Cisco ออกแพตซ์อัปเดตแก้ช่องโหว่ ISE หลังพบโค้ดการโจมตี PoC ถูกเผยแพร่ออกสู่สาธารณะ

Cisco ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับปานกลางใน Identity Services Engine (ISE) และ ISE Passive Identity Connector (ISE-PIC) หลังจากที่มีการเผยแพร่โค้ด Proof-of-Concept (PoC) สำหรับการโจมตีออกสู่สาธารณะ

ช่องโหว่ความปลอดภัยหมายเลข CVE-2026-20029 ซึ่งมีคะแนน CVSS อยู่ที่ 4.9 เกี่ยวข้องกับฟีเจอร์การออก licensing ของระบบ โดยเป็นช่องทางที่ผู้โจมตีจากภายนอก ที่ผ่านการยืนยันตัวตน และมีสิทธิ์ผู้ดูแลระบบอาจใช้เพื่อเข้าถึงข้อมูลที่มีความสำคัญได้

Cisco ระบุในประกาศเตือนเมื่อวันพุธที่ผ่านมาว่า (7 ม.ค. 2026) ช่องโหว่นี้มีสาเหตุมาจากการประมวลผลไฟล์ XML ที่ไม่เหมาะสม ซึ่งถูกจัดการโดย web-based management interface ของ Cisco ISE และ Cisco ISE-PIC โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ด้วยการอัปโหลดไฟล์ที่เป็นอันตรายเข้าสู่แอปพลิเคชัน

หากช่องโหว่นี้ถูกโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีที่มีข้อมูล credential ที่ถูกต้องของผู้ดูแลระบบ สามารถอ่านไฟล์ใด ๆ จากระบบปฏิบัติการพื้นฐานได้ ซึ่งทาง Cisco ระบุว่า เป็นข้อมูลที่ไม่ควรเปิดให้เข้าถึงได้ แม้แต่สำหรับผู้ดูแลระบบก็ตาม

ช่องโหว่นี้ได้รับการค้นพบ และรายงานโดย Bobby Gould จาก Trend Micro Zero Day Initiative ซึ่งเป็นผู้ที่แจ้งว่าช่องโหว่นี้มีผลกระทบกับเวอร์ชันต่าง ๆ ดังต่อไปนี้

  • Cisco ISE หรือ ISE-PIC เวอร์ชันก่อน 3.2 (ควรย้ายไปใช้เวอร์ชันที่ได้รับการแก้ไขแล้ว)
  • Cisco ISE or ISE-PIC Release 3.2 - 3.2 Patch 8
  • Cisco ISE or ISE-PIC Release 3.3 - 3.3 Patch 8
  • Cisco ISE or ISE-PIC Release 3.4 - 3.4 Patch 4
  • Cisco ISE หรือ ISE-PIC เวอร์ชัน 3.5 (ไม่พบผลกระทบจากช่องโหว่นี้)

Cisco ระบุว่า ไม่มีวิธีการแก้ไขปัญหาชั่วคราวสำหรับช่องโหว่นี้ พร้อมทั้งยืนยันว่าทราบถึงการเผยแพร่โค้ดโจมตี proof-of-concept (PoC) แล้ว อย่างไรก็ดี ยังไม่มีสัญญาณว่าช่องโหว่นี้ถูกนำไปใช้โจมตีจริงในสภาพแวดล้อมการใช้งาน

นอกจากนี้ Cisco ยังได้ออกแพตช์แก้ไขช่องโหว่ระดับปานกลางอีกสองรายการ ซึ่งมีสาเหตุมาจากการจัดการคำขอ Distributed Computing Environment Remote Procedure Call (DCE/RPC) โดยช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน ทำให้ Snort 3 Detection Engine เกิดการรั่วไหลของข้อมูลที่มีความสำตัญ หรือถูกรีสตาร์ตจนกระทบต่อความพร้อมใช้งานของระบบ

Guy Lederfein นักวิจัยจาก Trend Micro ได้รับเครดิตว่าเป็นผู้รายงานช่องโหว่ดังกล่าว โดยรายละเอียดของแต่ละช่องโหว่มีดังนี้

  • CVE-2026-20026 (คะแนน CVSS: 5.8) ช่องโหว่ Denial-of-Service ใน Snort 3 DCE/RPC
  • CVE-2026-20027 (คะแนน CVSS: 5.3) ช่องโหว่ Information Disclosure ใน Snort 3 DCE/RPC

ช่องโหว่เหล่านี้ส่งผลกระทบต่อผลิตภัณฑ์ของ Cisco หลายรายการ ได้แก่

  • Cisco Secure Firewall Threat Defense (FTD) Software ในกรณีที่มีการกำหนดค่าใช้งาน Snort 3
  • Cisco IOS XE Software
  • Cisco Meraki Software

เนื่องจากช่องโหว่ในผลิตภัณฑ์ของ Cisco มักตกเป็นเป้าหมายของผู้ไม่หวังดีอยู่บ่อยครั้ง ผู้ใช้งานจึงควรอัปเดตระบบเป็นเวอร์ชันล่าสุดโดยเร็ว เพื่อให้ได้รับการป้องกันที่เพียงพอ และลดความเสี่ยงด้านความปลอดภัย

ที่มา : thehackernews