ด่วน! Cisco เตือนช่องโหว่วิกฤตใน Unified CM โค้ดเจาะระบบหลุดสู่สาธารณะแล้ว แฮกเกอร์จ้องยึดสิทธิ์ Root สายเน็ตเวิร์กเช็กวิธีรับมือด่วน

Published:


รอบนี้แจ็คพอตตกเป็นของ Cisco Unified Communications Manager (Unified CM) ครับ มีรายงานว่าพบช่องโหว่ความปลอดภัยร้ายแรงรหัส CVE-2026-20230 ซึ่งความน่ากลัวคือ ตอนนี้โค้ดสำหรับเจาะระบบ (Proof-of-Concept หรือ PoC) ได้ถูกปล่อยสู่สาธารณะเป็นที่เรียบร้อยแล้ว แม้ทางทีมความปลอดภัยของ Cisco (PSIRT) จะบอกว่ายังไม่พบการโจมตีจริงในวงกว้าง แต่การมีโค้ดแจกฟรีแบบนี้ ก็เหมือนเป็นการนับถอยหลังให้แฮกเกอร์ทำงานง่านขึ้นนั่นแหละครับ

เจาะลึกช่องโหว่ จากไฟล์แปลกปลอมสู่การยึดระบบ

ช่องโหว่นี้เป็นประเภท Server-Side Request Forgery (SSRF) ซึ่งเกิดขึ้นเพราะตัว Unified CM และ Session Management Edition ไม่ได้ตรวจสอบคำขอ HTTP อย่างถูกต้อง ทำให้แฮกเกอร์ที่อยู่บนเครือข่าย (โดยไม่ต้องล็อกอินเข้าระบบเลยด้วยซ้ำ) สามารถส่งคำขอแปลกปลอมเข้าไปสั่งให้เซิร์ฟเวอร์เขียนไฟล์อะไรก็ได้ลงบนระบบปฏิบัติการพื้นฐาน

และการเขียนไฟล์นี้เองคือการ "ฝังตัว" ขั้นแรก เพื่อใช้เป็นบันไดสเต็ปที่สองในการไต่ระดับสิทธิ์ขึ้นไปจนถึงระดับสูงสุด หรือ Root ซึ่งสามารถควบคุมระบบได้เบ็ดเสร็จครับ

เกร็ดน่ารู้เรื่องคะแนนความร้ายแรง (CVSS): > คะแนนความรุนแรงพื้นฐานของช่องโหว่นี้อยู่ที่ 8.6 ซึ่งหลายคนอาจจะงงว่า อ้าว ยึดระบบได้ทำไมไม่เลเวล 10? เหตุผลเพราะตัวคะแนนจะนับแค่สเต็ปแรกคือการเขียนไฟล์ (กระทบต่อความถูกต้องของข้อมูลเท่านั้น) แต่ทาง Cisco มองการณ์ไกลและปรับระดับคำเตือนให้เป็น Critical (วิกฤต) ทันที เพราะปลายทางของมันคือการโดนยึดสิทธิ์ Root ครับ

เช็กด่วน ระบบของคุณเสี่ยงไหม?

ข่าวดี (ในข่าวร้าย) คือ ช่องโหว่นี้จะทำงานได้ก็ต่อเมื่อมีการเปิดใช้งานฟีเจอร์ WebDialer เท่านั้น ซึ่งค่าเริ่มต้นจากโรงงานจะปิดเอาไว้ครับ แต่ถ้าองค์กรไหนเผลอเปิดใช้งานอยู่ ตัวใครตัวมัน ต้องรีบจัดการด่วน

วิธีการตรวจสอบ

  1. ไปที่หน้า Cisco Unified CM Administration แล้วเปลี่ยนโหมดไปที่ Cisco Unified Serviceability
  2. เลือกเมนู Tools > Control Center - Feature Services
  3. ดูที่หัวข้อ CTI Services แล้วเช็กสถานะของ Cisco WebDialer Web Service 
  4. ถ้าขึ้นสถานะว่า Started แปลว่าระบบของคุณกำลังเสี่ยงครับ

วิธีรับมือและอุดรอยรั่ว

วิธีแก้ไขที่ดีที่สุดคือการอัปเดตแพตซ์ครับ โดยมีแนวทางตามเวอร์ชันดังนี้

  • สำหรับเวอร์ชัน 14: ให้รีบอัปเดตเป็นตัว 14SU6 ได้เลย
  • สำหรับเวอร์ชัน 15: ตัวอัปเดตเต็มรูปแบบ (15SU5) กว่าจะมาก็เดือนกันยายนปีนี้ (2026) ดังนั้น ระหว่านี้ให้รีบลแพตซ์ชั่วคราวที่เรียกว่า interim COP patch ไปก่อนครับ
  • วิธีแก้ขัด: ถ้ายังไม่พร้อมลงแพตซ์ ให้ไปเปิด WebDialer ซะ โดยเข้าไปที่ Tools > Service Activation แล้วติ๊กเอาเครื่องหมายถูกหน้า WebDialer ออก จากนั้นกด Save ครับ

ประวัติที่ต้องเฝ้าระวัง

ถ้าใครตามข่าวจะรู้ว่า Unified CM นี่โดนเจาะเรื่องสิทธิ์ Root แบบไม่ต้องล็อกอินมาเรื่อยๆ เลยครับ อย่างเมื่อกรกฎาคมปีที่แล้วก็เพิ่งเจอเรื่องบัญชี SSH ระดับ Root ที่ผู้พัฒนาใส่ค้างไว้ (CVE-2025-20309 คะแนนเต็ม 10) หรือเมื่อมกราคมต้นปีที่ผ่านมาก็เพิ่งแพตซ์ช่องโหว่ RCE (CVE-2026-20045) ที่โดนแฮกเกอร์ถล่มจริงไปจน CISA ต้องสั่งขึ้นบัญชีเฝ้าระวัง

เคสนี้มาทรงเดียวกันครับ คือคำขอที่ไม่ควรจะเข้าถึงข้อมูลสำคัญดันหลุดเข้าไปได้ แถมรอบนี้โค้ดหลุดมาแล้วด้วยในขณะที่แพตซ์เวอร์ชัน 15 ตัวเต็มยังต้องรออีกหลายเดือน แนะนำว่าผู้ดูแลระบบต้องรีบแอ็กชันด่วนเลยครับ ก่อนที่จะตกเป็นเหยื่อรายต่อไป

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์