ช่องโหว่ Server-Side Request Forgery (SSRF) ที่มีความรุนแรงระดับสูง หมายเลข CVE-2026-20230 ซึ่งพบในเซิร์ฟเวอร์ Cisco Unified Communications Manager (Unified CM) กำลังถูกผู้ไม่หวังดีนำมาใช้ในการโจมตีอยู่ในขณะนี้
ทาง Cisco ได้ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2026-20230 ไปเมื่อวันที่ 3 มิถุนายนที่ผ่านมา พร้อมกับออกคำเตือนว่า การโจมตีโดยใช้ช่องโหว่ดังกล่าว อาจส่งผลให้ผู้โจมตีได้รับสิทธิ์การควบคุมระดับสูงสุดบนอุปกรณ์นั้นได้
Cisco ได้ออกคำเตือนว่า ช่องโหว่ที่พบในระบบ Cisco Unified Communications Manager (Unified CM) และ Cisco Unified Communications Manager Session Management Edition (Unified CM SME) อาจทำให้ผู้โจมตีจากภายนอกโดยไม่ต้องผ่านการยืนยันตัวตน สามารถดำเนินการโจมตีแบบ Server-Side Request Forgery (SSRF) ผ่านอุปกรณ์ที่มีช่องโหว่ดังกล่าวได้
ช่องโหว่นี้เกิดจากการตรวจสอบ Input validation ใน HTTP request บางประเภทที่ไม่รัดกุมเพียงพอ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่ง HTTP request ที่ปรับแต่งขึ้นมาเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่ หากโจมตีสำเร็จ ผู้โจมตีจะสามารถเขียนไฟล์ลงบนระบบปฏิบัติการหลักของตัวอุปกรณ์ ซึ่งไฟล์เหล่านี้อาจถูกนำมาใช้ในภายหลังเพื่อยกระดับสิทธิ์การเข้าถึงให้กลายเป็นสิทธิ์ระดับสูงสุดได้
ช่องโหว่นี้ถูกแจ้งให้ทาง Cisco ทราบโดยทีมงาน SSD Secure ซึ่งในตอนนั้นพวกเขาไม่ได้เปิดเผยรายละเอียดเชิงลึกทางเทคนิคใด ๆ ออกมา
แต่วันนี้ Defused ซึ่งเป็นบริษัทด้าน threat intelligence ได้ออกมาประกาศเตือนว่าช่องโหว่ดังกล่าวกำลังถูกแฮ็กเกอร์นำไปใช้ในการโจมตีจริงแล้ว
Defused ได้โพสต์เตือนบนแพลตฟอร์ม X ว่า ในช่วงสุดสัปดาห์ที่ผ่านมา เราพบการเจาะระบบผ่านช่องโหว่ CVE-2026-20230 บน Cisco Unified CM WebDialer ซึ่งเป็นช่องโหว่ SSRF ที่นำไปสู่การเขียนไฟล์เพื่อยกระดับสิทธิ์เป็น root (คะแนนความรุนแรง CVSS 8.6) โดยก่อนหน้านี้ยังไม่เคยมีบันทึกรายงานการนำช่องโหว่นี้ไปใช้โจมตีมาก่อน และช่องโหว่นี้ก็ยังไม่ได้ถูกระบุชื่อไว้ในฐานข้อมูล CISA KEV แต่อย่างใด
Defused ระบุว่า การโจมตีเหล่านี้มีแหล่งที่มาจากหมาย IP Address เพียงไอพีเดียวเท่านั้น และมีการใช้ Payload ประเภท file[:]// ที่ถูกปรับแต่งโครงสร้างมาเป็นอย่างดี เพื่อใช้ในการสร้างไฟล์ลงบนอุปกรณ์ที่เป็นเป้าหมาย
แม้ว่าช่องโหว่นี้จะสามารถถูกนำไปใช้ในการโจมตีเพื่อฝัง Webshells และได้สิทธิ์ระดับสูงสุดได้ แต่ PoC ที่ทาง Defused ตรวจพบนั้น ดูเหมือนจะถูกออกแบบมาเพื่อสแกนหาอุปกรณ์ที่มีช่องโหว่เป็นหลัก โดยตัวโค้ดจะพยายามเขียนไฟล์ข้อความที่ชื่อว่า '/tmp/cve-2026-20230-test.txt' ลงไปในเครื่องเป้าหมาย
หลังจากที่มีรายงานข่าวเรื่องการเจาะระบบนี้เผยแพร่ออกไป ทางทีมงาน SSD Secure ก็ได้ตีพิมพ์บทความเชิงเทคนิคที่อธิบายถึงกลไกการทำงานของช่องโหว่นี้อย่างละเอียด พร้อมทั้งเปิดเผย Proof-of-Concept ออกมาสู่สาธารณะ
ทีมนักวิจัยพบว่า ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตน สามารถฉวยโอกาสจากกลไกของ Component Webdialer ที่ใช้ในการจัดการ URL ที่ผู้ใช้เป็นผู้กำหนด โดยนำมาใช้บังคับให้แอปพลิเคชันเขียนไฟล์ใด ๆ ก็ตามที่แฮ็กเกอร์ต้องการลงบนระบบปฏิบัติการ ผ่านการใช้ URI ในรูปแบบ file[:]//
เมื่อผู้โจมตีสามารถควบคุมได้ทั้งตำแหน่งของไฟล์ และเนื้อหาของไฟล์ที่จะเขียนลงในดิสก์ พวกเขาจึงสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อ Remote Code Execution และนำไปสู่การยึดสิทธิ์ระดับสูงสุดบนอุปกรณ์ที่มีช่องโหว่ได้ในท้ายที่สุด
ทีมงาน SSD Secure ระบุว่า ในการเจาะระบบนั้น ผู้โจมตีจำเป็นจะต้องรู้ Hostname ของระบบเป้าหมายเสียก่อน จึงจะสามารถดำเนินการโจมตีด้วยการเขียนไฟล์ได้ อย่างไรก็ตาม ทีมนักวิจัยก็ได้สาธิตให้เห็นถึงวิธีการดึงข้อมูล Hostname ดังกล่าวออกมาจากอุปกรณ์เป้าหมายก่อนที่จะทำการเจาะระบบจริง
แม้ว่าลักษณะการโจมตีที่พบในปัจจุบันจะยังเป็นเพียงแค่การ Reconnaissance แต่ในตอนนี้เมื่อรายละเอียดของช่องโหว่ได้ถูกเปิดเผยออกมาอย่างสมบูรณ์แล้ว ก็มีความเป็นไปได้สูงมากที่เราจะได้เห็นกลุ่มแฮ็กเกอร์รายอื่น ๆ หันมามุ่งเป้าโจมตีเซิร์ฟเวอร์เหล่านี้เพิ่มมากขึ้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.