Cisco ปล่อยแพตช์แก้ช่องโหว่ Zero-day Critical บน Unified Communications ที่ถูกโจมตีจริงแล้ว

Cisco ปล่อยแพตช์แก้ไขช่องโหว่ Remote Code Execution (RCE) ระดับ Critical บนผลิตภัณฑ์ Unified Communications และ Webex Calling ซึ่งพบว่าถูกใช้โจมตีจริงแล้วในฐานะ Zero-day

ช่องโหว่ดังกล่าวมีรหัส CVE-2026-20045 ได้คะแนน CVSS 8.2 แต่ Cisco จัดระดับความรุนแรงเป็น Critical เนื่องจากการโจมตีสำเร็จจะทำให้ผู้โจมตียกระดับสิทธิ์ถึง Root ได้ ช่องโหว่นี้ส่งผลกระทบต่อ Cisco Unified Communications Manager (Unified CM), Unified CM Session Management Edition (SME), Unified CM IM & Presence, Cisco Unity Connection และ Webex Calling Dedicated Instance ปัญหาเกิดจากการตรวจสอบ Input จากผู้ใช้งานใน HTTP Request ไม่รัดกุม ทำให้ผู้โจมตีสามารถส่ง HTTP Request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยัง Web-based Management Interface เพื่อเข้าถึงระบบปฏิบัติการในระดับ User แล้วยกระดับสิทธิ์เป็น Root ได้

ทีม Product Security Incident Response Team (PSIRT) ของ Cisco ยืนยันว่าพบความพยายามโจมตีช่องโหว่นี้จริงแล้ว และไม่มี Workaround ใดที่สามารถบรรเทาผลกระทบได้นอกจากการติดตั้งแพตช์ สำหรับ Unified CM, Unified CM IM&P, Unified CM SME และ Webex Calling Dedicated Instance เวอร์ชัน 12.5 ต้องย้ายไปใช้เวอร์ชันที่รองรับ ส่วนเวอร์ชัน 14 สามารถอัปเดตเป็น 14SU5 หรือติดตั้ง Patch File ได้ และเวอร์ชัน 15 สามารถรอ 15SU4 ในเดือนมีนาคม 2026 หรือติดตั้ง Patch File ได้เช่นกัน ด้าน Unity Connection ก็มีแพตช์ในลักษณะเดียวกัน

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐฯ ได้เพิ่ม CVE-2026-20045 เข้าสู่ Known Exploited Vulnerabilities (KEV) Catalog และกำหนดให้หน่วยงานรัฐบาลกลางต้องติดตั้งแพตช์ภายในวันที่ 11 กุมภาพันธ์ 2026 ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ดังกล่าวควรอัปเดตโดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-fixes-unified-communications-rce-zero-day-exploited-in-attacks/