Thaiinternetwork ศูนย์รวมอุปกรณ์เน็ตเวิร์ค ไอที ครบวงจร ราคาคุ้ม คุณภาพมาตรฐาน บริการด้วยใจ
Cisco ออกคำเตือนว่าช่องโหว่การข้ามระบบยืนยันตัวตน (Authentication Bypass) ร้ายแรงใน Catalyst SD-WAN Controller ซึ่งติดตามในชื่อ CVE-2026-20182 ได้ถูกนำไปใช้โจมตีแบบ zero-day จริงแล้ว ทำให้ผู้โจมตีสามารถได้รับสิทธิ์ระดับผู้ดูแลระบบบนอุปกรณ์ที่ถูกเจาะได้
CVE-2026-20182 มีระดับความรุนแรงสูงสุดที่คะแนน 10.0 และส่งผลกระทบต่อ Cisco Catalyst SD-WAN Controller และ Cisco Catalyst SD-WAN Manager ทั้งในรูปแบบ on-premises และ SD-WAN Cloud
ใน Security Advisory ที่เผยแพร่ออกมา Cisco ระบุว่าปัญหานี้มีต้นเหตุจากกลไกการยืนยันตัวตนแบบ peering ที่ “ทำงานผิดปกติ”
“ช่องโหว่นี้มีอยู่เพราะกลไก peering authentication ในระบบที่ได้รับผลกระทบทำงานไม่ถูกต้อง ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยส่ง request ที่สร้างขึ้นเป็นพิเศษไปยังระบบที่ได้รับผลกระทบ หากโจมตีสำเร็จ จะทำให้ผู้โจมตีสามารถล็อกอินเข้า Cisco Catalyst SD-WAN Controller ในฐานะบัญชีผู้ใช้ภายในที่มีสิทธิ์สูงแต่ไม่ใช่ระดับ root”
เมื่อเข้าถึงได้แล้ว ผู้โจมตีสามารถใช้ NETCONF ซึ่งเป็นโปรโตคอลที่เปิดให้สามารถแก้ไขการกำหนดค่าเครือข่ายได้หลากหลาย โดย Cisco ตรวจพบว่ามีการใช้ประโยชน์จากช่องโหว่นี้ในเดือนพฤษภาคม แต่ยังไม่ได้เปิดเผยรายละเอียดว่าถูกโจมตีอย่างไร
ตรวจสอบสัญญาณการถูกเจาะระบบ (IOCs)
Cisco แนะนำให้ผู้ดูแลระบบตรวจสอบ /var/log/auth.log หาร่องรอยการล็อกอินด้วย SSH Key ที่ไม่รู้จัก เช่น:
2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from [IP ที่ไม่รู้จัก]
หากพบ IP ที่ไม่รู้จักยืนยันตัวตนสำเร็จ ควรถือว่าอุปกรณ์นั้นถูกเจาะระบบแล้ว และเปิด TAC case กับ Cisco ทันที
นอกจากนี้ยังแนะนำให้ตรวจสอบ log ของ SD-WAN Controller หาการเชื่อมต่อแบบ peering ที่ไม่ได้รับอนุญาต เนื่องจากผู้โจมตีอาจพยายามลงทะเบียนอุปกรณ์ปลอมภายใน SD-WAN fabric
CISA สั่งแพตช์ด่วน
CISA เพิ่ม CVE-2026-20182 เข้าสู่ Known Exploited Vulnerabilities Catalog และสั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ แพตช์อุปกรณ์ที่ได้รับผลกระทบภายในวันที่ 17 พฤษภาคม 2026
ที่มา : Bleepingcomputer.com