สรุปสั้น

หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้สั่งให้หน่วยงานรัฐบาลกลางเร่งแพตช์ช่องโหว่ใน Cisco Unified Communications Manager Server ที่กำลังถูกใช้โจมตีจริงให้เสร็จภายในวันอาทิตย์ที่ 28 มิถุนายน ช่องโหว่ดังกล่าวมีรหัส CVE-2026-20230 เป็นประเภท server-side request forgery (SSRF) และถูกเพิ่มลงในแคตตาล็อกช่องโหว่ที่ถูกใช้โจมตีจริง (Known Exploited Vulnerabilities หรือ KEV) ของหน่วยงาน ภายใต้ Binding Operational Directive (BOD) 26-04 การแก้ไขถูกจัดว่าเร่งด่วนและต้องดำเนินการให้เสร็จภายในเส้นตายที่กำหนด

บริษัท Cisco จัดให้ CVE-2026-20230 มีความรุนแรงระดับวิกฤต และได้ปล่อยแพตช์เมื่อวันที่ 3 มิถุนายน พร้อมเตือนว่าช่องโหว่นี้สามารถถูกใช้ประโยชน์จากระยะไกลโดยไม่ต้องยืนยันตัวตน ผ่านการส่ง HTTP request ที่สร้างขึ้นเป็นพิเศษ ในขณะนั้นบริษัทระบุว่ามี proof-of-concept (PoC) อยู่แล้ว แต่ยังไม่พบหลักฐานการโจมตีจริง อย่างไรก็ตามเมื่อสุดสัปดาห์ที่ผ่านมา บริษัท Defused ซึ่งเป็นสตาร์ทอัพด้านการตรวจจับภัยคุกคาม ได้สังเกตเห็นช่องโหว่นี้ถูกใช้ในการโจมตีเพื่อเขียนไฟล์ข้อความตามอำเภอใจลงในอุปกรณ์ที่ได้รับผลกระทบ ปัจจุบันยังไม่ทราบว่าผู้โจมตีประเภทใดอยู่เบื้องหลัง

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 26 มิถุนายน พ.ศ. 2569 ว่า CISA ได้กำหนดเส้นตายเร่งด่วนให้หน่วยงานรัฐบาลกลางสหรัฐฯ แก้ไขช่องโหว่ CVE-2026-20230 ใน Cisco Unified Communications Manager Server ภายในวันที่ 28 มิถุนายน หลังพบว่าช่องโหว่ดังกล่าวกำลังถูกใช้โจมตีจริง ซึ่งถือเป็นพัฒนาการสำคัญ เนื่องจากก่อนหน้านี้เมื่อ Cisco ออกแพตช์ในวันที่ 3 มิถุนายน ยังไม่พบการโจมตีจริง มีเพียง PoC เผยแพร่เท่านั้น

การที่ บริษัท Defused ตรวจพบการโจมตีจริงเมื่อสุดสัปดาห์ที่ผ่านมา ทำให้สถานะของช่องโหว่นี้เปลี่ยนจาก “มี PoC แต่ยังไม่ถูกโจมตี” ไปเป็น “ถูกใช้โจมตีจริง” ส่งผลให้ CISA เพิ่มลงในแคตตาล็อก KEV และออกคำสั่งเร่งด่วนตาม BOD 26-04 โดยพบว่าผู้โจมตีใช้ช่องโหว่นี้เขียนไฟล์ข้อความตามอำเภอใจลงในอุปกรณ์เป้าหมาย ซึ่งสอดคล้องกับลักษณะของช่องโหว่ SSRF ที่ Cisco เคยเตือนว่าอาจนำไปสู่การเขียนไฟล์ลงระบบปฏิบัติการเบื้องล่างและยกระดับสิทธิ์เป็น root ในภายหลัง

นอกจากช่องโหว่ของ Cisco แล้ว CISA ยังได้เพิ่ม CVE-2026-12569 ลงในแคตตาล็อก KEV ในวันเดียวกัน ซึ่งเป็นช่องโหว่ improper input validation ที่กระทบผลิตภัณฑ์ PTC Windchill และ FlexPLM โดยทั้งสองเป็นระบบบริหารจัดการวงจรชีวิตผลิตภัณฑ์ (PLM) ที่ PTC พัฒนาขึ้นสำหรับอุตสาหกรรมการผลิต วิศวกรรม ค้าปลีก รองเท้า เครื่องนุ่งห่ม และสินค้าอุปโภคบริโภค โดย CISA กำหนดเส้นตายวันที่ 28 มิถุนายนเดียวกันให้หน่วยงานเร่งแพตช์ทั้งสองช่องโหว่

รายละเอียดช่องโหว่

CVE-2026-20230 เป็นช่องโหว่ประเภท server-side request forgery (SSRF) ใน Cisco Unified Communications Manager Server ที่ผู้โจมตีระยะไกลสามารถใช้ประโยชน์ได้โดยไม่ต้องยืนยันตัวตน ผ่านการส่ง HTTP request ที่สร้างขึ้นเป็นพิเศษ การใช้ประโยชน์สำเร็จเปิดทางให้เขียนไฟล์ลงระบบปฏิบัติการเบื้องล่าง ซึ่งอาจถูกใช้ต่อยอดเพื่อยกระดับสิทธิ์เป็น root Cisco จึงจัดให้มีความรุนแรงระดับวิกฤตและปล่อยแพตช์ตั้งแต่วันที่ 3 มิถุนายน

ส่วน CVE-2026-12569 เป็นช่องโหว่ remote code execution (RCE) ระดับวิกฤตที่สามารถถูกใช้ประโยชน์ผ่านการ deserialize ข้อมูลที่ไม่น่าเชื่อถือ (deserialization of untrusted data) ในผลิตภัณฑ์ PTC Windchill และ FlexPLM โดย PTC เปิดเผยปัญหานี้เมื่อวันที่ 18 มิถุนายน พร้อมเผยแพร่คำแนะนำด้านความปลอดภัยที่ชี้รายการเวอร์ชันที่มีช่องโหว่ทั้งหมด ตามข้อมูลของผู้จำหน่าย ช่องโหว่นี้กระทบทุกเวอร์ชันจนถึง 11.0 และหลายเวอร์ชันในสายการปล่อย 11.1, 11.2, 12.0, 12.1 และ 13.0 โดยเรียกร้องให้ลูกค้าเร่งดำเนินการแก้ไขทันที

ผลกระทบต่อไทย

แม้คำสั่ง BOD 26-04 จะผูกพันเฉพาะหน่วยงานรัฐบาลกลางสหรัฐฯ แต่ Cisco Unified Communications Manager เป็นระบบโทรศัพท์และการสื่อสารผ่าน IP ที่องค์กรไทยขนาดใหญ่ทั้งภาครัฐและเอกชนใช้แพร่หลาย ขณะที่ PTC Windchill และ FlexPLM ก็เป็นระบบ PLM ที่อุตสาหกรรมการผลิตของไทยจำนวนมากใช้บริหารข้อมูลทางวิศวกรรมและวงจรชีวิตผลิตภัณฑ์ การที่ทั้งสองช่องโหว่ถูกยืนยันว่าถูกใช้โจมตีจริงและถูกเพิ่มลง KEV หมายความว่าองค์กรไทยที่ใช้ผลิตภัณฑ์เหล่านี้และยังไม่แพตช์อยู่ในความเสี่ยงสูงมาก โดยเฉพาะ CVE-2026-20230 ที่ผู้โจมตีไม่ต้องยืนยันตัวตนและสามารถนำไปสู่สิทธิ์ root ได้ องค์กรไทยควรถือเส้นตาย 28 มิถุนายนของ CISA เป็นเกณฑ์อ้างอิงในการเร่งแพตช์เช่นกัน

คำแนะนำ

หน่วยงานและองค์กรที่ใช้ Cisco Unified Communications Manager และ PTC Windchill/FlexPLM ควรเร่งติดตั้งแพตช์และมาตรการบรรเทาที่ผู้จำหน่ายแนะนำโดยทันที สำหรับ CVE-2026-20230 ให้อัปเดตเป็นเวอร์ชันที่ Cisco กำหนด ส่วน CVE-2026-12569 ให้ตรวจสอบรายการเวอร์ชันที่มีช่องโหว่จากคำแนะนำของ PTC แล้วอัปเกรดให้เร็วที่สุด หากยังไม่สามารถแพตช์ได้ ควรพิจารณาหยุดใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบชั่วคราว จำกัดการเข้าถึงระบบจากอินเทอร์เน็ต และเฝ้าระวังการเขียนไฟล์ผิดปกติหรือการฝัง web shell บนเซิร์ฟเวอร์ที่เปิดสู่สาธารณะ

แหล่งอ้างอิง