ភាពងាយរងគ្រោះ SD-WAN CVE-2026-20127
ចំណុចខ្សោយកម្រិតធ្ងន់ធ្ងរបំផុតមួយ ដែលត្រូវបានតាមដានថាជា CVE-2026-20127 (ពិន្ទុ CVSS: 10.0) ត្រូវបានរកឃើញនៅក្នុង Cisco Systems Cisco Catalyst SD-WAN Controller និង Cisco Catalyst SD-WAN Manager។ ចំណុចខ្សោយនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរំលងការគ្រប់គ្រងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងទទួលបានការចូលប្រើជាអ្នកគ្រប់គ្រងដោយផ្ញើសំណើដែលបង្កើតឡើងជាពិសេសទៅកាន់ប្រព័ន្ធដែលងាយរងគ្រោះ។
បញ្ហានេះកើតចេញពីការបរាជ័យនៅក្នុងយន្តការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ peering ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលជាអ្នកប្រើប្រាស់ផ្ទៃក្នុងដែលមានសិទ្ធិខ្ពស់មិនមែនជា root។ ជាមួយនឹងកម្រិតនៃការចូលប្រើនេះ អ្នកវាយប្រហារអាចធ្វើអន្តរកម្មជាមួយសេវាកម្ម NETCONF និងរៀបចំការកំណត់រចនាសម្ព័ន្ធ SD-WAN ដែលអាចធ្វើឱ្យខូចដល់ភាពសុចរិត និងភាពអាចរកបាននៃបណ្តាញសហគ្រាស។
តារាងមាតិកា
ម៉ូដែលដាក់ពង្រាយដែលរងផលប៉ះពាល់
ភាពងាយរងគ្រោះនេះប៉ះពាល់ដល់គំរូដាក់ពង្រាយច្រើន ដោយមិនគិតពីការកំណត់រចនាសម្ព័ន្ធ៖
- ការដាក់ពង្រាយនៅនឹងកន្លែង
- ពពក SD-WAN ដែលបង្ហោះដោយ Cisco
- ពពក SD-WAN ដែលបង្ហោះដោយ Cisco – គ្រប់គ្រងដោយ Cisco
- ពពក SD-WAN ដែលបង្ហោះដោយ Cisco – បរិស្ថាន FedRAMP
ប្រព័ន្ធដែលប៉ះពាល់នឹងអ៊ីនធឺណិតសាធារណៈ ជាពិសេសប្រព័ន្ធដែលមានច្រកបើកចំហ ប្រឈមនឹងហានិភ័យខ្ពស់នៃការសម្របសម្រួល។
សកម្មភាពកេងប្រវ័ញ្ចសកម្ម និងសកម្មភាពគំរាមកំហែងរបស់ជនល្មើស
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានបញ្ជាក់ពីការកេងប្រវ័ញ្ចសកម្មដែលមានតាំងពីឆ្នាំ 2023។ យុទ្ធនាការនេះកំពុងត្រូវបានតាមដានក្រោមការកំណត់ UAT-8616 ដែលត្រូវបានវាយតម្លៃថាជាចង្កោមគំរាមកំហែងកម្រិតខ្ពស់។ ភស្តុតាងបង្ហាញថាក្រុមនេះបានទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះ zero-day នេះដើម្បីជ្រៀតចូលបរិស្ថាន Cisco SD-WAN និងទទួលបានការចូលប្រើកម្រិតខ្ពស់ជាប់លាប់។
វិធីសាស្ត្រវាយប្រហាររួមមានការបង្កើតឧបករណ៍ភ្ជាប់ដែលចូលរួមជាមួយប្រព័ន្ធគ្រប់គ្រង ឬប្រព័ន្ធត្រួតពិនិត្យ SD-WAN។ ឧបករណ៍ព្យាបាទនេះលេចឡើងជាសមាសធាតុ SD-WAN ស្របច្បាប់ ប៉ុន្តែបណ្តោះអាសន្ន ដែលអាចឱ្យមានអន្តរកម្មដែលអាចទុកចិត្តបាននៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធគ្រប់គ្រង។
បន្ទាប់ពីការសម្របសម្រួលដំបូងនៃកម្មវិធីដែលប្រឈមមុខនឹងអ៊ីនធឺណិត អ្នកវាយប្រហារបានកេងប្រវ័ញ្ចយន្តការធ្វើបច្ចុប្បន្នភាពដែលភ្ជាប់មកជាមួយដើម្បីទម្លាក់កំណែកម្មវិធី។ ការទម្លាក់កំណែនេះជួយសម្រួលដល់ការកេងប្រវ័ញ្ច CVE-2022-20775 (ពិន្ទុ CVSS: 7.8) ដែលជាចំណុចខ្សោយនៃការបង្កើនសិទ្ធិធ្ងន់ធ្ងរនៅក្នុង Cisco SD-WAN Software CLI។ នៅពេលដែលទទួលបានសិទ្ធិជា root អ្នកវាយប្រហារនឹងស្ដារប្រព័ន្ធទៅកំណែកម្មវិធីដើមរបស់វាដើម្បីកាត់បន្ថយការរកឃើញ។
សកម្មភាពក្រោយការសម្របសម្រួលដែលសន្មតថាជារបស់ UAT-8616 រួមមាន៖
- ការបង្កើតគណនីអ្នកប្រើប្រាស់ក្នុងស្រុកដែលត្រូវបានរចនាឡើងដើម្បីឱ្យស្រដៀងនឹងគណនីស្របច្បាប់
សកម្មភាពនេះឆ្លុះបញ្ចាំងពីនិន្នាការកាន់តែទូលំទូលាយនៃតួអង្គដែលមានភាពស្មុគស្មាញដែលកំណត់គោលដៅលើហេដ្ឋារចនាសម្ព័ន្ធគែមបណ្តាញ ដើម្បីបង្កើតជំហររឹងមាំនៅក្នុងបរិយាកាសដែលមានតម្លៃខ្ពស់ រួមទាំងវិស័យហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗផងដែរ។
ការណែនាំអំពីការបិទភ្ជាប់ និងការដោះស្រាយ
Cisco បានចេញផ្សាយការជួសជុលនៅទូទាំងកម្មវិធីជាច្រើន។ អង្គការដែលដំណើរការកំណែងាយរងគ្រោះត្រូវតែធ្វើឱ្យប្រសើរឡើងទៅកំណែដែលបានជួសជុល រួមមាន៖
- កំណែមុន 20.9.1៖ ផ្លាស់ទីទៅការចេញផ្សាយថេរ
- 20.9: ធ្វើឱ្យប្រសើរឡើងទៅ 20.9.8.2
- 20.11.1: ធ្វើឱ្យប្រសើរឡើងទៅ 20.12.6.1
- 20.12.5: ធ្វើឱ្យប្រសើរឡើងទៅ 20.12.5.3
- 20.12.6: ធ្វើឱ្យប្រសើរឡើងទៅ 20.12.6.1
- 20.13.1, 20.14.1, 20.15: ធ្វើឱ្យប្រសើរឡើងទៅ 20.15.4.2
- 20.16.1 និង 20.18៖ ធ្វើឱ្យប្រសើរឡើងទៅ 20.18.2.1
បន្ថែមពីលើការបិទភ្ជាប់ អង្គការនានាគួរតែធ្វើការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវផ្នែកច្បាប់។ សកម្មភាពដែលបានណែនាំរួមមានការពិនិត្យមើលឯកសារ /var/log/auth.log សម្រាប់ធាតុដែលយោងទៅលើ 'Accepted publickey for vmanage-admin' ដែលមានប្រភពមកពីអាសយដ្ឋាន IP ដែលមិនស្គាល់។ IP ដែលគួរឱ្យសង្ស័យណាមួយគួរតែត្រូវបានយោងទៅជាមួយ System IP ដែលបានកំណត់រចនាសម្ព័ន្ធដែលបានរាយបញ្ជីនៅក្នុង Cisco Catalyst SD-WAN Manager Web UI នៅក្រោម Devices > System IP។
ដើម្បីរកឃើញព្រឹត្តិការណ៍ downgrade ឬ reboot ដែលមិននឹកស្មានដល់ដែលអាចកើតមាន ឯកសារកំណត់ហេតុខាងក្រោមគួរតែត្រូវបានវិភាគ៖
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_syncdb.log
អាណត្តិសហព័ន្ធ និងការឆ្លើយតបតាមបទប្បញ្ញត្តិ
ដើម្បីឆ្លើយតបទៅនឹងការកេងប្រវ័ញ្ចដែលបានបញ្ជាក់ ទីភ្នាក់ងារសន្តិសុខហេដ្ឋារចនាសម្ព័ន្ធ និងសន្តិសុខតាមអ៊ីនធឺណិត (CISA) បានបន្ថែមទាំង CVE-2026-20127 និង CVE-2022-20775 ទៅក្នុងកាតាឡុកភាពងាយរងគ្រោះដែលគេស្គាល់ (Known Exploited Vulnerabilities - KEV) របស់ខ្លួន។ ទីភ្នាក់ងារសាខាប្រតិបត្តិស៊ីវិលសហព័ន្ធត្រូវបានតម្រូវឱ្យជួសជុលភាពងាយរងគ្រោះទាំងនេះក្នុងរយៈពេល 24 ម៉ោង។
CISA ក៏បានចេញសេចក្តីណែនាំបន្ទាន់លេខ 26-03 ដែលមានចំណងជើងថា 'កាត់បន្ថយភាពងាយរងគ្រោះនៅក្នុងប្រព័ន្ធ Cisco SD-WAN'។ សេចក្តីណែនាំនេះតម្រូវឱ្យភ្នាក់ងារសហព័ន្ធធ្វើបញ្ជីសារពើភណ្ឌទ្រព្យសកម្ម SD-WAN ទាំងអស់ដែលមានវិសាលភាព អនុវត្តការអាប់ដេតសុវត្ថិភាព និងវាយតម្លៃសូចនាករនៃការសម្របសម្រួល។
កាលកំណត់អនុលោមភាពតម្រូវឱ្យភ្នាក់ងារនានា៖
- ដាក់ស្នើកាតាឡុកនៃប្រព័ន្ធ SD-WAN ទាំងអស់ក្នុងវិសាលភាពត្រឹមថ្ងៃទី 26 ខែកុម្ភៈ ឆ្នាំ 2026 វេលាម៉ោង 11:59 យប់ ET។
- សូមផ្តល់បញ្ជីសារពើភណ្ឌលម្អិតនៃផលិតផលដែលរងផលប៉ះពាល់ និងសកម្មភាពជួសជុលត្រឹមថ្ងៃទី 5 ខែមីនា ឆ្នាំ 2026 វេលាម៉ោង 11:59 យប់ ET។
- រាយការណ៍ពីវិធានការពង្រឹងបរិស្ថានទាំងអស់ត្រឹមថ្ងៃទី 26 ខែមីនា ឆ្នាំ 2026 វេលាម៉ោង 11:59 យប់ ET។
ការវិវឌ្ឍទាំងនេះគូសបញ្ជាក់ពីតម្រូវការបន្ទាន់សម្រាប់ការគ្រប់គ្រងបំណះសកម្ម ការត្រួតពិនិត្យជាបន្តបន្ទាប់ និងការពង្រឹងការការពារហេដ្ឋារចនាសម្ព័ន្ធគែមបណ្តាញ ដើម្បីកាត់បន្ថយការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ដែលផ្តោតលើបរិស្ថាន SD-WAN។
