TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Cisco เตือนด่วนว่าช่องโหว่ Remote Code Execution ระดับ Critical สามรายการใน Identity Services Engine (ISE) ที่เคยแจ้งเตือนไปแล้วกำลังถูกใช้โจมตีจริงในปัจจุบัน ผู้ดูแลระบบต้องติดตั้งแพตช์โดยด่วนที่สุด
สถานการณ์ร้ายแรงขึ้นอย่างมากสำหรับผู้ใช้งาน Cisco Identity Services Engine (ISE) หลังจากที่ Cisco ออกแถลงการณ์อัปเดตยืนยันว่า Cisco PSIRT ตรวจพบความพยายามในการใช้ช่องโหว่เหล่านี้เพื่อโจมตีแล้ว แม้ทางบริษัทจะไม่ได้ระบุรายละเอียดวิธีการโจมตีหรือความสำเร็จของการโจมตี แต่การที่มีการนำไปใช้จริงทำให้การอัปเดตเป็นเรื่องเร่งด่วนสูงสุดที่ผู้ดูแลระบบต้องดำเนินการทันที
ช่องโหว่ทั้งสามรายการได้รับคะแนน CVSS สูงสุดที่ 10.0 และสามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการยืนยันตัวตน ประกอบด้วย:
- CVE-2025-20281: ช่องโหว่ที่ผู้โจมตีสามารถส่ง API requests ที่ถูกออกแบบมาเพื่อรันคำสั่งใดๆ ในฐานะ root บนระบบปฏิบัติการ โดยไม่ต้องล็อกอิน
- CVE-2025-20282: ช่องโหว่ที่อนุญาตให้อัปโหลดไฟล์อันตรายเข้าไปใน privileged directories และรันในฐานะ root เนื่องจากไม่มีการตรวจสอบไฟล์
- CVE-2025-20337: ช่องโหว่ที่เกิดจากการตรวจสอบ input ไม่เพียงพอ ทำให้ผู้โจมตีสามารถเข้าถึงระบบในระดับ root ผ่าน API requests พิเศษ
สิ่งที่ทำให้ช่องโหว่เหล่านี้อันตรายอย่างยิ่งคือความสามารถในการโจมตีจากระยะไกลโดยไม่ต้องมี authentication ใดๆ ทำให้แฮกเกอร์สามารถเข้าควบคุมเครือข่ายองค์กรได้โดยง่าย Cisco Identity Services Engine เป็นแพลตฟอร์มที่องค์กรขนาดใหญ่ใช้ควบคุมการเข้าถึงเครือข่ายและบังคับใช้นโยบายความปลอดภัย การถูกเจาะระบบนี้อาจส่งผลกระทบรุนแรงต่อความปลอดภัยขององค์กรทั้งหมด
การแก้ไขที่ต้องทำทันที:
- ผู้ใช้ ISE 3.3 ต้องอัปเกรดเป็น Patch 7
- ผู้ใช้ ISE 3.4 ต้องอัปเกรดเป็น Patch 2
- ผู้ใช้ ISE 3.2 หรือเก่ากว่าไม่ได้รับผลกระทบ
Cisco ยืนยันชัดเจนว่าไม่มีวิธีแก้ปัญหาชั่วคราว (workarounds) สำหรับช่องโหว่ทั้งสามนี้ การติดตั้งอัปเดตเป็นทางเลือกเดียวในการป้องกันการโจมตี ผู้ดูแลระบบจึงไม่ควรรอช้าและต้องวางแผนอัปเดตโดยด่วน โดยเฉพาะอย่างยิ่งเมื่อมีการยืนยันว่ามีการโจมตีเกิดขึ้นจริงแล้วในขณะนี้
