สรุปสั้น

บริษัท Cisco ออกอัปเดตความปลอดภัยเพื่อปิดช่องโหว่ระดับวิกฤตใน Unified Communications Manager (Unified CM) ที่เปิดให้ผู้โจมตียกระดับสิทธิ์เป็น root ได้ โดย Cisco Unified CM (เดิมชื่อ Cisco CallManager) ทำหน้าที่เป็นระบบควบคุมกลางสำหรับระบบโทรศัพท์ IP ของ Cisco จัดการอุปกรณ์ การ routing สาย และฟีเจอร์โทรศัพท์

ช่องโหว่นี้ติดตามด้วยรหัส CVE-2026-20230 สามารถถูกใช้ประโยชน์จากระยะไกลโดยผู้โจมตีที่ไม่ต้องมีสิทธิ์ ผ่านการโจมตีแบบ server-side request forgery (SSRF) ที่ความซับซ้อนต่ำ โดย Cisco ระบุว่า “ผู้โจมตีสามารถใช้ประโยชน์ด้วยการส่ง HTTP request ที่สร้างพิเศษไปยังอุปกรณ์ที่ได้รับผลกระทบ การใช้ประโยชน์สำเร็จอาจเปิดให้ผู้โจมตีเขียนไฟล์ลงระบบปฏิบัติการที่อยู่เบื้องล่าง ซึ่งสามารถนำไปใช้ยกระดับเป็น root ในภายหลัง”

Cisco จัดให้ advisory นี้มี Security Impact Rating (SIR) เป็น Critical แทนที่จะเป็น High ตามที่คะแนนบ่งชี้ เนื่องจากการใช้ประโยชน์อาจส่งผลให้ผู้โจมตียกระดับสิทธิ์เป็น root โดยทีม PSIRT ของ Cisco รับทราบว่ามี proof-of-concept (PoC) เผยแพร่สาธารณะสำหรับ CVE-2026-20230 แล้ว แต่ยังไม่พบหลักฐานการโจมตีจริงหรือการมุ่งเป้า

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 4 มิถุนายน 2569 ว่าบริษัท Cisco ออกแพตช์ปิดช่องโหว่วิกฤต CVE-2026-20230 ใน Unified CM ที่เปิดให้ยกระดับเป็น root และมี PoC เผยแพร่แล้ว

โชคดีที่ช่องโหว่นี้กระทบเฉพาะระบบที่เปิดใช้บริการ WebDialer ซึ่งถูกปิดเป็นค่าเริ่มต้น (disabled by default) วิธีตรวจสอบว่า WebDialer เปิดอยู่หรือไม่คือ ล็อกอินเข้า Cisco Unified CM Administration ไปที่ “Cisco Unified Serviceability” คลิก “Go” แล้วตรวจสถานะบริการในเมนู Tools > CTI Services ภายใต้ “Control Center - Feature Services”

แม้จะไม่มี workaround ในการบรรเทาช่องโหว่ และแนะนำอย่างยิ่งให้ติดตั้ง Cisco Unified CM เวอร์ชัน 14SU6 หรือ 15SU5 แต่ผู้ดูแลระบบยังสามารถปิดบริการ WebDialer จนกว่าจะติดตั้งแพตช์เพื่อบล็อกการโจมตี CVE-2026-20230 ได้ โดยขั้นตอนปิด WebDialer คือ ล็อกอินเข้า Cisco Unified CM Administration เลือก Cisco Unified Serviceability จากเมนู Navigation คลิก Go จากนั้นเลือก Service Activation จากเมนู Tools แล้วในส่วน CTI Services ให้ uncheck ช่อง Cisco WebDialer Web Service และคลิก Save

ในเดือนมกราคม Cisco เคยแก้ช่องโหว่วิกฤตอีกตัวใน Unified CM (CVE-2026-20045) ที่ถูกโจมตีจริงเป็น zero-day ในการโจมตี remote code execution นอกจากนี้หลายปีที่ผ่านมาบริษัทยังเคยลบบัญชี backdoor ใน Unified CM ที่เปิดให้ผู้โจมตีระยะไกลล็อกอินด้วยสิทธิ์ root และแก้ช่องโหว่อีกตัว (CVE-2024-20253) ที่เปิดให้เข้าถึงระดับ root ทั้งนี้ในรอบ 5 ปี CISA ของสหรัฐฯ ระบุช่องโหว่ Cisco ถึง 91 รายการว่าถูกโจมตีจริง โดย 6 รายการถูกใช้โดยปฏิบัติการ ransomware ต่าง ๆ

รายละเอียดช่องโหว่

CVE-2026-20230 เป็นช่องโหว่ประเภท server-side request forgery (SSRF) ที่มีความซับซ้อนในการโจมตีต่ำ (low-complexity) และไม่ต้องมีสิทธิ์ใด ๆ ผู้โจมตีระยะไกลสามารถส่ง HTTP request ที่สร้างพิเศษเพื่อหลอกให้เซิร์ฟเวอร์เขียนไฟล์ลงระบบปฏิบัติการเบื้องล่าง ซึ่งไฟล์เหล่านั้นสามารถนำไปใช้ยกระดับสิทธิ์เป็น root ในภายหลัง

จุดที่ทำให้ Cisco จัดเป็น Critical แทน High คือผลลัพธ์สุดท้ายที่นำไปสู่สิทธิ์ root บนระบบควบคุมกลางของระบบโทรศัพท์ IP ทั้งหมด ซึ่งหมายถึงการควบคุมการจัดการอุปกรณ์ การ routing สาย และฟีเจอร์โทรศัพท์ขององค์กร

เงื่อนไขสำคัญคือช่องโหว่กระทบเฉพาะระบบที่เปิด WebDialer ซึ่งปิดเป็นค่าเริ่มต้น ทำให้ระบบที่ไม่ได้เปิดบริการนี้ไม่ได้รับผลกระทบ อย่างไรก็ตาม เนื่องจาก PoC ถูกเผยแพร่สาธารณะแล้ว องค์กรที่เปิด WebDialer จึงควรเร่งแพตช์หรือปิดบริการทันที แม้ยังไม่พบการโจมตีจริง

ผลกระทบต่อไทย

Cisco Unified CM เป็นระบบโทรศัพท์ IP ที่องค์กรขนาดกลางถึงใหญ่ในไทยใช้แพร่หลาย ทั้งหน่วยงานราชการ สถาบันการเงิน โรงพยาบาล และบริษัทเอกชน ทำให้ช่องโหว่ CVE-2026-20230 ที่นำสู่สิทธิ์ root เป็นภัยโดยตรงต่อโครงสร้างการสื่อสารขององค์กรไทยที่เปิด WebDialer

ความเสี่ยงสูงเป็นพิเศษเพราะ PoC เผยแพร่สาธารณะแล้ว และการโจมตีทำได้จากระยะไกลโดยไม่ต้องมีสิทธิ์ ทำให้องค์กรไทยที่เปิด WebDialer และยังไม่แพตช์มีโอกาสถูกโจมตีเพื่อยึดระบบโทรศัพท์ทั้งหมด ซึ่งกระทบทั้งการสื่อสารและอาจเป็นจุดเริ่มเจาะลึกเข้าเครือข่าย

แม้ WebDialer จะปิดเป็นค่าเริ่มต้น แต่องค์กรไทยจำนวนหนึ่งอาจเปิดใช้เพื่อฟีเจอร์การโทรผ่านเว็บ จึงควรเร่งตรวจสอบสถานะบริการและดำเนินมาตรการทันที โดยเฉพาะเมื่อ Cisco มีประวัติช่องโหว่ที่ถูกโจมตีจริงจำนวนมาก

คำแนะนำ

  1. อัปเดต Cisco Unified CM ทันที — ติดตั้งเวอร์ชัน 14SU6 หรือ 15SU5 เพื่อปิดช่องโหว่
  2. ตรวจสอบว่า WebDialer เปิดอยู่หรือไม่ — ผ่าน Cisco Unified Serviceability > Tools > CTI Services
  3. ปิด WebDialer ชั่วคราว — หากยังแพตช์ไม่ได้ ให้ uncheck “Cisco WebDialer Web Service” ใน Service Activation เพื่อบล็อกการโจมตี
  4. เฝ้าระวัง HTTP request ผิดปกติ — ที่อาจเป็นการพยายาม SSRF ต่อ Unified CM
  5. จำกัดการเข้าถึง Unified CM จากภายนอก — ไม่ควรเปิดให้เข้าถึงจากอินเทอร์เน็ตโดยตรง
  6. ติดตาม KEV และ advisory ของ Cisco — เพราะ Cisco มีประวัติช่องโหว่ถูกโจมตีจริงจำนวนมาก

แหล่งอ้างอิง