สรุปสั้น

Cisco ออกอัปเดตด้านความปลอดภัยเมื่อวันที่ 21 พฤษภาคม พ.ศ. 2569 เพื่อแก้ไขช่องโหว่ระดับวิกฤต CVE-2026-20223 ใน Cisco Secure Workload ซึ่งได้รับคะแนน CVSS สูงสุดที่ 10.0 ช่องโหว่เกิดจากการตรวจสอบสิทธิ์และการยืนยันตัวตนที่ไม่เพียงพอเมื่อเข้าถึง REST API endpoint ภายใน ผู้โจมตีจากระยะไกลที่ไม่ต้องยืนยันตัวตนสามารถส่ง HTTP request ที่สร้างขึ้นเป็นพิเศษเพื่อได้รับสิทธิ์ระดับ Site Admin อ่านข้อมูลที่มีความอ่อนไหว และเปลี่ยนแปลงการตั้งค่าข้ามขอบเขต tenant ได้ Cisco ระบุว่าไม่มี workaround สำหรับช่องโหว่นี้ ต้องอัปเดตซอฟต์แวร์เป็นเวอร์ชันที่แก้ไขแล้วเท่านั้น

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 22 พฤษภาคม พ.ศ. 2569 ว่า Cisco ได้เผยแพร่อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูงสุดใน Cisco Secure Workload ซึ่งเป็นแพลตฟอร์มสำหรับการป้องกันและจัดการ workload ในศูนย์ข้อมูลและคลาวด์

ช่องโหว่ CVE-2026-20223 ได้รับคะแนน CVSS 10.0 เต็ม ด้วยเมตริกที่บ่งชี้ถึงความอันตรายสูงสุด ได้แก่ Attack Vector: NETWORK, Attack Complexity: LOW, Privileges Required: NONE และ User Interaction: NONE ซึ่งหมายความว่าผู้โจมตีจากระยะไกลสามารถใช้ช่องโหว่ได้โดยง่ายโดยไม่ต้องมีสิทธิ์ใดๆ

ช่องโหว่ส่งผลกระทบต่อ Cisco Secure Workload Cluster Software ทั้งในรูปแบบ SaaS และ on-premises โดยไม่ขึ้นอยู่กับการตั้งค่าอุปกรณ์ อย่างไรก็ตาม ช่องโหว่กระทบเฉพาะ REST API ภายในเท่านั้น ไม่ส่งผลกระทบต่อ web-based management interface

รายละเอียดช่องโหว่

CVE-2026-20223 เกิดจากการตรวจสอบสิทธิ์ (validation) และการยืนยันตัวตน (authentication) ที่ไม่เพียงพอเมื่อเข้าถึง REST API endpoint ภายในของ Cisco Secure Workload ผู้โจมตีสามารถส่ง HTTP request ที่สร้างขึ้นเป็นพิเศษไปยัง REST API endpoint เพื่อได้รับสิทธิ์ระดับ Site Admin ทันที

เมื่อได้สิทธิ์ Site Admin แล้ว ผู้โจมตีสามารถอ่านข้อมูลที่มีความอ่อนไหว เปลี่ยนแปลงการตั้งค่าของระบบ และข้ามขอบเขต tenant ได้ ซึ่งหมายความว่าผู้โจมตีรายเดียวสามารถเข้าถึงและควบคุมข้อมูลของทุก tenant ในระบบ

เวอร์ชันที่ได้รับผลกระทบและเวอร์ชันที่แก้ไขแล้ว:

  • Secure Workload 3.9 และเก่ากว่า → ต้องย้ายไปเวอร์ชันที่แก้ไขแล้ว
  • Secure Workload 3.10 → แก้ไขใน 3.10.8.3
  • Secure Workload 4.0 → แก้ไขใน 4.0.3.17

ผลกระทบต่อไทย

Cisco Secure Workload เป็นผลิตภัณฑ์ที่ใช้ในองค์กรขนาดใหญ่และศูนย์ข้อมูลในไทย โดยเฉพาะในภาคการเงิน โทรคมนาคม และหน่วยงานรัฐที่มีโครงสร้างพื้นฐาน data center ขนาดใหญ่ ด้วยคะแนน CVSS 10.0 ที่ไม่ต้องยืนยันตัวตนและสามารถข้ามขอบเขต tenant ได้ องค์กรที่ใช้งาน Cisco Secure Workload แบบ multi-tenant ทั้ง SaaS และ on-premises มีความเสี่ยงสูงที่ข้อมูลจะถูกเข้าถึงโดยไม่ได้รับอนุญาต

คำแนะนำ

  1. ตรวจสอบเวอร์ชันของ Cisco Secure Workload ที่ใช้งานอยู่และอัปเดตเป็นเวอร์ชันที่แก้ไขแล้วทันที (3.10.8.3 หรือ 4.0.3.17)
  2. หากใช้เวอร์ชัน 3.9 หรือเก่ากว่า ให้วางแผนย้ายไปเวอร์ชันที่ได้รับการสนับสนุนโดยเร่งด่วน
  3. ตรวจสอบ log การเข้าถึง REST API ว่ามีกิจกรรมที่ผิดปกติหรือไม่ โดยเฉพาะการเข้าถึงจาก IP ที่ไม่คุ้นเคย
  4. จำกัดการเข้าถึง REST API endpoint จากเครือข่ายภายนอกด้วย firewall rules
  5. ติดตาม advisory จาก Cisco อย่างต่อเนื่องเพื่อรับข้อมูลอัปเดตเพิ่มเติม

แหล่งอ้างอิง