ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยไซเบอร์ใน Cisco Secure Workload ซึ่งอาจเปิดโอกาสให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถเข้าถึงทรัพยากรภายในระบบด้วยสิทธิ์ระดับ Site Admin ได้ ผู้ดูแลระบบควรเร่งตรวจสอบและดำเนินการอัปเดตระบบโดยเร็วที่สุด
1. รายละเอียดของช่องโหว่
Cisco ได้เผยแพร่ประกาศแจ้งเตือนด้านความมั่นคงปลอดภัยเกี่ยวกับช่องโหว่ในผลิตภัณฑ์ Cisco Secure Workload [1] หมายเลข CVE-2026-20223 (CVSS v3.1: 10.0) [2] ที่เกิดจากการตรวจสอบสิทธิ์และการยืนยันตัวตนของ internal REST API endpoints ไม่เพียงพอ ส่งผลให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน (Unauthenticated Attacker) สามารถส่ง crafted API requests ไปยัง endpoint ที่ได้รับผลกระทบ และเข้าถึงทรัพยากรของระบบด้วยสิทธิ์ระดับ Site Admin ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ แก้ไขการตั้งค่าระบบ เข้าถึงข้อมูลข้าม tenant boundaries หรือใช้ระบบเป็นจุดเริ่มต้นสำหรับการโจมตีเพิ่มเติมภายในหน่วยงานได้ ทั้งนี้ Cisco ระบุว่ายังไม่พบการโจมตีจริง (active exploitation) ของช่องโหว่นี้ในขณะที่เผยแพร่ประกาศแจ้งเตือน
2. ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ
ช่องโหว่นี้ส่งผลกระทบต่อ Cisco Secure Workload ทั้งในรูปแบบ SaaS และ On-Premises โดยเวอร์ชัน 3.9 และก่อนหน้า, เวอร์ชัน 3.10 ก่อน 3.10.8.3 และเวอร์ชัน 4.0 ก่อน 4.0.3.17 ได้รับผลกระทบจากช่องโหว่ดังกล่าว ทั้งนี้ Cisco Secure Workload แบบ SaaS ได้รับการแก้ไขจากผู้ผลิตเรียบร้อยแล้ว
3. แนวทางการแก้ไข
Cisco ระบุว่าไม่มี workaround สำหรับการลดผลกระทบของช่องโหว่นี้ และแนะนำให้อัปเดตระบบไปยังเวอร์ชันที่ได้รับการแก้ไขโดยเร็วที่สุด โดยเวอร์ชันที่ได้รับการแก้ไขแล้ว ได้แก่ Cisco Secure Workload เวอร์ชัน 3.10.8.3 และ 4.0.3.17 นอกจากนี้ ผู้ดูแลระบบควรดำเนินการเพิ่มเติมดังนี้
3.1 ตรวจสอบ API access logs และ audit logs เพื่อค้นหาพฤติกรรมผิดปกติ
3.2 ตรวจสอบบัญชีผู้ใช้งานและสิทธิ์ระดับ Site Admin ว่ามีการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตหรือไม่
3.3 ทบทวน firewall rules และ network segmentation เพื่อจำกัดการเข้าถึงระบบจากภายนอก
3.4 หากพบพฤติกรรมต้องสงสัย ควร isolate ระบบออกจากเครือข่าย และดำเนินการตรวจสอบเชิงลึก (forensic analysis) ทันที
4. คำแนะนำด้านความมั่นคงปลอดภัยเพิ่มเติม
4.1 อัปเดตซอฟต์แวร์และแพ็กเกจด้านความมั่นคงปลอดภัยให้เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ
4.2 เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับบัญชีผู้ดูแลระบบ
4.3 จำกัดการเข้าถึง API และ management interface จากเครือข่ายที่เชื่อถือได้เท่านั้น
4.4 เฝ้าระวังเหตุการณ์ด้านความมั่นคงปลอดภัยผ่านระบบ SIEM หรือระบบตรวจสอบ log อย่างต่อเนื่อง
4.5 สำรองข้อมูล configuration และทดสอบกระบวนการกู้คืนระบบอย่างสม่ำเสมอ
แหล่งอ้างอิง