Cisco เตือนภัยระดับสูงสุดของช่องโหว่ร้ายแรงใน ISE เริ่มถูกโจมตีจริง – รีบอัปเดตแพตช์ทันที

หลังจากประกาศเตือนช่องโหว่ระดับวิกฤตของ Cisco Identity Services Engine (ISE) และ ISE-PIC ซึ่งอาจเปิดช่องให้แฮกเกอร์ควบคุมระบบแบบ root ได้จากระยะไกล โดยไม่ต้องผ่านการยืนยันตัวตน และมีคะแนนความรุนแรงระดับสูงสุด 10 เต็ม 10 ตามมาตรฐาน CVSS ล่าสุด Cisco ออกมาประกาศเตือนอีกรอบ หลังมีการตรวจพบการโจมตีเกิดขึ้นจริงแล้วในหลายองค์กร แม้ยังไม่มีรายงานยืนยันความเสียหาย แต่ถือเป็นภัยคุกคามระดับสูงที่ทุกองค์กรควรแก้ไขโดยเร่งด่วน

ช่องโหว่ที่กำลังถูกใช้โจมตี

Cisco ยืนยันว่าช่องโหว่ดังกล่าวเกิดขึ้นกับระบบ Cisco ISE และ ISE-PIC เวอร์ชัน 3.3 และ 3.4 ซึ่งถูกจัดอยู่ในระดับ “ความร้ายแรงสูงสุด” (CVSS 10.0) และมีการพยายามโจมตีจริงแล้วในเดือนกรกฎาคม 2025 ที่ผ่านมา โดยช่องโหว่หลักที่เกี่ยวข้อง ได้แก่:

• CVE-2025-20281 – เปิดช่องให้ผู้โจมตีส่ง API ที่ออกแบบพิเศษเข้าระบบเพื่อรันคำสั่งในระดับ root โดยไม่ต้องยืนยันตัวตน
• CVE-2025-20282 – อนุญาตให้อัปโหลดไฟล์อันตรายเข้าสู่ระบบใน directory พิเศษ แล้วรันคำสั่งโดยสิทธิ์ root
• CVE-2025-20337 – ช่องโหว่ตรวจสอบ input ไม่เพียงพอ ซึ่งอาจทำให้แฮกเกอร์สามารถ inject คำสั่งผ่าน API ได้ในระดับ root เช่นกัน

ช่องโหว่ทั้งสามสามารถใช้โจมตีจากระยะไกลได้ทันที โดยไม่ต้องอาศัยการยืนยันตัวตนใด ๆ หากผู้ไม่หวังดีรู้ IP address หรือ endpoint API ของระบบเป้าหมาย

โดยช่องโหว่นี้ส่งผลกระทบกับ Cisco ISE และ ISE-PIC เวอร์ชัน 3.3 และ 3.4 ที่ยังไม่ได้ติดตั้งแพตช์ล่าสุด ส่วนเวอร์ชันก่อนหน้า 3.2 กลับไม่ได้รับผลกระทบในกรณีนี้

รายงานการโจมตีจริง

Cisco PSIRT (Product Security Incident Response Team) ได้รับรายงานการโจมตีที่เกิดขึ้นในระบบองค์กรจริง โดยเฉพาะในช่องโหว่ CVE-2025-20281 และ CVE-2025-20337 ซึ่งมีการสแกนและยิง API เข้าระบบจริงแล้วในช่วงต้นกรกฎาคม 2025

แม้ Cisco ยังไม่ยืนยันว่ามีองค์กรใดถูกเจาะระบบสำเร็จหรือไม่ แต่ลักษณะการโจมตีที่เกิดขึ้นบ่งชี้ว่า กลุ่มแฮกเกอร์เริ่มสำรวจและใช้ช่องโหว่นี้เพื่อวางโครงสร้างการบุกรุก ซึ่งอาจนำไปสู่การติดตั้ง backdoor หรือควบคุมระบบเครือข่ายได้ในลำดับต่อไป

ช่องโหว่นี้ส่งผลกระทบกับ ISE และ ISE-PIC เวอร์ชัน 3.3 และ 3.4 โดยไม่ขึ้นกับการตั้งค่าระบบ ส่วนเวอร์ชันก่อนหน้านั้น เช่น 3.2 หรือต่ำกว่า ไม่ได้รับผลกระทบ อย่างไรก็ดี Cisco แนะนำให้องค์กรที่ยังใช้งานเวอร์ชัน 3.3 หรือ 3.4 ให้รีบดำเนินการอัปเดตเป็น ISE 3.3 Patch 7 หรือ ISE 3.4 Patch 2 โดยด่วน ซึ่งเป็นเวอร์ชันที่ได้รับการแก้ไขช่องโหว่นี้อย่างสมบูรณ์แล้ว

ที่มา