Cisco ได้เปิดเผยข้อมูลช่องโหว่ความปลอดภัยระดับ Critical ในแพลตฟอร์ม Secure Workload ซึ่งอาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถเข้าถึงทรัพยากรที่สำคัญโดยไม่ได้รับอนุญาตผ่าน internal APIs ได้
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-20223 มีคะแนนความรุนแรงสูงสุดตามมาตรฐาน CVSS เต็ม 10.0 คะแนน และถูกจัดอยู่ในกลุ่ม CWE-306 (การขาดการยืนยันตัวตนสำหรับฟังก์ชันการทำงานที่สำคัญ)
โดยช่องโหว่ดังกล่าวมีสาเหตุมาจากการยืนยันตัวตนที่ไม่ถูกต้อง และการตรวจสอบความถูกต้อง (Validation) ที่ไม่เพียงพอใน REST API endpoints ภายในระบบ
ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่ง API Request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยัง endpoints ที่ได้รับผลกระทบ โดยไม่จำเป็นต้องผ่านการยืนยันตัวตนใด ๆ
หากการโจมตีสำเร็จ ผู้โจมตีจะได้รับสิทธิ์ในระดับผู้ดูแลระบบ ซึ่งทำให้สามารถเข้าควบคุมระบบในสภาพแวดล้อมที่ได้รับผลกระทบได้อย่างสมบูรณ์
ช่องโหว่ความปลอดภัยของ Cisco Secure Workload
เมื่อได้รับสิทธิ์ในระดับสูงแล้ว ผู้โจมตีจะสามารถเข้าถึง Sensitive data และแก้ไขการตั้งค่าระบบ ซึ่งอาจส่งผลกระทบต่อผู้ใช้งานหลายราย ที่อยู่ในสภาพแวดล้อมการใช้งานร่วมกันได้
ความเสี่ยงที่ส่งผลกระทบต่อผู้ใช้รายอื่นได้นี้ จะส่งผลให้ระดับความรุนแรงของช่องโหว่เพิ่มสูงขึ้นอย่างมาก โดยเฉพาะในสภาพแวดล้อมระดับองค์กร และบนคลาวด์ ซึ่งมีการติดตั้งใช้งาน Cisco Secure Workload กันอย่างแพร่หลาย เพื่อการตรวจวิเคราะห์ระดับแอปพลิเคชัน และการทำ Microsegmentation
ช่องโหว่นี้ส่งผลกระทบต่อซอฟต์แวร์ Cisco Secure Workload Cluster ทั้งในรูปแบบการใช้งานบนระบบคลาวด์ (SaaS) และการติดตั้งแบบ On-premises โดยไม่ขึ้นอยู่กับการตั้งค่าของระบบแต่อย่างใด
ระบบที่ได้รับผลกระทบ และแนวทางแก้ไข
Cisco ได้ยืนยันว่าในขณะนี้ยังไม่มีวิธีแก้ไขปัญหาชั่วคราว เพื่อลดผลกระทบจากช่องโหว่ดังกล่าว จึงขอแนะนำอย่างยิ่งให้องค์กรต่าง ๆ อัปเกรดเป็นซอฟต์แวร์เป็นเวอร์ชันที่ได้รับการแก้ไขแล้วเพื่อจัดการกับความเสี่ยงดังกล่าว โดยซอฟต์แวร์เวอร์ชันที่ได้รับการติดตั้งแพตช์แก้ไขเรียบร้อยแล้ว มีดังนี้:
- เวอร์ชัน 3.10: แก้ไขแล้วในเวอร์ชัน 3.10.8.3
- เวอร์ชัน 4.0: แก้ไขแล้วในเวอร์ชัน 4.0.3.17
- เวอร์ชัน 3.9 และเก่ากว่า: ผู้ใช้จะต้องย้ายไปใช้งานเวอร์ชันที่รองรับการแก้ไขแล้ว
สำหรับการใช้งานในรูปแบบ SaaS ทาง Cisco ได้ดำเนินการติดตั้งแพตช์แก้ไขที่จำเป็นเรียบร้อยแล้ว โดยที่ผู้ใช้ไม่จำเป็นต้องดำเนินการใด ๆ เพิ่มเติม
แม้ว่าจะยังไม่มีรายงานการโจมตีที่เกิดขึ้นจริงในระบบ หรือการปล่อย PoC สำหรับเจาะระบบสู่สาธารณะ แต่ด้วยความรุนแรงระดับ Critical และความง่ายในการโจมตี จึงทำให้ช่องโหว่นี้เป็นเรื่องที่ทีมรักษาความปลอดภัยต้องให้ความสำคัญเป็นอันดับต้น ๆ
ช่องโหว่นี้ถูกตรวจพบในระหว่างการทดสอบความปลอดภัยภายในของ Cisco เอง ซึ่งเป็นการแสดงให้เห็นถึงความเสี่ยงที่เกิดขึ้นอย่างต่อเนื่องจากการควบคุมการเข้าถึง API ที่ไม่เพียงพอ
ดังนั้น ทีมรักษาความปลอดภัยควรให้ความสำคัญกับการอัปเดตแพตช์บนระบบที่ได้รับผลกระทบในทันที และตรวจสอบช่องทางการเปิดเผย หรือเชื่อมต่อ API ภายในสภาพแวดล้อมระบบของตน
โดยแนวทางที่แนะนำให้ปฏิบัติ ซึ่งเป็นส่วนหนึ่งของกลยุทธ์การป้องกันเชิงลึก ได้แก่ การตรวจสอบกิจกรรมของ API ที่ผิดปกติ การเปลี่ยนแปลงการตั้งค่าที่ไม่ได้รับอนุญาต และรูปแบบการเข้าถึงระบบที่ผิดปกติ
จากรายงานแจ้งเตือนของ Cisco ช่องโหว่นี้ได้เน้นย้ำถึงพื้นที่การโจมตีที่ขยายตัวเพิ่มขึ้นจากการใช้งาน API ภายในระบบ ซึ่งมักเป็นจุดที่ถูกมองข้ามในการประเมินความปลอดภัยแบบเดิม
เนื่องจากผู้โจมตีมุ่งเป้าไปที่บริการส่วนหลังมากยิ่งขึ้น การสร้างหลักประกันให้มีกลไกการยืนยันตัวตน และการตรวจสอบความถูกต้องที่รัดกุมในทุกชั้นของ API จึงยังคงเป็นสิ่งสำคัญ
ขอแนะนำให้องค์กรต่าง ๆ ที่ใช้งาน Cisco Secure Workload เข้าอ่านรายงานแจ้งเตือนฉบับเต็ม และดำเนินการอัปเดตระบบโดยทันที เพื่อป้องกันความเสี่ยงจากการถูกเจาะระบบที่อาจเกิดขึ้น
ที่มา : cybersecuritynews
You must be logged in to post a comment.