สรุปสั้น
Cisco ยืนยันว่าขณะนี้แฮ็กเกอร์กำลังโจมตีช่องโหว่ใน Unified Communications Manager (Unified CM) ที่ได้รับแพตช์ไปเมื่อต้นเดือนมิถุนายน โดย Unified CM ซึ่งเดิมรู้จักในชื่อ Cisco CallManager เป็นระบบควบคุมกลางสำหรับระบบโทรศัพท์ IP ของ Cisco ทำหน้าที่จัดเส้นทางการโทร บริหารอุปกรณ์ และฟีเจอร์โทรศัพท์ต่าง ๆ แฮ็กเกอร์ที่ไม่มีสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่นี้ (CVE-2026-20230) จากระยะไกลได้ในการโจมตีแบบ server-side request forgery (SSRF) ที่มีความซับซ้อนต่ำ เพียงส่ง HTTP request ที่สร้างขึ้นมาเป็นพิเศษ
เมื่อวันที่ 3 มิถุนายน ตอนที่ Cisco ปล่อยแพตช์ความปลอดภัยเพื่อแก้ปัญหานี้ บริษัทระบุว่าทีม PSIRT รับทราบว่ามีโค้ด proof-of-concept สำหรับ CVE-2026-20230 เผยแพร่สู่สาธารณะแล้ว แต่ยังไม่มีหลักฐานการโจมตีจริง อย่างไรก็ตาม ราวสามสัปดาห์ต่อมาในวันที่ 22 มิถุนายน บริษัทข่าวกรองภัยคุกคาม Defused เปิดเผยว่าแฮ็กเกอร์เริ่มโจมตีช่องโหว่นี้แล้วโดยใช้ file:// payload ที่สร้างอย่างถูกต้องเพื่อสร้างไฟล์บนอุปกรณ์เป้าหมาย และอีกหนึ่งวันถัดมา SSD Secure ก็เผยแพร่บทวิเคราะห์เชิงเทคนิคพร้อม PoC และคำอธิบายว่าช่องโหว่ทำงานอย่างไร
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 2 กรกฎาคม 2569 ว่า ในที่สุด Cisco ก็ออกมายืนยันเมื่อวันพุธว่าแฮ็กเกอร์กำลังโจมตี CVE-2026-20230 อยู่จริง และเรียกร้องให้ลูกค้าปกป้องระบบจากการโจมตีที่กำลังดำเนินอยู่ โดย Cisco อัปเดตในคำแนะนำฉบับเดิมว่า “ทีม PSIRT ของ Cisco รับทราบว่ามีโค้ด PoC สำหรับช่องโหว่ที่อธิบายในคำแนะนำนี้ และในเดือนมิถุนายน 2569 ทีม PSIRT ได้รับทราบถึงการโจมตีช่องโหว่นี้อย่างจริงจัง Cisco ยังคงแนะนำอย่างหนักแน่นให้ลูกค้าอัปเกรดเป็นซอฟต์แวร์เวอร์ชันที่แก้ไขแล้ว”
Cisco ยังแบ่งปันมาตรการบรรเทาสำหรับผู้ดูแลและทีมความปลอดภัยที่ไม่สามารถติดตั้ง Unified CM เวอร์ชัน 14SU6 หรือ 15SU5 ได้ทันที โดยแนะนำให้ปิดบริการ WebDialer ที่มีช่องโหว่จนกว่าจะติดตั้งแพตช์ เพื่อสกัดการโจมตี CVE-2026-20230 ที่เข้ามา ทั้งนี้ องค์กรเฝ้าระวังความปลอดภัยอินเทอร์เน็ต Shadowserver กำลังติดตาม Unified CM กว่า 200 อินสแตนซ์ที่เปิดเผยออนไลน์ ส่วนใหญ่อยู่ในเอเชียและอเมริกาเหนือ แต่ยังไม่มีรายละเอียดว่ามีกี่เครื่องที่ได้รับการป้องกันแล้ว ในช่วงหลายปีที่ผ่านมา Cisco ยังแพตช์ช่องโหว่ Unified CM อีกหลายตัว รวมถึง CVE-2024-20253 และ CVE-2025-20309 ที่เปิดให้แฮ็กเกอร์ยกระดับเป็น root และ CVE-2026-20045 ที่ถูกใช้โจมตีแบบ zero-day เพื่อรันโค้ดจากระยะไกล

รายละเอียดช่องโหว่
CVE-2026-20230 เป็นช่องโหว่ประเภท server-side request forgery (SSRF) ที่อยู่ในบริการ WebDialer ของ Unified CM ความรุนแรงอยู่ที่การที่แฮ็กเกอร์ไม่จำเป็นต้องมีสิทธิ์หรือการยืนยันตัวตนใด ๆ ก็สามารถโจมตีจากระยะไกลได้ด้วยความซับซ้อนต่ำ เพียงส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังระบบ ในการโจมตีจริงที่ Defused พบ แฮ็กเกอร์ใช้ file:// payload เพื่อสร้างไฟล์บนอุปกรณ์เป้าหมาย ซึ่ง SSRF ลักษณะนี้อาจถูกใช้เข้าถึงทรัพยากรภายในที่ปกติเข้าไม่ถึงจากภายนอก หรือใช้เป็นจุดเริ่มต้นในการโจมตีต่อยอด การที่มี PoC สาธารณะเผยแพร่พร้อมบทวิเคราะห์เชิงเทคนิคจาก SSD Secure ยิ่งทำให้อุปสรรคในการโจมตีต่ำลง และสอดคล้องกับที่ Cisco ยืนยันว่าเกิดการโจมตีจริงในเดือนมิถุนายน ที่สำคัญ CISA เคยจัด 93 ช่องโหว่ของ Cisco เป็นช่องโหว่ที่ถูกโจมตีจริงตั้งแต่เดือนพฤศจิกายน 2021 โดย 6 ตัวถูกใช้ในการโจมตีแรนซัมแวร์
ผลกระทบต่อไทย
ประเทศไทยอยู่ในภูมิภาคเอเชียซึ่ง Shadowserver ระบุว่าเป็นที่ตั้งของ Unified CM ที่เปิดเผยออนไลน์จำนวนมาก องค์กรไทยที่ใช้ระบบโทรศัพท์ IP ของ Cisco โดยเฉพาะหน่วยงานขนาดใหญ่ องค์กรภาครัฐ และองค์กรที่มีระบบ call center ล้วนมีความเสี่ยงหากเปิด Unified CM หรือบริการ WebDialer สู่อินเทอร์เน็ตโดยไม่ได้แพตช์ เนื่องจากช่องโหว่นี้โจมตีได้ง่าย ไม่ต้องมีสิทธิ์ และมี PoC สาธารณะพร้อมการโจมตีจริงแล้ว ระดับความเร่งด่วนในการแก้ไขจึงสูงมาก การถูกเจาะระบบโทรศัพท์กลางอาจนำไปสู่การเข้าถึงเครือข่ายภายในและการโจมตีต่อยอดที่ร้ายแรงกว่าได้
คำแนะนำ
ผู้ดูแลระบบควรรีบอัปเกรด Cisco Unified CM เป็นเวอร์ชัน 14SU6 หรือ 15SU5 ที่แก้ไขช่องโหว่แล้วโดยเร็วที่สุด หากยังไม่สามารถติดตั้งแพตช์ได้ทันที ให้ปิดบริการ WebDialer ที่มีช่องโหว่เป็นมาตรการบรรเทาชั่วคราวจนกว่าจะแพตช์ได้ ควรจำกัดการเข้าถึง Unified CM ไม่ให้เปิดสู่อินเทอร์เน็ตโดยตรง และวางไว้หลังไฟร์วอลล์หรือ VPN เท่านั้น นอกจากนี้ควรเฝ้าระวังล็อกหาการร้องขอ HTTP ที่ผิดปกติหรือ payload แบบ file:// ที่เข้ามายังบริการ WebDialer และตรวจสอบว่ามีไฟล์แปลกปลอมถูกสร้างบนอุปกรณ์หรือไม่ เนื่องจากช่องโหว่นี้ถูกโจมตีจริงและมี PoC สาธารณะแล้ว การแก้ไขจึงถือเป็นเรื่องเร่งด่วนสูงสุด
