Cisco ได้เปิดเผยข้อมูลช่องโหว่ระดับ Critical ประเภท Server-Side Request Forgery (SSRF) ที่พบในระบบ Unified Communications Manager (Unified CM) และ Unified CM Session Management Edition (SME)
ช่องโหว่นี้มีหมายเลข CVE-2026-20230 และมีคะแนน CVSS v3.1 อยู่ที่ 8.6 ซึ่งในปัจจุบันมีโค้ดสาธิตการโจมตี (PoC) ถูกเผยแพร่ออกสู่สาธารณะเรียบร้อยแล้ว ทำให้เพิ่มความเสี่ยงต่อการถูกนำไปใช้ในการโจมตีจริง
โดยช่องโหว่ดังกล่าวจัดอยู่ในระดับ Critical เนื่องจากอาจทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ขึ้นเป็นระดับสูงสุดหรือ Root ได้ และช่องโหว่ดังกล่าวมีสาเหตุมาจากการตรวจสอบ Input Validation ที่ไม่เหมาะสมใน HTTP Requests บางประเภทที่ถูกประมวลผลโดยบริการ WebDialer ซึ่งปกติแล้ว Component นี้จะถูกปิดใช้งานไว้เป็นค่าเริ่มต้น แต่ส่วนใหญ่จะถูกเปิดใช้งานในระบบที่ใช้งานภายในองค์กรขนาดใหญ่
พฤติกรรมและลำดับขั้นการโจมตี
ช่องโหว่นี้ช่วยให้ผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถส่ง HTTP Requests ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังระบบที่มีช่องโหว่ ซึ่งจะส่งผลให้เกิดพฤติกรรมการโจมตีในรูปแบบ SSRF ได้ หากทำการโจมตีสำเร็จจะทำให้ผู้โจมตีสามารถเขียนข้อมูลลงในไฟล์ต่าง ๆ บนระบบปฏิบัติการของอุปกรณ์ได้อย่างอิสระ
แม้ว่าโดยปกติแล้ว ช่องโหว่ประเภท SSRF จะถูกจำกัดอยู่เฉพาะการเข้าถึงเครือข่ายภายในเท่านั้น แต่ในกรณีนี้มีความรุนแรงมากกว่า เนื่องจากความสามารถในการเขียนไฟล์สามารถถูกนำมาใช้เป็นขั้นตอนไปสู่การยึดครองระบบได้อย่างสมบูรณ์ ซึ่งรวมถึงการยกระดับสิทธิ์ขึ้นเป็นระดับ Root ด้วย
นักวิจัยด้านความปลอดภัยตั้งข้อสังเกตว่า ลำดับการโจมตีน่าจะเกี่ยวข้องกับการใช้ช่องโหว่ SSRF เพื่อโต้ตอบกับ Internal Services หรือ Endpoints ต่าง ๆ จากนั้นจึงทำการเขียนไฟล์ที่เป็นอันตรายไปยังตำแหน่งที่สำคัญของระบบ จากนั้นไฟล์เหล่านี้จะสามารถถูกเรียกใช้งานหรือถูกนำมาใช้เพื่อควบคุมกระบวนการทำงานของระบบ ซึ่งในท้ายที่สุดจะส่งผลให้ผู้โจมตีได้รับสิทธิ์การควบคุมที่สูงขึ้น
จากรายงานคำแนะนำด้านความปลอดภัยของ Cisco (รหัส cisco-sa-cucm-ssrf-cXPnHcW) ระบุว่า การที่โค้ดสาธิตการโจมตี (PoC) ถูกปล่อยออกมา ทำให้ลดอุปสรรคในการเข้าถึงของผู้โจมตีลงอย่างมาก โดยเฉพาะอย่างยิ่งในระบบที่บริการ WebDialer ถูกเปิดทิ้งไว้สู่ภายนอกหรือมีการตั้งค่าที่ผิดพลาด
Cisco ยืนยันว่าการโจมตีดังกล่าวจำเป็นต้องมีการเปิดใช้งาน Cisco WebDialer Web Service ก่อน โดยผู้ดูแลระบบสามารถตรวจสอบสถานะของบริการนี้ได้ผ่านหน้าต่างอินเทอร์เฟซ Cisco Unified Serviceability โดยเข้าไปที่เมนู Control Center – Feature Services ซึ่งหากพบว่าบริการดังกล่าวเปิดทำงานอยู่ ให้ถือว่าระบบนั้นมีความเสี่ยงต่อช่องโหว่นี้
แนวทางการแก้ไขและลดผลกระทบ
แม้ว่าในขณะที่เปิดเผยข้อมูลจะยังไม่พบการนำช่องโหว่นี้ไปใช้โจมตีจริงในวงกว้าง แต่การที่โค้ดการโจมตีถูกเปิดเผยออกสู่สาธารณะเป็นสัญญาณเตือนว่าผู้โจมตีอาจเริ่มมุ่งเป้าเจาะระบบที่เปิดทิ้งไว้อย่างรวดเร็ว
องค์กรที่มีการใช้งานระบบ Unified CM ในสภาพแวดล้อมที่เชื่อมต่อกับอินเทอร์เน็ตโดยตรงหรือมีการแบ่งแยกเครือข่ายภายในไม่เหมาะสม จะมีความเสี่ยงในระดับที่สูงขึ้นมาก ทั้งนี้ Cisco ได้ปล่อยอัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่นี้แล้ว และขอแนะนำอย่างยิ่งให้ดำเนินการติดตั้งแพตช์ในทันที โดยเวอร์ชันที่ได้รับการแก้ไขแล้ว ได้แก่:
- Unified CM 14SU6
- Unified CM 15SU5 (สำหรับผู้ใช้เวอร์ชัน 15 มีกำหนดการปล่อยอัปเดตในเดือนกันยายน 2026 โดยในระหว่างนี้จะมีแพตช์ชั่วคราวในรูปแบบไฟล์ COP ให้ดาวน์โหลดไปใช้งานก่อน)
ในกรณีที่ยังไม่สามารถติดตั้งแพตช์ได้ในทันที Cisco แนะนำให้ปิดใช้งานบริการ WebDialer เป็นการชั่วคราวเพื่อลดความเสี่ยง ซึ่งสามารถทำได้ผ่านเมนู Service Activation ในหน้าอินเทอร์เฟซ Cisco Unified Serviceability โดยการหยุดการทำงานของบริการ Cisco WebDialer Web Service ทั้งนี้ ผู้ดูแลระบบควรประเมินผลกระทบต่อการทำงานและการดำเนินธุรกิจก่อนที่จะเริ่มใช้วิธีการแก้ปัญหาดังกล่าว
ช่องโหว่นี้ได้รับการรายงานโดยนักวิจัยอิสระที่ทำงานร่วมกับกลุ่ม SSD Secure Disclosure ซึ่งแสดงให้เห็นถึงความเสี่ยงที่เกิดขึ้นอย่างต่อเนื่องบนแพลตฟอร์มการสื่อสารขององค์กร โดยที่บริการเสริมต่าง ๆ มักจะกลายเป็นการเปิดช่องทางโจมตีใหม่ ๆ โดยไม่คาดคิด
ที่มา : cybersecuritynews
You must be logged in to post a comment.