១. ព័ត៌មានទូទៅ
ក្រុមហ៊ុន Cisco បានបញ្ចេញបច្ចុប្បន្នភាពសន្ដិសុខដើម្បីជួសជុលចំណុចខ្សោយដែលមានកម្រិតគ្រោះថ្នាក់ខ្ពស់បំផុត (Maximum-severity) នៅក្នុងកម្មវិធី Cisco Catalyst SD-WAN Controller និង Cisco Catalyst SD-WAN Manager។ ចំណុចខ្សោយនេះត្រូវបានរកឃើញថាមានការវាយប្រហារជាក់ស្តែងក្នុងកម្រិតកំណត់ (Limited attacks)។ ហេកគ័រអាចប្រើប្រាស់ចំណុចខ្សោយនេះពីចម្ងាយ ដើម្បីរំលងដំណាក់កាលផ្ទៀងផ្ទាត់សិទ្ធិ (Authentication Bypass) និងទទួលបានសិទ្ធិជាអ្នកគ្រប់គ្រងប្រព័ន្ធ (Administrative privileges)។ អ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រងប្រព័ន្ធគួរធ្វើបច្ចុប្បន្នភាពតាមការចាំបាច់៖
- CVE-2026-20182: ចំណុចខ្សោយនេះមាននៅក្នុងយន្តការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃ Peering (Peering authentication mechanism) នៅក្នុងសេវាកម្ម ‘vdaemon’ តាមរយៈ DTLS (UDP port 12346)។ ហានិភ័យនេះកើតឡើងដោយសារតែប្រព័ន្ធដំណើរការខុសប្រក្រតី នៅពេលទទួលបានសំណើដែលបានកែច្នៃពិសេស (Crafted requests) ពីចម្ងាយ ដែលអនុញ្ញាតឱ្យហេកគ័រអាចចូលទៅកាន់ប្រព័ន្ធក្នុងនាមជាគណនីផ្ទៃក្នុងដែលមានសិទ្ធិខ្ពស់ (Internal, high-privileged, non-root user) រួចប្រើប្រាស់វាដើម្បីចូលទៅកាន់ NETCONF និងកែប្រែការកំណត់រចនាសម្ព័ន្ធបណ្តាញ (Network configuration) របស់ SD-WAN fabric ទាំងមូល។
២. ផលិតផលដែលរងផលប៉ះពាល់
ចំណុចខ្សោយខាងលើនេះមានផលប៉ះពាល់ទៅលើការដាក់ឱ្យប្រើប្រាស់ (Deployments) ដូចខាងក្រោម៖
- On-Prem Deployment
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud (Cisco Managed)
- Cisco SD-WAN for Government (FedRAMP)
៣. ផលប៉ះពាល់
ការវាយប្រហារដោយជោគជ័យទៅលើចំណុចខ្សោយខាងលើនេះ អាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ចូលទៅគ្រប់គ្រងឧបករណ៍បញ្ជាបណ្តាញពីចម្ងាយ ដោយមិនបាច់មានគណនី និងអាចធ្វើសកម្មភាពមិនអនុញ្ញាតនានា រួមមានការកែប្រែរចនាសម្ព័ន្ធបណ្តាញរបស់ស្ថាប័នទាំងមូល បង្កើតការតភ្ជាប់ Peering មិនស្របច្បាប់ និងប្រើប្រាស់សិទ្ធិជាអ្នកគ្រប់គ្រងដើម្បីលួចមើល ឬផ្លាស់ប្តូរទិន្នន័យបណ្តាញ។ ប្រព័ន្ធដែលបើកចំហរទៅកាន់អ៊ិនធឺណិត (Internet-exposed) និងបើកចំហរផត (Ports) គឺប្រឈមនឹងហានិភ័យខ្ពស់បំផុត។
៤. ដំណោះស្រាយ
ការិយាល័យ CamCERT សូមធ្វើការណែនាំដល់អ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រងប្រព័ន្ធទាំងអស់ សូមធ្វើបច្ចុប្បន្នភាពកម្មវិធីដែលបានរងផលប៉ះពាល់ខាងលើជាបន្ទាន់ ទៅកាន់កំណែចុងក្រោយបំផុត (Latest version) ដែលបានចេញផ្សាយដោយក្រុមហ៊ុន Cisco។ បន្ថែមពីនេះ អ្នកគ្រប់គ្រងប្រព័ន្ធគួរតែធ្វើការពិនិត្យ (Audit) ប្រព័ន្ធជាបន្ទាន់តាមវិធីសាស្ត្រដូចខាងក្រោម៖
- ពិនិត្យឯកសារចូលឡុក (/var/log/auth.log) ដើម្បីស្វែងរកសកម្មភាពគួរឱ្យសង្ស័យ ដូចជាការបង្ហាញសារ Accepted publickey for vmanage-admin ចេញពីអាសយដ្ឋាន IP ដែលមិនស្គាល់ ឬមិនមានការអនុញ្ញាត។
- ពិនិត្យព្រឹត្តិការណ៍ Peering (Peering events) នៅក្នុងឡុក (Logs) ដើម្បីស្វែងរកការតភ្ជាប់ពីឧបករណ៍ដែលមិនស្គាល់អត្តសញ្ញាណ ឬការតភ្ជាប់ដែលកើតឡើងនៅម៉ោងពេលមិនប្រក្រតី។
៥. ឯកសារពាក់ព័ន្ធ
- https://thehackernews.com/2026/05/cisco-catalyst-sd-wan-controller-auth.html
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW
