ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยในผลิตภัณฑ์ Cisco Secure Firewall ที่มีการเผยแพร่ประกาศ Cisco Event Response (ERP-75736) จึงขอให้ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ดังกล่าวตรวจสอบเวอร์ชันของระบบ และดำเนินการอัปเดตแพตช์ด้านความปลอดภัยตามคำแนะนำของผู้ผลิตโดยเร็ว เพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่ดังกล่าว
1. ภาพรวมของเนื้อหา
บริษัท Cisco ได้เผยแพร่ประกาศด้านความปลอดภัย (Cisco Event Response: ERP-75736) เกี่ยวกับช่องโหว่หลายรายการในผลิตภัณฑ์กลุ่ม Cisco Secure Firewall ซึ่งรวมถึง Cisco Secure Firewall Management Center (FMC), Cisco Secure Firewall ASA และ Cisco Secure Firewall Threat Defense (FTD) ประกาศดังกล่าวครอบคลุม Security Advisory มากกว่า 20 รายการ รวมช่องโหว่ประมาณ 48 รายการ โดยมีบางช่องโหว่ที่มีระดับความรุนแรง Critical (CVSS 10.0) ซึ่งอาจทำให้ผู้โจมตีสามารถข้ามการยืนยันตัวตนหรือรันโค้ดบนอุปกรณ์ได้ ส่งผลให้สามารถควบคุมระบบ firewall หรือโครงสร้างเครือข่ายขององค์กรได้
2. ตัวอย่างช่องโหว่ที่สำคัญ
2.1 ช่องโหว่ Authentication Bypass Vulnerability ใน Cisco Secure Firewall Management Center (FMC) หมายเลขช่องโหว่ CVE-2026-20079 (คะแนน CVSSv3.1: 10.0) เกิดจากกระบวนการของระบบที่ถูกสร้างขึ้นอย่างไม่ถูกต้องระหว่างการบูตเครื่อง ทำให้ผู้โจมตีที่ไม่ต้องมีการยืนยันตัวตนสามารถส่ง crafted HTTP requests ไปยังระบบเพื่อข้ามขั้นตอนการยืนยันตัวตน (authentication bypass) ได้ ส่งผลให้สามารถเข้าถึงระบบโดยไม่ต้องล็อกอิน รันสคริปต์หรือคำสั่งบนอุปกรณ์ และอาจยกระดับสิทธิ์จนได้รับสิทธิ์ระดับ root บนระบบปฏิบัติการของอุปกรณ์ได้
2.2 ช่องโหว่ Remote Code Execution (RCE) ใน Cisco Secure Firewall Management Center (FMC) หมายเลขช่องโหว่ CVE-2026-20131 (คะแนน CVSSv3.1: 10.0) เกิดจากการจัดการข้อมูลแบบ insecure deserialization ของ Java objects ภายใน web-based management interface ของระบบ ทำให้ผู้โจมตีสามารถส่ง serialized Java objects ที่ถูกสร้างขึ้นเป็นพิเศษ (crafted objects) ไปยังระบบเพื่อประมวลผลได้ ส่งผลให้สามารถรันโค้ดอันตรายบนอุปกรณ์จากระยะไกล (Remote Code Execution) ด้วยสิทธิ์ระดับ root และอาจถูกใช้เป็นจุดเริ่มต้นในการโจมตีหรือเคลื่อนย้ายภายในเครือข่าย (lateral movement)
3. ผลิตภัณฑ์ที่ได้รับผลกระทบ
3.1 Cisco Secure Firewall Management Center (FMC)
3.2 Cisco Secure Firewall Threat Defense (FTD)
3.3 Cisco Secure Firewall Adaptive Security Appliance (ASA)
4. แนวทางการแก้ไข
4.1 อัปเดตซอฟต์แวร์เวอร์ชันแก้ไขล่าสุด (Fixed Release) ตามประกาศของ Cisco
4.2 ตรวจสอบว่า Management Interface ของ FMC ไม่ถูกเปิดเผยต่ออินเทอร์เน็ตโดยตรง
4.3 ตรวจสอบ logs และ system activity เพื่อค้นหาพฤติกรรมที่ผิดปกติ
5. คำแนะนำด้านความปลอดภัยเพิ่มเติม
5.1 จำกัดการเข้าถึง FMC Management Interface เฉพาะเครือข่ายที่เชื่อถือได้
5.2 ใช้ Network Segmentation แยกระบบบริหารจัดการออกจาก production network
5.3 เปิดใช้ Multi-Factor Authentication (MFA) สำหรับระบบบริหารจัดการ
5.4 ตรวจสอบ Firewall และ IPS logs เพื่อค้นหาความพยายามโจมตี
5.5 อัปเดต Firmware / Software security patches อย่างสม่ำเสมอ
5.6 ใช้ระบบ Vulnerability Scanning และ Security Monitoring เพื่อตรวจจับความเสี่ยง
6. แหล่งอ้างอิง