Cisco ได้ออกมาประกาศเตือนถึงภัยคุกคามทางไซเบอร์ที่มีความซับซ้อนสูง หลังพบการใช้ช่องโหว่ซีโร่เดย์หมายเลข CVE-2026-20127 เพื่อโจมตีระบบ Cisco Catalyst SD-WAN Controller โดยช่องโหว่ดังกล่าวเป็นประเภทการข้ามผ่านการตรวจสอบสิทธิ์ ซึ่งเปิดทางให้ผู้ไม่หวังดีสามารถเข้าควบคุมระบบจัดการเครือข่ายระดับองค์กรได้โดยตรง การค้นพบนี้มีจุดเริ่มต้นมาจากศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งออสเตรเลียที่พบความผิดปกติในการเชื่อมต่อโหนดปลอมเข้ากับระบบเครือข่าย
กลไกการโจมตีนี้เกิดขึ้นจากความผิดพลาดของระบบตรวจสอบสิทธิ์ระหว่างโหนดในอุปกรณ์ที่ได้รับผลกระทบ ทำให้แฮกเกอร์สามารถส่งคำขอที่สร้างขึ้นเป็นพิเศษเพื่อล็อกอินเข้าสู่ระบบในฐานะผู้ใช้ภายในที่มีสิทธิ์สูงได้ เมื่อเข้าถึงระบบได้แล้ว ผู้โจมตีจะใช้โปรโตคอลเน็ตคอนฟิกเพื่อปรับแต่งการตั้งค่าเครือข่ายของโครงสร้างเอสดีแวนทั้งหมด ซึ่งเปรียบเสมือนการกุมอำนาจสั่งการการจราจรข้อมูลภายในองค์กร และนำไปสู่การฝังตัวเพื่อดักจับข้อมูลหรือขยายผลการโจมตีในระยะยาว
จากการสืบสวนเชิงลึกโดยทีมทาลอสของซิสโก้พบว่าการโจมตีนี้เชื่อมโยงกับกลุ่มแฮกเกอร์รหัส UAT-8616 ซึ่งมีความเชี่ยวชาญในการหลบเลี่ยงการตรวจจับอย่างมาก โดยพบหลักฐานว่ากลุ่มนี้แอบแฝงตัวอยู่ในระบบมาตั้งแต่ปี 2023 หรือนานกว่า 3 ปีแล้ว เทคนิคที่น่าสนใจคือการใช้วิธี “ย้อนเวอร์ชันซอฟต์แวร์” เพื่อเปิดช่องโหว่เก่าที่เคยแก้ไขไปแล้วมาใช้ในการยกระดับสิทธิ์เป็นรูท ก่อนจะอัปเกรดซอฟต์แวร์กลับเป็นเวอร์ชันปัจจุบันเพื่อลบร่องรอยและตบตาผู้ดูแลระบบ
ความรุนแรงของสถานการณ์นี้ส่งผลให้หน่วยงานความมั่นคงด้านไซเบอร์ระดับโลกต้องตื่นตัว โดยเฉพาะหน่วยงานซีซาของสหรัฐฯ ที่ได้ออกคำสั่งฉุกเฉินบังคับให้หน่วยงานรัฐบาลพลเรือนทุกแห่งเร่งตรวจสอบและแก้ไขระบบที่เกี่ยวข้องโดยด่วน เนื่องจากกลุ่มแฮกเกอร์มีพฤติกรรมมุ่งเป้าไปที่อุปกรณ์ส่วนหน้าขององค์กรระดับสูงและโครงสร้างพื้นฐานที่สำคัญ เพื่อสร้างฐานที่มั่นในการจารกรรมข้อมูลระดับชาติ
บทเรียนสำคัญจากเหตุการณ์นี้ย้ำให้เห็นว่า อุปกรณ์เครือข่ายหลักยังคงเป็นเป้าหมายสำคัญของกลุ่มแฮกเกอร์ระดับรัฐหรือองค์กรอาชญากรรมข้ามชาติ ทางผู้ผลิตและหน่วยงานความมั่นคงจึงแนะนำให้ผู้ใช้งานเร่งตรวจสอบร่องรอยการบุกรุกและการเชื่อมต่อโหนดที่ไม่ได้รับอนุญาตทันที รวมถึงการปฏิบัติตามคู่มือการไล่ล่าภัยคุกคามเพื่อป้องกันไม่ให้องค์กรตกเป็นเหยื่อของการฝังตัวในระยะยาว
ที่มา : HNS
