ช่องโหว่ SD-WAN CVE-2026-20127

พบช่องโหว่ที่มีความรุนแรงสูงสุด ซึ่งมีหมายเลขติดตามคือ CVE-2026-20127 (คะแนน CVSS: 10.0) ใน Cisco Systems Cisco Catalyst SD-WAN Controller และ Cisco Catalyst SD-WAN Manager ช่องโหว่นี้ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับอนุญาตสามารถข้ามการควบคุมการตรวจสอบสิทธิ์และเข้าถึงสิทธิ์การดูแลระบบได้โดยการส่งคำขอที่สร้างขึ้นเป็นพิเศษไปยังระบบที่มีช่องโหว่

ปัญหาเกิดจากความล้มเหลวในกลไกการตรวจสอบสิทธิ์การเชื่อมต่อ ทำให้ผู้ไม่หวังดีสามารถล็อกอินเข้ามาในฐานะผู้ใช้ภายในที่มีสิทธิ์สูงแต่ไม่ใช่ผู้ใช้ root ได้ ด้วยระดับการเข้าถึงนี้ ผู้โจมตีสามารถโต้ตอบกับบริการ NETCONF และจัดการการกำหนดค่าโครงสร้าง SD-WAN ซึ่งอาจส่งผลกระทบต่อความสมบูรณ์และความพร้อมใช้งานของเครือข่ายองค์กรได้

รูปแบบการใช้งานที่ได้รับผลกระทบ

ช่องโหว่นี้ส่งผลกระทบต่อโมเดลการใช้งานหลายรูปแบบ โดยไม่คำนึงถึงการกำหนดค่า:

• การติดตั้งใช้งานภายในองค์กร
• Cisco Hosted SD-WAN Cloud
• Cisco Hosted SD-WAN Cloud – Cisco Managed
• Cisco Hosted SD-WAN Cloud – สภาพแวดล้อมตามมาตรฐาน FedRAMP

ระบบที่เชื่อมต่อกับอินเทอร์เน็ตสาธารณะ โดยเฉพาะระบบที่มีพอร์ตเปิดอยู่ มีความเสี่ยงสูงที่จะถูกโจมตี

การโจมตีอย่างแข็งขันและกิจกรรมของผู้คุกคาม

นักวิจัยด้านความปลอดภัยได้ยืนยันการโจมตีที่เกิดขึ้นอย่างต่อเนื่องมาตั้งแต่ปี 2023 แคมเปญนี้ถูกติดตามภายใต้ชื่อ UAT-8616 ซึ่งจัดอยู่ในกลุ่มภัยคุกคามขั้นสูง หลักฐานบ่งชี้ว่ากลุ่มดังกล่าวใช้ช่องโหว่ Zero-day นี้เพื่อแทรกซึมเข้าไปในสภาพแวดล้อม Cisco SD-WAN และเข้าถึงสิทธิ์ระดับสูงได้อย่างต่อเนื่อง

วิธีการโจมตีประกอบด้วยการสร้างอุปกรณ์เสมือนที่ไม่ได้รับอนุญาตซึ่งเข้าร่วมในระบบจัดการหรือควบคุม SD-WAN อุปกรณ์ที่เป็นอันตรายนี้จะปรากฏเป็นส่วนประกอบ SD-WAN ที่ถูกต้องตามกฎหมายแต่ชั่วคราว ทำให้เกิดการโต้ตอบที่เชื่อถือได้ภายในโครงสร้างพื้นฐานการจัดการ

หลังจากที่แอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ตถูกเจาะระบบในเบื้องต้น ผู้โจมตีได้ใช้กลไกการอัปเดตภายในเพื่อลดระดับเวอร์ชันซอฟต์แวร์ การลดระดับเวอร์ชันนี้ทำให้สามารถใช้ประโยชน์จากช่องโหว่ CVE-2022-20775 (คะแนน CVSS: 7.8) ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ที่มีความรุนแรงสูงใน Cisco SD-WAN Software CLI เมื่อได้รับสิทธิ์ระดับรูทแล้ว ผู้โจมตีจะกู้คืนระบบกลับไปเป็นเวอร์ชันซอฟต์แวร์ดั้งเดิมเพื่อลดการตรวจจับให้น้อยที่สุด

การกระทำหลังการถูกโจมตีที่เกี่ยวข้องกับช่องโหว่ UAT-8616 ได้แก่:

• การสร้างบัญชีผู้ใช้ภายในที่ออกแบบมาให้มีลักษณะคล้ายกับบัญชีผู้ใช้จริง

กิจกรรมนี้สะท้อนให้เห็นถึงแนวโน้มที่กว้างขึ้นของกลุ่มผู้เล่นที่มีความซับซ้อนซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานบริเวณขอบเครือข่าย เพื่อสร้างฐานที่มั่นที่ยั่งยืนในสภาพแวดล้อมที่มีมูลค่าสูง รวมถึงภาคส่วนโครงสร้างพื้นฐานที่สำคัญ

คำแนะนำเกี่ยวกับการซ่อมแซมและแก้ไขปัญหา

Cisco ได้ออกแพทช์แก้ไขสำหรับซอฟต์แวร์หลายเวอร์ชันแล้ว องค์กรที่ใช้งานเวอร์ชันที่มีช่องโหว่จะต้องอัปเกรดเป็นเวอร์ชันที่แก้ไขแล้ว ซึ่งรวมถึง:

• เวอร์ชันก่อน 20.9.1: ย้ายไปใช้เวอร์ชันที่แก้ไขแล้ว
• 20.9: อัปเกรดเป็นเวอร์ชัน 20.9.8.2
• 20.11.1: อัปเกรดเป็น 20.12.6.1
• 20.12.5: อัปเกรดเป็นเวอร์ชัน 20.12.5.3
• 20.12.6: อัปเกรดเป็นเวอร์ชัน 20.12.6.1
• 20.13.1, 20.14.1, 20.15: อัปเกรดเป็น 20.15.4.2
• เวอร์ชัน 20.16.1 และ 20.18: อัปเกรดเป็นเวอร์ชัน 20.18.2.1

นอกเหนือจากการติดตั้งแพทช์แล้ว องค์กรควรดำเนินการตรวจสอบความถูกต้องเชิงนิติวิทยาศาสตร์ด้วย การดำเนินการที่แนะนำ ได้แก่ การตรวจสอบไฟล์ /var/log/auth.log เพื่อหาข้อความที่อ้างอิงถึง 'Accepted publickey for vmanage-admin' ที่มาจากที่อยู่ IP ที่ไม่รู้จัก ควรตรวจสอบ IP ที่น่าสงสัยใดๆ กับ IP ของระบบที่กำหนดค่าไว้ในเว็บ UI ของ Cisco Catalyst SD-WAN Manager ภายใต้ Devices > System IP

เพื่อตรวจจับความเป็นไปได้ของการดาวน์เกรดหรือเหตุการณ์รีบูตที่ไม่คาดคิด ควรวิเคราะห์ไฟล์บันทึกต่อไปนี้:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

คำสั่งของรัฐบาลกลางและการตอบสนองด้านกฎระเบียบ

เพื่อตอบสนองต่อการยืนยันการถูกโจมตี หน่วยงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ได้เพิ่ม CVE-2026-20127 และ CVE-2022-20775 ลงในแคตตาล็อกช่องโหว่ที่ถูกโจมตีแล้ว (KEV) หน่วยงานของรัฐบาลกลางในฝ่ายบริหารพลเรือนจะต้องแก้ไขช่องโหว่เหล่านี้ภายใน 24 ชั่วโมง

นอกจากนี้ CISA ยังได้ออกคำสั่งฉุกเฉินหมายเลข 26-03 ในหัวข้อ 'ลดช่องโหว่ในระบบ Cisco SD-WAN' คำสั่งดังกล่าวบังคับให้หน่วยงานของรัฐบาลกลางต้องจัดทำบัญชีรายการสินทรัพย์ SD-WAN ทั้งหมดที่อยู่ในขอบเขตการดำเนินการ ปรับใช้การอัปเดตด้านความปลอดภัย และประเมินหาตัวบ่งชี้การถูกบุกรุก

กำหนดเวลาการปฏิบัติตามกฎระเบียบกำหนดให้หน่วยงานต่างๆ ต้องดำเนินการดังนี้:

• ส่งแคตตาล็อกของระบบ SD-WAN ทั้งหมดที่อยู่ในขอบเขตที่กำหนด ภายในวันที่ 26 กุมภาพันธ์ 2569 เวลา 23:59 น. ตามเวลาภาคตะวันออกของสหรัฐอเมริกา
• โปรดจัดทำรายการผลิตภัณฑ์ที่ได้รับผลกระทบและมาตรการแก้ไขอย่างละเอียดภายในวันที่ 5 มีนาคม 2569 เวลา 23:59 น. ตามเวลาภาคตะวันออกของสหรัฐอเมริกา
• โปรดรายงานมาตรการเสริมความแข็งแกร่งด้านสิ่งแวดล้อมทั้งหมดภายในวันที่ 26 มีนาคม 2569 เวลา 23:59 น. ตามเวลาภาคตะวันออกของสหรัฐอเมริกา

การพัฒนาเหล่านี้เน้นย้ำถึงความจำเป็นเร่งด่วนในการจัดการแพตช์เชิงรุก การตรวจสอบอย่างต่อเนื่อง และการเสริมความแข็งแกร่งด้านการป้องกันของโครงสร้างพื้นฐานเครือข่ายส่วนปลาย เพื่อลดภัยคุกคามขั้นสูงที่มุ่งเป้าไปที่สภาพแวดล้อม SD-WAN