สรุปสั้น

บริษัท Cisco ออกแพตช์แก้ไขช่องโหว่ระดับวิกฤต CVE-2026-20181 ที่มีคะแนน CVSS 9.1 ในผลิตภัณฑ์ Identity Services Engine (ISE) และ ISE Passive Identity Connector (ISE-PIC) ซึ่งเป็นระบบควบคุมการเข้าถึงเครือข่ายที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ ช่องโหว่เกิดจากการตรวจสอบ input ที่ผู้ใช้ส่งมาไม่รัดกุม ทำให้ผู้โจมตีที่มี credential ของผู้ดูแลระบบสามารถส่ง HTTP request พิเศษเพื่อรันคำสั่งบนระบบปฏิบัติการของอุปกรณ์ แล้วยกระดับสิทธิ์เป็น root ได้ ในกรณีที่เป็นระบบ single-node ผู้โจมตียังสามารถทำให้เกิดสภาวะ denial-of-service (DoS) ที่กีดกันอุปกรณ์ใหม่ไม่ให้เข้าถึงเครือข่ายจนกว่าจะกู้คืนระบบ

นอกจากนี้การอัปเดตยังแก้ไขช่องโหว่ระดับ high-severity CVE-2026-20190 ที่เปิดให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนเข้าถึงข้อมูลสำคัญอย่าง hashed credential ได้ บริษัท Cisco ระบุว่ายังไม่พบการใช้ช่องโหว่เหล่านี้ในการโจมตีจริง แพตช์พร้อมแล้วสำหรับ ISE 3.3 Patch 11 และ 3.4 Patch 6 ส่วน ISE 3.5 มี hotfix ให้แล้วและจะรวมอยู่ใน Patch 4 ในเดือนสิงหาคม

รายละเอียดข่าว

เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 18 มิถุนายน พ.ศ. 2569 ว่าบริษัท Cisco ออกแพตช์แก้ไขช่องโหว่ระดับวิกฤตใน Identity Services Engine (ISE) และ ISE Passive Identity Connector (ISE-PIC) ช่องโหว่หลักคือ CVE-2026-20181 ที่มีคะแนน CVSS 9.1 เป็นช่องโหว่ประเภท command execution เกิดจากการตรวจสอบ input ที่ผู้ใช้ส่งมาไม่เพียงพอ ทำให้ผู้โจมตีที่มี credential ผู้ดูแลระบบสามารถส่ง HTTP request ที่สร้างขึ้นเป็นพิเศษเพื่อเข้าถึงระบบปฏิบัติการในระดับผู้ใช้ จากนั้นจึงยกระดับสิทธิ์เป็น root ได้

การอัปเดตเดียวกันยังแก้ไขช่องโหว่ระดับ high-severity อีกรายการคือ CVE-2026-20190 ซึ่งเป็นช่องโหว่ information disclosure ที่เปิดให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตน (unauthenticated) เข้าถึงข้อมูลสำคัญเช่น hashed credential ได้ นอกจากนี้ในวันเดียวกัน Cisco ยังออกแพตช์แก้ไขช่องโหว่ระดับ medium-severity ในผลิตภัณฑ์อื่นอีกหลายตัว ได้แก่ Webex App (malicious redirect), Umbrella Virtual Appliance (privilege escalation) และ Crosswork Network Controller (arbitrary command execution) บริษัท Cisco ยืนยันว่ายังไม่พบการนำช่องโหว่เหล่านี้ไปใช้โจมตีจริงในขณะนี้

รายละเอียดช่องโหว่

CVE-2026-20181 เป็นช่องโหว่ใน Cisco ISE และ ISE-PIC ที่เกิดจากการตรวจสอบ input ไม่รัดกุม (improper input validation) ผู้โจมตีที่ผ่านการยืนยันตัวตนและมีสิทธิ์ผู้ดูแลระบบสามารถส่ง HTTP request ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์เป้าหมาย เพื่อรันคำสั่งบนระบบปฏิบัติการในระดับผู้ใช้ก่อน แล้วจึงยกระดับสิทธิ์เป็น root ซึ่งเป็นสิทธิ์สูงสุดของระบบ ในสภาพแวดล้อมที่ deploy แบบ single-node ผู้โจมตีสามารถทำให้เกิดสภาวะ denial-of-service ที่ส่งผลให้อุปกรณ์ปลายทาง (endpoint) ที่ยังไม่ได้ยืนยันตัวตนไม่สามารถเข้าถึงเครือข่ายได้จนกว่า node จะถูกกู้คืน ซึ่งหมายความว่าหากองค์กรพึ่งพา ISE เป็นระบบควบคุมการเข้าถึงเครือข่ายหลัก การโจมตีอาจทำให้เครือข่ายทั้งองค์กรหยุดชะงัก

แพตช์แก้ไขพร้อมแล้วใน ISE และ ISE-PIC เวอร์ชัน 3.3 Patch 11 และ 3.4 Patch 6 สำหรับ ISE เวอร์ชัน 3.5 มี hotfix ให้แล้วและจะรวมอยู่ในเวอร์ชัน 3.5 Patch 4 ที่กำหนดออกในเดือนสิงหาคม

ผลกระทบต่อไทย

Cisco ISE เป็นผลิตภัณฑ์ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ สถาบันการเงิน และหน่วยงานรัฐของไทยเพื่อควบคุมการเข้าถึงเครือข่าย (Network Access Control) หากระบบ ISE ถูกโจมตีผ่านช่องโหว่นี้ ผู้โจมตีจะสามารถควบคุมระบบในระดับ root และอาจเปลี่ยนแปลงนโยบายการเข้าถึงเครือข่ายทั้งองค์กร นอกจากนี้ช่องโหว่ CVE-2026-20190 ที่เปิดให้เข้าถึง hashed credential โดยไม่ต้องยืนยันตัวตน ยังเป็นความเสี่ยงสำคัญสำหรับองค์กรไทยที่เปิด ISE ให้เข้าถึงได้จากเครือข่ายภายนอก

คำแนะนำ

ผู้ดูแลระบบที่ใช้ Cisco ISE หรือ ISE-PIC ควรอัปเดตเป็นเวอร์ชัน 3.3 Patch 11 หรือ 3.4 Patch 6 โดยเร็วที่สุด สำหรับผู้ใช้เวอร์ชัน 3.5 ควรติดตั้ง hotfix ที่มีให้แล้ว ระหว่างรอแพตช์ควรจำกัดการเข้าถึง management interface ของ ISE ให้เฉพาะ IP ที่จำเป็นและเปิดใช้ multi-factor authentication สำหรับบัญชีผู้ดูแลระบบทุกบัญชี ควรตรวจสอบ log การเข้าถึง ISE ย้อนหลังเพื่อหาสัญญาณการใช้ช่องโหว่ และพิจารณาแพตช์ช่องโหว่ medium-severity ในผลิตภัณฑ์ Cisco อื่นๆ ที่ออกมาพร้อมกันด้วย

แหล่งอ้างอิง