained Exploitation) เช่น ช่องโหว่ Authentication Bypass ที่เกี่ยวข้อง พร้อมทั้งตรวจสอบความถูกต้องของการกำหนดค่า (Configuration) บนอุปกรณ์ SD-WAN Edge ทุกอุปกรณ์
5. คำแนะนำด้านความปลอดภัยเพิ่มเติม
5.1 ตรวจสอบและจำกัดบัญชีผู้ใช้งานที่มีสิทธิ์ระดับ netadmin ให้เหลือเฉพาะผู้ที่มีความจำเป็น
5.2 เปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบ และเปิดใช้งาน Multi-Factor Authentication (MFA) หากรองรับ
5.3 ตรวจสอบ Log การอัปโหลดไฟล์ การเข้าถึง CLI และกิจกรรมที่เกี่ยวข้องกับบัญชีผู้ดูแลระบบอย่างใกล้ชิด
5.4 เฝ้าระวังการเปลี่ยนแปลง Configuration ของ SD-WAN Controller และ Edge Devices ที่ไม่ได้รับอนุญาต
5.5 ตรวจสอบว่าระบบได้รับการแก้ไขช่องโหว่ Authentication Bypass ตามคำแนะนำของ Catalyst SD-WAN Security Advisory แล้ว
5.6 จำกัดการเข้าถึงระบบบริหารจัดการ SD-WAN จากเครือข่ายภายนอก และอนุญาตเฉพาะ IP Address ที่จำเป็นเท่านั้น
5.7 ติดตามประกาศด้านความมั่นคงปลอดภัยจาก Cisco อย่างต่อเนื่อง และเตรียมดำเนินการอัปเดตซอฟต์แวร์ทันทีเมื่อมีเวอร์ชันแก้ไขเผยแพร่
แหล่งอ้างอิง