Cisco เตือนภัยช่องโหว่ร้ายแรงสูงสุดของ ISE เปิดช่องให้แฮกเกอร์คุมระบบโดยไม่ต้องล็อกอิน

Cisco ออกประกาศแจ้งเตือนความเสี่ยงด้านความปลอดภัยครั้งสำคัญเมื่อวันที่ 17 กรกฎาคม 2568 หลังตรวจพบช่องโหว่ร้ายแรงในซอฟต์แวร์ Cisco Identity Services Engine (ISE) และ ISE Passive Identity Connector (ISE-PIC) ซึ่งเป็นซอฟต์แวร์ที่ใช้สำหรับจัดการการเข้าถึงเครือข่ายขององค์กร ที่สามารถเปิดทางให้แฮกเกอร์เข้าถึงจากระยะไกลรันคำสั่งบนระบบได้ด้วยสิทธิ์ระดับ root โดยไม่ต้องผ่านกระบวนการพิสูจน์ตัวตนใดๆ ส่งผลให้ช่องโหว่นี้ได้รับคะแนนความรุนแรงระดับสูงสุด 10 เต็ม 10 ตามมาตรฐาน CVSS

ช่องโหว่ CVE-2025-20337 โดยมีต้นตอมาจากข้อบกพร่องในการตรวจสอบข้อมูลอินพุตใน API ของซอฟต์แวร์ ISE เปิดโอกาสให้แฮกเกอร์สามารถสร้างคำขอ API แบบพิเศษ (crafted API request) ที่ใช้เจาะผ่านระบบ และรันโค้ดที่ออกแบบเองบนอุปกรณ์เป้าหมายได้ในระดับผู้ดูแลระบบขั้นสูงสุด นั่นหมายความว่าผู้โจมตีสามารถเข้าควบคุมระบบทั้งหมดโดยไม่ต้องมีบัญชีผู้ใช้หรือรหัสผ่านแม้แต่น้อย

ซึ่งหากตกอยู่ในมือแฮกเกอร์ เท่ากับว่าแฮกเกอร์สามารถ ควบคุมว่าใครจะเข้า หรือไม่เข้าเครือข่ายได้ แถมยังมีสิทธิ์เต็มในการเข้าถึงข้อมูลภายใน ซึ่งอาจนำไปสู่การโจมตีขั้นร้ายแรง เช่น Ransomware, APT เป็นต้น

ผู้ค้นพบช่องโหว่นี้คือ Kentaro Kawane นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท GMO Cybersecurity ประเทศญี่ปุ่น ซึ่งรายงานผ่านโครงการ Zero Day Initiative ของ Trend Micro ทั้งนี้เขาเคยค้นพบช่องโหว่สำคัญในผลิตภัณฑ์ของ Cisco และ Fortinet มาแล้วหลายครั้ง จึงนับว่าเป็นผู้เชี่ยวชาญที่มีประวัติผลงานด้านความปลอดภัยระดับแนวหน้า

รีบอัปเดด่วน!!

ช่องโหว่นี้ส่งผลกระทบกับ ISE และ ISE-PIC เวอร์ชัน 3.3 และ 3.4 โดยไม่ขึ้นกับการตั้งค่าระบบ ส่วนเวอร์ชันก่อนหน้านั้น เช่น 3.2 หรือต่ำกว่า ไม่ได้รับผลกระทบ อย่างไรก็ดี Cisco แนะนำให้องค์กรที่ยังใช้งานเวอร์ชัน 3.3 หรือ 3.4 ให้รีบดำเนินการอัปเดตเป็น ISE 3.3 Patch 7 หรือ ISE 3.4 Patch 2 โดยด่วน ซึ่งเป็นเวอร์ชันที่ได้รับการแก้ไขช่องโหว่นี้อย่างสมบูรณ์แล้ว

แม้ในขณะนี้ Cisco ยังไม่ตรวจพบว่าช่องโหว่นี้ถูกใช้งานโจมตีจริง แต่ด้วยระดับความรุนแรงที่สูงและช่องทางเข้าถึงที่ไม่ต้องยืนยันตัวตน ทำให้มีความเป็นไปได้สูงที่แฮกเกอร์หรือกลุ่มภัยคุกคามจะพัฒนาเครื่องมือโจมตีอัตโนมัติตามออกมาในเวลาอันใกล้ โดยเฉพาะเมื่อมีการเผยแพร่ตัวอย่างการโจมตี (Proof of Concept) ต่อสาธารณะในอนาคต

สำหรับองค์กรหรือหน่วยงานที่ใช้โซลูชันของ Cisco ในด้านการบริหารจัดการการระบุตัวตนในเครือข่าย ควรเร่งตรวจสอบระบบทั้งหมดว่าเข้าข่ายกลุ่มที่ได้รับผลกระทบหรือไม่ หากพบว่าใช้เวอร์ชัน 3.3 หรือ 3.4 ควรดำเนินการอัปเดตทันที พร้อมทั้งตรวจสอบ log และพฤติกรรมของระบบ API ภายในองค์กรเพื่อหาสัญญาณการพยายามเข้าถึงที่ผิดปกติ

ที่มา