Cisco แก้ไขช่องโหว่ Zero-Day CVE-2026-20045 ที่ถูกใช้โจมตีจริงใน Unified CM และ Webex

Cisco ได้ออกแพตช์ใหม่เพื่อแก้ไขช่องโหว่ความปลอดภัยระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Unified Communications (CM) หลายรายการ รวมถึง Webex Calling Dedicated Instance โดยพบว่าช่องโหว่นี้ได้ถูกนำไปใช้ในการโจมตีจริงแล้วในรูปแบบ Zero-day

ช่องโหว่ CVE-2026-20045 (CVSS Score : 8.2) ซึ่งอาจทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน สามารถเรียกใช้คำสั่งใด ๆ ก็ตามบนระบบปฏิบัติการพื้นฐานของอุปกรณ์ที่มีความเสี่ยงได้

Cisco ระบุในคำแนะนำความปลอดภัยว่า "ช่องโหว่นี้เกิดจากการตรวจสอบข้อมูลนำเข้าจากผู้ใช้ใน HTTP Requests ที่ไม่เหมาะสม" "ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่ง Crafted HTTP Requestsไปยังหน้า Web-based management interface ของอุปกรณ์ที่ได้รับผลกระทบ การโจมตีที่สำเร็จจะทำให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงระดับผู้ใช้ในระบบปฏิบัติการพื้นฐาน และจากนั้นจะสามารถยกระดับสิทธิ์ขึ้นเป็น Root ได้"

รายงานระบุว่า ช่องโหว่นี้ได้รับการจัดอันดับว่ามีความสำคัญอย่างยิ่ง เนื่องจากหากถูกโจมตี อาจทำให้การยกระดับสิทธิ์เข้าไปถึงสิทธิ์ Root ได้ โดยช่องโหว่นี้ส่งผลกระทบต่อผลิตภัณฑ์ดังต่อไปนี้ :

  • Unified CM
  • Unified CM Session Management Edition (SME)
  • Unified CM IM & Presence Service (IM&P)
  • Unity Connection
  • Webex Calling Dedicated Instance

โดยช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วในเวอร์ชันต่าง ๆ ดังนี้:

Cisco Unified CM, CM SME, CM IM&P และ Webex Calling Dedicated Instance

  • เวอร์ชัน 12.5 - ให้ย้ายไปใช้เวอร์ชันที่ได้รับการแก้ไข
  • เวอร์ชัน 14 - 14SU5 หรือติดตั้งไฟล์แพตช์: ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512
  • เวอร์ชัน 15 - 15SU4 (มีนาคม 2026) หรือติดตั้งไฟล์แพตช์:
  • ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 หรือ
  • ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512

Cisco Unity Connection

  • เวอร์ชัน 12.5 - ให้ย้ายไปใช้เวอร์ชันที่ได้รับการแก้ไข (Migrate to a fixed release)
  • เวอร์ชัน 14 - 14SU5 หรือติดตั้งไฟล์แพตช์: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
  • เวอร์ชัน 15 - 15SU4 (กำหนดออกเดือนมีนาคม 2026) หรือติดตั้งไฟล์แพตช์: ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512

บริษัทผู้ผลิตอุปกรณ์เครือข่ายรายใหญ่ยังระบุอีกว่า "บริษัทรับทราบถึงความพยายามในการโจมตีจากช่องโหว่นี้ในวงกว้าง" พร้อมแนะนำให้ลูกค้าอัปเกรดไปใช้ซอฟต์แวร์เวอร์ชันที่ได้รับการแก้ไขเพื่อจัดการกับช่องโหว่ดังกล่าว โดยปัจจุบันยังไม่มีวิธีแก้ปัญหาชั่วคราวแต่อย่างใด ทั้งนี้ นักวิจัยที่ไม่ประสงค์ออกนามได้รับเครดิตจากการค้นพบ และรายงานช่องโหว่นี้

สถานการณ์นี้ส่งผลให้ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ CVE-2026-20045 เข้าสู่บัญชีรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตีแล้ว (KEV catalog) โดยกำหนดให้หน่วยงานรัฐบาลกลาง (FCEB) ต้องดำเนินการแก้ไขภายในวันที่ 11 กุมภาพันธ์ 2026

การค้นพบ CVE-2026-20045 เกิดขึ้นไม่ถึงหนึ่งสัปดาห์หลังจากที่ Cisco ได้ออกอัปเดตสำหรับช่องโหว่ความปลอดภัยระดับ Critical อีกรายการที่กำลังถูกใช้ในการโจมตีจริง ซึ่งส่งผลกระทบต่อซอฟต์แวร์ AsyncOS สำหรับ Cisco Secure Email Gateway และ Cisco Secure Email and Web Manager (CVE-2025-20393, CVSS Score : 10.0) ซึ่งอาจทำให้ผู้โจมตีเรียกใช้คำสั่งใด ๆ ด้วยสิทธิ์ระดับ Root ได้

ที่มา : thehackernews