ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานว่า Cisco ได้ออกแพตช์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ใน Cisco Catalyst SD-WAN Manager หรือชื่อเดิม Cisco SD-WAN vManage ซึ่งถูกติดตามในรหัส CVE-2026-20262 โดยช่องโหว่นี้ถูกใช้ในการโจมตีจริงแบบ Zero-day และอาจทำให้ผู้โจมตีที่มีบัญชีผู้ใช้งานในระบบสามารถสร้างไฟล์หรือเขียนทับไฟล์ใด ๆ บนระบบที่ได้รับผลกระทบได้ หากการโจมตีสำเร็จ ไฟล์ดังกล่าวอาจถูกนำไปใช้เพื่อยกระดับสิทธิ์เป็น root ได้ ผู้ดูแลระบบที่ใช้งาน Cisco Catalyst SD-WAN Manager ควรตรวจสอบเวอร์ชันและดำเนินการอัปเดตแพตช์โดยเร็ว [1]
1. รายละเอียดช่องโหว่ [2]
– CVE-2026-20262 (CVSS v3.1: 6.5) เป็นช่องโหว่ประเภท Arbitrary File Write / Path Traversal ใน Web UI ของ Cisco Catalyst SD-WAN Manager หรือเดิมคือ SD-WAN vManage ช่องโหว่นี้เกิดจากระบบตรวจสอบข้อมูลที่ผู้ใช้ส่งเข้ามาระหว่างกระบวนการอัปโหลดไฟล์ไม่เพียงพอ ทำให้ผู้โจมตีที่ยืนยันตัวตนแล้วและมีสิทธิ์ที่เกี่ยวข้องสามารถส่ง crafted HTTP request ไปยัง API endpoint ของระบบที่ได้รับผลกระทบ หากโจมตีสำเร็จ ผู้โจมตีอาจสร้างไฟล์ใหม่หรือเขียนทับไฟล์ใด ๆ บน underlying operating system ของระบบได้ และไฟล์ดังกล่าวอาจถูกนำไปใช้ต่อเพื่อยกระดับสิทธิ์เป็น root
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ [3]
2.1 Cisco Catalyst SD-WAN Release 20.9.9.1 และก่อนหน้า
2.2 Cisco Catalyst SD-WAN Release 20.12.7.1 และก่อนหน้า
2.3 Cisco Catalyst SD-WAN Release 20.15.4.4 และก่อนหน้า
2.4 Cisco Catalyst SD-WAN Release 20.15.5.2 และก่อนหน้า
2.5 Cisco Catalyst SD-WAN Release 20.18.3
2.6 Cisco Catalyst SD-WAN Release 26.1.1.1 และก่อนหน้า
3. แนวทางการแก้ไข
3.1 Cisco Catalyst SD-WAN Release 20.9.9.1 และก่อนหน้า อัปเดตเป็น version 20.9.9.2
3.2 Cisco Catalyst SD-WAN Release 20.12.7.1 และก่อนหน้า อัปเดตเป็น version 20.12.7.2
3.3 Cisco Catalyst SD-WAN Release 20.15.4.4 และก่อนหน้า อัปเดตเป็น version 20.15.4.5
3.4 Cisco Catalyst SD-WAN Release 20.15.5.2 และก่อนหน้า อัปเดตเป็น version 20.15.5.3
3.5 Cisco Catalyst SD-WAN Release 20.18.3 อัปเดตเป็น version 20.18.3.1
3.6 Cisco Catalyst SD-WAN Release 26.1.1.1 และก่อนหน้า อัปเดตเป็น version 26.1.1.2
3.7 ผู้ดูแลระบบควรตรวจสอบ Cisco Security Advisory โดยตรงอีกครั้งก่อนดำเนินการ เนื่องจาก Cisco อาจปรับปรุงข้อมูล fixed release เพิ่มเติม
4. หากยังไม่สามารถอัปเดตได้ทันที ควรดำเนินการดังนี้
4.1 Cisco ระบุว่าไม่มี workaround สำหรับช่องโหว่นี้ ดังนั้นมาตรการชั่วคราวควรถูกใช้เพื่อลดความเสี่ยงเท่านั้น และไม่ควรถูกมองว่าเป็นการแก้ไขถาวร
4.2 จำกัดการเข้าถึง Cisco Catalyst SD-WAN Manager ให้อยู่เฉพาะเครือข่ายภายใน, VPN, jump host หรือ IP address ที่ได้รับอนุญาตเท่านั้น
4.3 ปิดหรือจำกัด management interface ที่เปิดสู่สาธารณะ โดยเฉพาะ Web UI, API endpoint และพอร์ตบริหารจัดการที่ไม่จำเป็น
4.4 ตรวจสอบ firewall, ACL, reverse proxy, WAF และ IPS/IDS ว่ามีนโยบายควบคุมการเข้าถึง SD-WAN Manager อย่างเหมาะสม
4.5 ตรวจสอบ log ใน vmanage-server, vmanage-appserver และ serviceproxy-access เพื่อค้นหาความพยายามอัปโหลดไฟล์ผิดปกติ เช่น ไฟล์ .war หรือ index.jsp
4.6 สำรองข้อมูล configuration และข้อมูลสำคัญก่อนดำเนินการอัปเดต รวมถึงเตรียมแผน rollback สำหรับระบบที่มีผลกระทบต่อการให้บริการ
4.7 หลังอัปเดตแพตช์แล้ว ควรตรวจสอบซ้ำว่าระบบไม่มีไฟล์ไม่พึงประสงค์ บัญชีผิดปกติ หรือ configuration change ที่ไม่ได้รับอนุญาตตกค้างอยู่ในระบบ
แหล่งอ้างอิง