ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงาน Cisco ได้ออกแพตช์อัปเดตด้านความมั่นคงปลอดภัยเพื่อแก้ไขช่องโหว่ใน Cisco Identity Services Engine (ISE) และ Cisco ISE Passive Identity Connector (ISE-PIC) จำนวน 2 รายการ ซึ่งเป็นช่องโหว่ระดับ Critical ที่อาจทำให้ผู้โจมตีที่มีบัญชีผู้ดูแลระบบสามารถส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษเพื่อรันคำสั่งบนระบบปฏิบัติการของอุปกรณ์ที่ได้รับผลกระทบ และอาจยกระดับสิทธิ์เป็น root ได้ และอาจทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถเข้าถึงข้อมูลสำคัญ เช่น hashed credentials ที่อาจถูกนำไปใช้ในการโจมตีต่อเนื่องได้ ผู้ดูแลระบบที่ใช้งาน Cisco ISE หรือ Cisco ISE-PIC ควรตรวจสอบเวอร์ชันและดำเนินการอัปเดตแพตช์โดยเร็ว [1]
1. รายละเอียดช่องโหว่ [2]
1.1 CVE-2026-20181 (CVSS v3.1: 9.1) [3] เป็นช่องโหว่ประเภท Remote Code Execution / Command Execution ใน Cisco ISE และ Cisco ISE-PIC โดยเกิดจากการตรวจสอบข้อมูลที่ผู้ใช้ส่งเข้ามาไม่เพียงพอ ทำให้ผู้โจมตีที่มีบัญชีผู้ดูแลระบบสามารถส่ง crafted HTTP request ไปยังอุปกรณ์ที่ได้รับผลกระทบ หากโจมตีสำเร็จ ผู้โจมตีอาจได้รับสิทธิ์ระดับผู้ใช้บน underlying operating system และสามารถยกระดับสิทธิ์เป็น root ได้ โดยในกรณีระบบติดตั้งแบบ single-node หากโจมตีสำเร็จ อาจทำให้ Cisco ISE node ไม่สามารถให้บริการได้ ส่งผลให้เกิดภาวะ Denial of Service (DoS) และ endpoint ที่ยังไม่ได้ผ่านการยืนยันตัวตนอาจไม่สามารถเข้าถึงเครือข่ายได้จนกว่าจะกู้คืน node ดังกล่าว
1.2 CVE-2026-20190 (CVSS v3.1: 7.5) [4] เป็นช่องโหว่ประเภท Information Disclosure ใน Cisco ISE และ Cisco ISE-PIC โดยเกิดจากการตรวจสอบสิทธิ์ในการเข้าถึง resource ไม่เหมาะสม ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถส่ง crafted traffic ไปยังอุปกรณ์ที่ได้รับผลกระทบ เพื่อเข้าถึงข้อมูลสำคัญ เช่น hashed credentials ซึ่งอาจถูกนำไปใช้ในการโจมตีขั้นต่อไป
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ [5]
2.1 Cisco Identity Services Engine (ISE)
2.2 Cisco ISE Passive Identity Connector (ISE-PIC)
2.3 Cisco ระบุว่าช่องโหว่นี้ส่งผลกระทบต่อ Cisco ISE และ Cisco ISE-PIC โดยไม่ขึ้นอยู่กับการตั้งค่า configuration ของอุปกรณ์
3. เวอร์ชันที่ควรดำเนินการแก้ไข [6]
3.1 Cisco ISE หรือ ISE-PIC เวอร์ชันก่อนหน้า 3.3
– สำหรับ CVE-2026-20181 ให้ migrate ไปยัง fixed release ที่ Cisco รองรับ
– สำหรับ CVE-2026-20190 ระบุว่าไม่กระทบ
3.2 Cisco ISE หรือ ISE-PIC Release 3.3
– สำหรับ CVE-2026-20181 ให้อัปเดตเป็น 3.3 Patch 11
– สำหรับ CVE-2026-20190 ระบุว่าไม่กระทบ
3.3 Cisco ISE หรือ ISE-PIC Release 3.4
– สำหรับ CVE-2026-20181 ให้อัปเดตเป็น 3.4 Patch 6
– สำหรับ CVE-2026-20190 ให้อัปเดตเป็น 3.4 Patch 6
3.4 Cisco ISE Release 3.5
– สำหรับ CVE-2026-20181 ให้อัปเดตเป็น 3.5 Patch 4
– สำหรับ CVE-2026-20190 ให้อัปเดตเป็น 3.5 Patch 3
หมายเหตุ: Cisco ISE-PIC สิ้นสุดการจำหน่ายแล้ว โดย Release 3.4 เป็นเวอร์ชันสุดท้ายที่ยังรองรับ
4. แนวทางการแก้ไขและลดความเสี่ยง [5][6]
4.1 ผู้ดูแลระบบควรตรวจสอบเวอร์ชันของ Cisco ISE และ Cisco ISE-PIC ที่ใช้งานอยู่ และดำเนินการอัปเดตตามคำแนะนำของ Cisco โดยเร็ว
4.2 Cisco ระบุว่าไม่มี workaround สำหรับช่องโหว่ ดังนั้นการอัปเดตแพตช์หรือการขอ hot patch จาก Cisco TAC เป็นแนวทางหลักในการแก้ไขความเสี่ยง
4.3 สำหรับหน่วยงานที่ใช้งาน Cisco ISE Release 3.5 และยังไม่สามารถรอ 3.5 Patch 4 ได้ ควรติดต่อ Cisco TAC เพื่อขอ hot patch ตามเงื่อนไขที่ Cisco กำหนด
4.4 จำกัดการเข้าถึง management interface ของ Cisco ISE ให้อยู่เฉพาะเครือข่ายภายใน, VPN, jump host หรือ IP address ที่ได้รับอนุญาตเท่านั้น
4.5 ตรวจสอบบัญชีผู้ดูแลระบบบน Cisco ISE ว่ามีบัญชีผิดปกติ บัญชีที่ไม่ได้ใช้งาน หรือบัญชีที่มีสิทธิ์สูงเกินความจำเป็นหรือไม่ พร้อมดำเนินการปรับลดสิทธิ์ตามหลัก least privilege
4.6 ตรวจสอบ log การเข้าถึงระบบ, administrative activity, HTTP request ผิดปกติ และเหตุการณ์ที่เกี่ยวข้องกับการเปลี่ยนแปลง configuration หรือการเข้าถึง resource ที่ไม่สอดคล้องกับพฤติกรรมปกติ
4.7 ดำเนินการเปลี่ยนรหัสผ่านหรือ rotate credentials ของบัญชีผู้ดูแลระบบและบัญชีที่เกี่ยวข้อง โดยเฉพาะในกรณีที่สงสัยว่ามีการเข้าถึงข้อมูล hashed credentials หรือพบพฤติกรรมผิดปกติ
4.8 สำรองข้อมูล configuration และข้อมูลสำคัญก่อนดำเนินการอัปเดต พร้อมจัดเตรียมแผน rollback เพื่อลดผลกระทบต่อการให้บริการ
4.9 หลังอัปเดตแพตช์แล้ว ควรตรวจสอบซ้ำว่าระบบไม่มีบัญชีผู้ใช้ผิดปกติ configuration change ที่ไม่ได้รับอนุญาต หรือพฤติกรรมที่บ่งชี้การเข้าถึงระบบโดยไม่ได้รับอนุญาต
แหล่งอ้างอิง
[1] https://dg.th/q7rhu9x3ij
[2] https://dg.th/l76zbreqmt
[3] https://dg.th/y9w3d4upnh
[4] https://dg.th/fwxa5o31ys
[5] https://dg.th/8412bhgjwk
[6] https://dg.th/xewq1y52dl