ช่องโหว่ระดับสูงสุดบน Cisco ISE ถูกโจมตีแล้ว ผู้ดูแลระบบต้องอัปเดตทันที

Cisco เตือนด่วนว่าช่องโหว่ Remote Code Execution ระดับ Critical สามรายการใน Identity Services Engine (ISE) ที่เคยแจ้งเตือนไปแล้วกำลังถูกใช้โจมตีจริงในปัจจุบัน ผู้ดูแลระบบต้องติดตั้งแพตช์โดยด่วนที่สุด

สถานการณ์ร้ายแรงขึ้นอย่างมากสำหรับผู้ใช้งาน Cisco Identity Services Engine (ISE) หลังจากที่ Cisco ออกแถลงการณ์อัปเดตยืนยันว่า Cisco PSIRT ตรวจพบความพยายามในการใช้ช่องโหว่เหล่านี้เพื่อโจมตีแล้ว แม้ทางบริษัทจะไม่ได้ระบุรายละเอียดวิธีการโจมตีหรือความสำเร็จของการโจมตี แต่การที่มีการนำไปใช้จริงทำให้การอัปเดตเป็นเรื่องเร่งด่วนสูงสุดที่ผู้ดูแลระบบต้องดำเนินการทันที

ช่องโหว่ทั้งสามรายการได้รับคะแนน CVSS สูงสุดที่ 10.0 และสามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการยืนยันตัวตน ประกอบด้วย:

• CVE-2025-20281: ช่องโหว่ที่ผู้โจมตีสามารถส่ง API requests ที่ถูกออกแบบมาเพื่อรันคำสั่งใดๆ ในฐานะ root บนระบบปฏิบัติการ โดยไม่ต้องล็อกอิน
• CVE-2025-20282: ช่องโหว่ที่อนุญาตให้อัปโหลดไฟล์อันตรายเข้าไปใน privileged directories และรันในฐานะ root เนื่องจากไม่มีการตรวจสอบไฟล์
• CVE-2025-20337: ช่องโหว่ที่เกิดจากการตรวจสอบ input ไม่เพียงพอ ทำให้ผู้โจมตีสามารถเข้าถึงระบบในระดับ root ผ่าน API requests พิเศษ

สิ่งที่ทำให้ช่องโหว่เหล่านี้อันตรายอย่างยิ่งคือความสามารถในการโจมตีจากระยะไกลโดยไม่ต้องมี authentication ใดๆ ทำให้แฮกเกอร์สามารถเข้าควบคุมเครือข่ายองค์กรได้โดยง่าย Cisco Identity Services Engine เป็นแพลตฟอร์มที่องค์กรขนาดใหญ่ใช้ควบคุมการเข้าถึงเครือข่ายและบังคับใช้นโยบายความปลอดภัย การถูกเจาะระบบนี้อาจส่งผลกระทบรุนแรงต่อความปลอดภัยขององค์กรทั้งหมด

การแก้ไขที่ต้องทำทันที:

• ผู้ใช้ ISE 3.3 ต้องอัปเกรดเป็น Patch 7
• ผู้ใช้ ISE 3.4 ต้องอัปเกรดเป็น Patch 2
• ผู้ใช้ ISE 3.2 หรือเก่ากว่าไม่ได้รับผลกระทบ

Cisco ยืนยันชัดเจนว่าไม่มีวิธีแก้ปัญหาชั่วคราว (workarounds) สำหรับช่องโหว่ทั้งสามนี้ การติดตั้งอัปเดตเป็นทางเลือกเดียวในการป้องกันการโจมตี ผู้ดูแลระบบจึงไม่ควรรอช้าและต้องวางแผนอัปเดตโดยด่วน โดยเฉพาะอย่างยิ่งเมื่อมีการยืนยันว่ามีการโจมตีเกิดขึ้นจริงแล้วในขณะนี้

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-maximum-severity-ise-rce-flaws-now-exploited-in-attacks/