
Cisco ยืนยันว่า ขณะนี้มีผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ของ Unified Communications Manager (Unified CM) ที่เพิ่งได้รับการอัปเดตแพตช์แก้ไขไปเมื่อช่วงต้นเดือนมิถุนายน
Unified CM (เดิมเป็นที่รู้จักในชื่อ Cisco CallManager) คือระบบควบคุมส่วนกลางสำหรับระบบ Telephony IP ของ Cisco ซึ่งทำหน้าที่จัดการการกำหนดเส้นทางการโทร (Call routing), การจัดการอุปกรณ์ และคุณสมบัติการโทร
ผู้โจมตีที่ไม่มีสิทธิ์การเข้าถึงใด ๆ สามารถโจมตีช่องโหว่นี้ (CVE-2026-20230) จากระยะไกลได้ผ่านรูปแบบการโจมตีแบบ Server-Side Request Forgery (SSRF) ที่มีความซับซ้อนต่ำ เพียงแค่ส่ง HTTP Request ที่ถูกสร้างขึ้นมาโดยเฉพาะเข้าไปยังระบบ
เมื่อวันที่ 3 มิถุนายน ในช่วงที่ Cisco ได้ปล่อย Security patch เพื่อแก้ไขช่องโหว่นี้ ทางทีม Product Security Incident Response Team (PSIRT) ของ Cisco ได้ระบุว่า พวกเขารับทราบถึงโค้ดตัวอย่างการโจมตี (PoC) สำหรับ CVE-2026-20230 ที่ถูกเผยแพร่สู่สาธารณะ แต่ยังไม่มีหลักฐานการโจมตีที่เกิดขึ้นจริง
อย่างไรก็ตาม ประมาณสามสัปดาห์ต่อมา ในวันที่ 22 มิถุนายน Defused ซึ่งเป็นบริษัทด้าน threat intelligence ได้ออกมาเปิดเผยข้อมูลว่า กลุ่มผู้โจมตีได้เริ่มใช้ช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว โดยใช้ Payload file:// ที่ถูกปรับแต่งมาอย่างเฉพาะเจาะจง เพื่อใช้ในการสร้างไฟล์ลงบนอุปกรณ์ที่เป็นเป้าหมาย

หนึ่งวันหลังจากนั้น SSD Secure ได้เผยแพร่บทความวิเคราะห์ทางเทคนิค ซึ่งรวมถึง Proof-of-Concept (PoC) exploit และอธิบายกลไกการทำงานของช่องโหว่ดังกล่าว
เมื่อวันพุธที่ผ่านมา ทางบริษัทได้ออกมายืนยันว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ CVE-2026-20230 และได้แนะนำให้ลูกค้ารีบดำเนินการรักษาความปลอดภัยของระบบเพื่อรับมือกับการโจมตีที่กำลังเกิดขึ้น
Cisco ระบุในการอัปเดตคำแนะนำเดิมว่า "Cisco PSIRT รับทราบว่ามีโค้ดตัวอย่างการโจมตีสำหรับช่องโหว่ที่อธิบายไว้ในคำแนะนำนี้"
"ในเดือนมิถุนายน 2026 ทาง Cisco PSIRT ได้รับทราบถึงการนำช่องโหว่นี้ไปใช้โจมตีจริง Cisco ยังคงแนะนำอย่างยิ่งให้ลูกค้าทำการอัปเกรดไปใช้ซอฟต์แวร์เวอร์ชันที่ได้รับการแก้ไขแล้วเพื่อแก้ไขช่องโหว่นี้"
นอกจากนี้ Cisco ยังได้แชร์แนวทางการลดผลกระทบสำหรับผู้ดูแลระบบ และทีม Security ที่ยังไม่สามารถติดตั้ง Cisco Unified CM เวอร์ชัน 14SU6 หรือ 15SU5 (Sep 2026 หรือ COP) ได้ในทันที โดยแนะนำให้ ปิดการทำงานของ WebDialer Service ที่มีช่องโหว่ไปก่อน จนกว่าจะมีการติดตั้งแพตช์เพื่อบล็อกการโจมตีของ CVE-2026-20230
Shadowserver ซึ่งเป็นหน่วยงานเฝ้าระวังความปลอดภัยบนอินเทอร์เน็ต กำลังติดตาม Cisco Unified CM มากกว่า 200 เครื่องที่เปิดให้เข้าถึงได้ทางออนไลน์ ซึ่งส่วนใหญ่อยู่ในเอเชีย และอเมริกาเหนือ แต่ยังไม่มีรายละเอียดแน่ชัดว่ามีกี่ระบบที่ได้รับการอัปเดตความปลอดภัยเพื่อป้องกันการโจมตีจากช่องโหว่ CVE-2026-20230 แล้ว

ในช่วงไม่กี่ปีที่ผ่านมา Cisco ได้ทำการออกแพตช์เพื่อแก้ไขช่องโหว่บน Unified CM ไปแล้ว 2 รายการ (CVE-2024-20253 และ CVE-2025-20309) ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ขึ้นเป็น Root ได้ และช่องโหว่ Unified CM อีกรายการ (CVE-2026-20045) ที่พบว่าถูกนำไปใช้โจมตีจริงแบบ Zero-day เพื่อให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE)
หน่วยงานรักษาความปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ทำการขึ้นทะเบียนช่องโหว่ของ Cisco จำนวน 93 รายการ ว่ามีการถูกนำไปใช้ในการโจมตีจริงมาตั้งแต่เดือนพฤศจิกายน 2021 โดยมีช่องโหว่ถึง 6 รายการในกลุ่มนี้ที่ถูกนำไปใช้ในการโจมตีด้วย Ransomware
ที่มา : Bleepingcomputer

You must be logged in to post a comment.