Cisco เตือนด่วน! ช่องโหว่ร้ายแรงใน Unified CM เปิดทางแฮกเกอร์ยึดระบบ

Cisco ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ในระบบ Unified Communications Manager (Unified CM) ซึ่งอาจเปิดทางให้ผู้โจมตีสามารถยกระดับสิทธิ์จนเข้าถึงระดับ Root ของระบบได้

Unified CM หรือชื่อเดิม Cisco CallManager เป็นระบบศูนย์กลางสำหรับจัดการโทรศัพท์ IP ของ Cisco ใช้ควบคุมการจัดการอุปกรณ์ การเชื่อมต่อสาย และฟีเจอร์ต่าง ๆ ของระบบโทรศัพท์ภายในองค์กร

ช่องโหว่ดังกล่าวถูกติดตามในรหัส  CVE-2026-20230 โดยสามารถถูกโจมตีจากระยะไกลผ่านเทคนิค Server-Side Request Forgery (SSRF) ได้ แม้ผู้โจมตีจะไม่มีสิทธิ์เข้าถึงระบบมาก่อนก็ตาม

 Cisco ระบุว่า ผู้โจมตีสามารถส่ง HTTP Request ที่ถูกสร้างขึ้นเป็นพิเศษไปยังอุปกรณ์เป้าหมาย หากโจมตีสำเร็จ จะสามารถเขียนไฟล์ลงในระบบปฏิบัติการของเครื่องได้ และอาจถูกใช้ต่อเพื่อยกระดับสิทธิ์จนถึงระดับ Root

แม้คะแนนความรุนแรงของช่องโหว่จะอยู่ในระดับ High แต่ Cisco ตัดสินใจจัดให้ประกาศเตือนนี้อยู่ในระดับ Critical เนื่องจากผลกระทบสุดท้ายอาจนำไปสู่การยึดสิทธิ์ Root ได้โดยสมบูรณ์

ทีม Product Security Incident Response Team (PSIRT) ของ Cisco เปิดเผยว่า ขณะนี้มีโค้ด Proof-of-Concept (PoC) สำหรับโจมตีช่องโหว่นี้ถูกเผยแพร่สู่สาธารณะแล้ว อย่างไรก็ตาม ยังไม่พบหลักฐานว่ามีการโจมตีจริงในวงกว้างหรือถูกนำไปใช้โจมตีเป้าหมายแล้วในขณะนี้

ข่าวดีคือ ช่องโหว่นี้ส่งผลเฉพาะระบบที่เปิดใช้งานบริการ WebDialer เท่านั้น และบริการดังกล่าวถูกปิดไว้เป็นค่าเริ่มต้นอยู่แล้ว

ผู้ดูแลระบบสามารถตรวจสอบได้ว่าเปิดใช้งาน WebDialer อยู่หรือไม่ โดยเข้าไปที่ Cisco Unified CM Administration จากนั้นเลือก “Cisco Unified Serviceability” และตรวจสอบสถานะบริการในเมนู Tools > CTI Services ภายใต้ “Control Center – Feature Services”

Cisco ระบุว่า ปัจจุบันยังไม่มีวิธีป้องกันชั่วคราวสำหรับช่องโหว่นี้ นอกจากติดตั้งแพตช์อัปเดต โดยแนะนำให้อัปเกรดเป็น Cisco Unified CM เวอร์ชัน 14SU6 หรือ 15SU5 (Sep 2026 หรือ COP)

อย่างไรก็ตาม ผู้ดูแลระบบสามารถลดความเสี่ยงได้ด้วยการปิดบริการ WebDialer ชั่วคราวจนกว่าจะติดตั้งแพตช์เรียบร้อย

ขั้นตอนปิด WebDialer มีดังนี้

• เข้าสู่ระบบ Cisco Unified CM Administration
• ไปที่เมนู Navigation แล้วเลือก Cisco Unified Serviceability
• เลือก Tools > Service Activation
• ในส่วน CTI Services ให้ยกเลิกเครื่องหมายหน้า “Cisco WebDialer Web Service”
• กด Save เพื่อบันทึกการตั้งค่า

ก่อนหน้านี้ในเดือนมกราคม Cisco เพิ่งแก้ไขช่องโหว่ร้ายแรงอีกตัวใน Unified CM รหัส CVE-2026-20045 ซึ่งถูกใช้โจมตีแบบ Zero-Day สำหรับรันโค้ดจากระยะไกลมาแล้ว

ตลอดหลายปีที่ผ่านมา Cisco ยังเคยลบบัญชี Backdoor ใน Unified CM ที่เปิดให้ผู้โจมตีล็อกอินด้วยสิทธิ์ Root ได้ รวมถึงอุดช่องโหว่อีกหลายรายการที่ทำให้ผู้ไม่หวังดีสามารถเข้าถึงระบบระดับ Root ได้เช่นกัน

ข้อมูลจากหน่วยงาน CISA ของสหรัฐฯ ระบุว่า ในช่วง 5 ปีที่ผ่านมา มีช่องโหว่ของ Cisco อย่างน้อย 91 รายการที่ถูกพบว่าถูกใช้โจมตีจริง และในจำนวนนี้ 6 รายการถูกใช้โดยกลุ่ม Ransomware ในการโจมตีองค์กรต่าง ๆ

ที่มา