Cisco เตือนซ้ำ ช่องโหว่ร้ายแรง ISE จะรุนแรงขึ้น หลังมีสคริปต์เจาะระบบออกมาแล้ว

หลังจากมีการประกาศเตือนไปแล้ว 2 ครั้ง ล่าสุด Cisco ได้ออกมาเตือนเป็นครั้งที่สาม เกี่ยวกับช่องโหว่ระดับวิกฤตของ Cisco Identity Services Engine (ISE) และ ISE-PIC ซึ่งอาจเปิดช่องให้แฮกเกอร์ควบคุมระบบแบบ root ได้จากระยะไกล โดยไม่ต้องผ่านการยืนยันตัวตน และมีคะแนนความรุนแรงระดับสูงสุด หลังจากมีการเผยแพร่โค้ดต้นแบบ (Proof-of-Concept: PoC) ซึ่งอาจถูกใช้เป็นอาวุธไซเบอร์ในวงกว้างได้ทุกเมื่อ

ช่องโหว่นี้มีหมายเลขอ้างอิงคือ CVE-2025-20281 และ CVE-2025-20282 ซึ่งเปิดทางให้ผู้ไม่หวังดีสามารถรันคำสั่งบนระบบเป้าหมายได้ในระดับ root โดยไม่ต้องผ่านการยืนยันตัวตน ช่องโหว่นี้พบในผลิตภัณฑ์ Cisco ISE เวอร์ชัน 3.3 และ 3.4 โดยทาง Cisco ได้ออกแพตช์อัปเดตตั้งแต่เดือนมิถุนายนที่ผ่านมา อย่างไรก็ตาม จนถึงขณะนี้ ยังมีองค์กรจำนวนมากที่ยังไม่ได้ติดตั้งแพตช์ ทำให้กลายเป็นเป้าหมายที่อันตรายต่อการเจาะระบบ

สิ่งที่ทำให้สถานการณ์รุนแรงขึ้น คือการที่นักวิจัยด้านความปลอดภัยได้เผยแพร่ PoC สาธิตการโจมตีช่องโหว่นี้ลงใน GitHub เมื่อปลายเดือนกรกฎาคม โดย PoC ดังกล่าวแม้จะยังไม่ใช่สคริปต์ที่พร้อมใช้งานทันที แต่ก็เพียงพอให้ผู้ที่มีความรู้สามารถนำไปปรับใช้ให้เป็นเครื่องมือโจมตีที่สมบูรณ์ได้ภายในเวลาอันสั้น นั่นหมายความว่าผู้โจมตีที่มีเจตนาร้ายไม่จำเป็นต้องสร้างโค้ดจากศูนย์อีกต่อไป และสามารถนำเทมเพลตที่มีอยู่ไปปรับแต่งให้ใช้กับเป้าหมายที่ต้องการได้ทันที

ในขณะเดียวกัน หน่วยงานด้านความมั่นคงไซเบอร์ของสหรัฐอเมริกาอย่าง CISA (Cybersecurity and Infrastructure Security Agency) ได้ประกาศเตือนอย่างเป็นทางการในวันเดียวกัน โดยออกเอกสารแจ้งเตือนถึงช่องโหว่ใน Cisco ISE พร้อมระบุว่าพบการใช้งานช่องโหว่นี้จริงแล้วในภาคสนาม ซึ่งหมายความว่าภัยคุกคามนี้ไม่ได้เป็นแค่ทฤษฎีอีกต่อไป แต่กำลังเกิดขึ้นจริงในระบบขององค์กรต่าง ๆ ทั่วโลก

CISA ได้เพิ่มช่องโหว่ CVE-2025-20281 เข้าไปอยู่ในบัญชี Known Exploited Vulnerabilities (KEV) ซึ่งเป็นรายชื่อช่องโหว่ที่กำลังถูกใช้โจมตีจริง และมีคำสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกา (Federal Civilian Executive Branch – FCEB) ทุกแห่งต้องอุดช่องโหว่นี้โดยด่วน ภายในวันที่ 16 สิงหาคม 2025 นอกจากนี้ CISA ยังเรียกร้องให้ภาคเอกชนและองค์กรในประเทศอื่นเร่งอัปเดตเช่นเดียวกัน โดยเฉพาะกลุ่มที่ใช้ Cisco ISE เป็นระบบควบคุมการยืนยันตัวตนหรือบริหารจัดการสิทธิ์ผู้ใช้งานในเครือข่าย

Cisco ยืนยันว่า ไม่มีวิธีป้องกันชั่วคราวสำหรับช่องโหว่นี้ และการอัปเดตแพตช์คือทางเลือกเดียวที่ปลอดภัยที่สุด ผู้ดูแลระบบควรดำเนินการอัปเดตโดยไม่รอช้า และตรวจสอบว่าเซิร์ฟเวอร์ที่ใช้ ISE ได้ติดตั้งแพตช์เวอร์ชันล่าสุดแล้วหรือยัง สำหรับ ISE 3.3 ต้องติดตั้ง Patch 7 และสำหรับ ISE 3.4 ต้องติดตั้ง Patch 2 โดยด่วน นอกจากนี้ควรเฝ้าระวัง log ความผิดปกติ ตรวจสอบการเข้าถึง API ที่ไม่ได้รับอนุญาต และประเมินความเสียหายหรือช่องทางที่อาจถูกเจาะผ่านระบบที่เกี่ยวข้อง

จากการที่โค้ดต้นแบบถูกเผยแพร่ออกสู่สาธารณะ และมีหลักฐานว่ามีการโจมตีเกิดขึ้นจริงในองค์กรบางแห่ง ทำให้ภัยคุกคามนี้ยกระดับสู่สถานการณ์เร่งด่วน องค์กรใดที่ยังไม่อัปเดตระบบถือว่ากำลังอยู่ในความเสี่ยงที่จะตกเป็นเหยื่อของการโจมตีที่อาจรุนแรงถึงขั้นยึดครองระบบเครือข่ายได้ทั้งหมด
ที่มา