ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนผู้ใช้งาน หน่วยงาน และองค์กรที่มีการใช้งาน Cisco Unified Communications Manager (Unified CM) และ Cisco Unified Communications Manager Session Management Edition (Unified CM SME) ให้เร่งตรวจสอบเวอร์ชันซอฟต์แวร์และสถานะการเปิดใช้งานบริการที่เกี่ยวข้อง
ทั้งนี้ ช่องโหว่นี้มีผลกระทบเฉพาะระบบที่เปิดใช้งานบริการ WebDialer โดยบริการดังกล่าวถูกปิดใช้งานเป็นค่าเริ่มต้น อย่างไรก็ตาม หากหน่วยงานมีการเปิดใช้งานบริการดังกล่าวอยู่ ควรเร่งตรวจสอบและดำเนินการอัปเดตตามคำแนะนำของผู้ผลิตโดยเร็ว เนื่องจากมีรายงานว่ามีโค้ดตัวอย่างสำหรับใช้ทดสอบการโจมตีเผยแพร่ต่อสาธารณะแล้ว แม้ในขณะนี้ยังไม่มีรายงานยืนยันว่าช่องโหว่นี้ถูกนำไปใช้โจมตีจริงในวงกว้าง [1]
1.รายละเอียดช่องโหว่ที่สำคัญ
Cisco Unified Communications Manager เป็นระบบที่ใช้สำหรับบริหารจัดการระบบโทรศัพท์ไอพี การกำหนดเส้นทางการโทร การจัดการอุปกรณ์สื่อสาร และบริการด้านการสื่อสารภายในองค์กร หากระบบดังกล่าวถูกโจมตีสำเร็จ อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสื่อสารภายในองค์กร รวมถึงอาจถูกใช้เป็นจุดเริ่มต้นในการขยายผลไปยังระบบอื่นที่เชื่อมต่ออยู่ในเครือข่าย โดยรายละเอียดช่องโหว่มีดังนี้
– CVE-2026-20230 (CVSS v3.1 เท่ากับ 8.6): เป็นช่องโหว่ประเภท Server-Side Request Forgery (SSRF) ใน Cisco Unified CM และ Cisco Unified CM SME เกิดจากการตรวจสอบข้อมูลใน HTTP request บางประเภทไม่เหมาะสม ทำให้ผู้ไม่หวังดีที่ไม่ต้องยืนยันตัวตนสามารถส่งคำขอที่ถูกสร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ที่ได้รับผลกระทบได้ หากโจมตีสำเร็จ ผู้ไม่หวังดีอาจทำให้อุปกรณ์ส่งคำขอไปยังตำแหน่งที่ไม่พึงประสงค์ หรือเขียนไฟล์ลงในระบบปฏิบัติการของอุปกรณ์ ซึ่งอาจถูกนำไปใช้ต่อในการยกระดับสิทธิ์เป็น root ได้ [2]
2.ผลกระทบที่อาจเกิดขึ้น
หากหน่วยงานมีการใช้งาน Cisco Unified CM หรือ Cisco Unified CM SME ที่ได้รับผลกระทบ และเปิดใช้งานบริการ WebDialer อาจเกิดผลกระทบดังนี้
2.1 ผู้ไม่หวังดีอาจโจมตีระบบได้ โดยไม่ต้องมีบัญชีผู้ใช้งาน
2.2 อาจทำให้ระบบส่งคำขอไปยังปลายทางภายในหรือปลายทางที่ไม่พึงประสงค์ผ่านช่องโหว่ SSRF
2.3 อาจมีการเขียนไฟล์ลงในระบบปฏิบัติการของอุปกรณ์โดยไม่ได้รับอนุญาต
2.4 อาจถูกนำไปใช้ต่อเพื่อยกระดับสิทธิ์เป็น root
2.5 อาจกระทบต่อระบบโทรศัพท์ไอพี ระบบสื่อสารภายใน และบริการที่พึ่งพา Cisco Unified CM
2.6 อาจถูกใช้เป็นจุดเริ่มต้นในการโจมตีระบบอื่นภายในเครือข่าย
2.7 อาจเพิ่มความเสี่ยงต่อระบบสำคัญขององค์กร หากระบบสื่อสารดังกล่าวเชื่อมต่อกับเครือข่ายภายในหรือระบบบริหารจัดการอื่น
2.8 การมีโค้ดตัวอย่างเผยแพร่สู่สาธารณะอาจเพิ่มโอกาสที่ผู้ไม่หวังดีจะนำช่องโหว่นี้ไปใช้ทดสอบหรือโจมตีระบบที่ยังไม่ได้อัปเดต
3.ผลิตภัณฑ์ที่ได้รับผลกระทบ
3.1 Cisco Unified Communications Manager Release 14 เวอร์ชันก่อนหน้า 14SU6
3.2 Cisco Unified Communications Manager Release 15 เวอร์ชันก่อนหน้า 15SU5 หรือเวอร์ชันที่ยังไม่ได้ติดตั้ง COP patch ที่เกี่ยวข้อง
3.3 Cisco Unified Communications Manager Session Management Edition Release 14 เวอร์ชันก่อนหน้า 14SU6
3.4 Cisco Unified Communications Manager Session Management Edition Release 15 เวอร์ชันก่อนหน้า 15SU5 หรือเวอร์ชันที่ยังไม่ได้ติดตั้ง COP patch ที่เกี่ยวข้อง
4.คำแนะนำในการตรวจสอบและป้องกัน [3][4]
ThaiCERT ขอแนะนำให้ผู้ใช้งาน หน่วยงาน และองค์กรที่มีการใช้งาน Cisco Unified CM หรือ Cisco Unified CM SME ดำเนินการดังนี้
4.1 ตรวจสอบเวอร์ชันซอฟต์แวร์ของระบบ หากเป็นเวอร์ชันที่ได้รับผลกระทบ ควรวางแผนอัปเดตเป็นเวอร์ชันที่ Cisco แนะนำโดยเร็ว
4.2 สำหรับ Cisco Unified CM และ Unified CM SME Release 14 ควรอัปเดตเป็นเวอร์ชัน 14SU6 หรือใหม่กว่า
4.3 สำหรับ Cisco Unified CM และ Unified CM SME Release 15 ควรอัปเดตเป็นเวอร์ชัน 15SU5 เมื่อพร้อมใช้งาน หรือดำเนินการติดตั้ง COP patch ตามคำแนะนำของ Cisco
4.4 ตรวจสอบว่าสภาพแวดล้อมของหน่วยงานมีการเปิดใช้งาน WebDialer service หรือไม่ หากไม่มีความจำเป็นในการใช้งาน ควรพิจารณาปิดใช้งานบริการดังกล่าวเพื่อลดความเสี่ยง
4.5 จำกัดการเข้าถึงหน้าเว็บบริหารจัดการ Cisco Unified CM ให้เข้าถึงได้เฉพาะผู้ดูแลระบบหรือเครือข่ายที่ได้รับอนุญาตเท่านั้น
4.6 ตรวจสอบ firewall, proxy, DNS, SIEM และระบบเฝ้าระวังอื่น ๆ เพื่อค้นหาการเชื่อมต่อหรือ HTTP request ที่ผิดปกติไปยังระบบ Cisco Unified CM
4.7 ตรวจสอบ log ของระบบ Cisco Unified CM โดยเฉพาะช่วงเวลาที่มีการเข้าถึงบริการ WebDialer หรือมีพฤติกรรมการใช้งานที่ผิดปกติ
4.8 หากยังไม่สามารถอัปเดตแพตช์ได้ทันที ควรใช้มาตรการลดความเสี่ยงชั่วคราว เช่น จำกัดการเข้าถึงระบบ ปิดบริการที่ไม่จำเป็น และเพิ่มการเฝ้าระวัง log ที่เกี่ยวข้อง
โดยท่านสามารถติดตามวิธีการแก้ไขจาก Cisco โดยตรงได้ที่ https://dg.th/zmu4g126wq
5.แนวทางรับมือเมื่อพบความผิดปกติ
หากหน่วยงานตรวจพบพฤติกรรมผิดปกติที่เกี่ยวข้องกับ Cisco Unified CM หรือ Cisco Unified CM SME เช่น มีการเข้าถึงบริการ WebDialer จากปลายทางที่ไม่คุ้นเคย มี HTTP request ที่ผิดปกติ มีการเปลี่ยนแปลงไฟล์หรือค่าการตั้งค่าโดยไม่ทราบสาเหตุ หรือพบสัญญาณว่าอาจมีการยกระดับสิทธิ์ ควรดำเนินการดังนี้
5.1 แยกระบบที่เกี่ยวข้องออกจากเครือข่ายหรือจำกัดการเชื่อมต่อชั่วคราวตามความเหมาะสม
5.2 เก็บรักษา log และข้อมูลหลักฐานที่เกี่ยวข้อง เช่น access log, system log, network log และข้อมูลการเปลี่ยนแปลงไฟล์
5.3 ตรวจสอบสถานะของ WebDialer service และบริการอื่นที่เกี่ยวข้อง
5.4 ตรวจสอบบัญชีผู้ดูแลระบบและบัญชีที่มีสิทธิ์สูงว่ามีการใช้งานผิดปกติหรือไม่
5.5 ตรวจสอบว่ามีไฟล์ใหม่ ไฟล์ที่ถูกแก้ไข หรือการเปลี่ยนแปลงค่าระบบที่ไม่สอดคล้องกับการดูแลระบบตามปกติหรือไม่
5.6 ตรวจสอบระบบอื่นในเครือข่ายที่อาจได้รับผลกระทบจากการเชื่อมต่อผ่าน Cisco Unified CM
5.7 ดำเนินการอัปเดตแพตช์หรือใช้มาตรการลดความเสี่ยงตามคำแนะนำของ Cisco
5.8 หากพบหลักฐานการบุกรุกหรือมีความเสี่ยงต่อระบบสำคัญ ควรดำเนินการสืบสวนเหตุการณ์ตามกระบวนการ Incident Response ของหน่วยงาน
ThaiCERT ขอให้หน่วยงานที่มีการใช้งาน Cisco Unified CM และ Cisco Unified CM SME เร่งตรวจสอบทรัพย์สินสารสนเทศของหน่วยงาน ตรวจสอบสถานะการเปิดใช้งาน WebDialer service และดำเนินการอัปเดตซอฟต์แวร์หรือใช้มาตรการลดความเสี่ยงตามคำแนะนำของผู้ผลิตโดยเร็ว โดยเฉพาะหน่วยงานที่ใช้งานระบบดังกล่าวเป็นระบบสื่อสารหลักขององค์กร หรือเชื่อมต่อกับระบบสำคัญภายในเครือข่าย
แหล่งอ้างอิง