Cisco ได้ออกประกาศแจ้งเตือนและปล่อยอัปเดตความปลอดภัยเพื่ออุดช่องโหว่ความรุนแรงระดับวิกฤตบนระบบบริหารจัดการระบบโทรศัพท์ไอพีหรือ Unified Communications Manager ซึ่งเป็นหัวใจหลักในการควบคุมเส้นทางสายโทรเข้าออกและการจัดการอุปกรณ์สื่อสารภายในองค์กร โดยช่องโหว่ในครั้งนี้มีความร้ายแรงเนื่องจากเปิดโอกาสให้ผู้ไม่หวังดีสามารถแฝงตัวเข้ามาในระบบและยกระดับสิทธิ์ของตนเองขึ้นเป็น Root ซึ่งเป็นสิทธิ์ในการควบคุมระบบปฏิบัติการขั้นสูงสุดได้สำเร็จ
ช่องโหว่ดังกล่าวเป็นรูปแบบของการหลอกให้เซิร์ฟเวอร์ส่งคำขอไปยังปลายทางที่กำหนด ซึ่งมีความซับซ้อนในการโจมตีต่ำมาก ทำให้ผู้โจมตีจากระยะไกลสามารถส่งคำขอทางอินเทอร์เน็ตที่ถูกปรับแต่งเป็นพิเศษเข้าไปยังตัวอุปกรณ์ที่ได้รับผลกระทบได้ทันที โดยไม่จำเป็นต้องมีสิทธิ์ในการเข้าสู่ระบบหรือผ่านการยืนยันตัวตนใด ๆ ซึ่งหากการโจมตีประสบความสำเร็จ ผู้ไม่หวังดีจะสามารถเขียนไฟล์อันตรายลงบนระบบปฏิบัติการพื้นฐานและนำไปใช้ยกระดับสิทธิ์ในภายหลัง แม้ว่าคะแนนความรุนแรงตามดัชนีชี้วัดอาจจะไม่ได้อยู่ในจุดสูงสุด แต่ทาง Cisco ได้ตัดสินใจจัดให้การแจ้งเตือนนี้อยู่ในระดับวิกฤตเนื่องจากผลกระทบที่เกิดขึ้นส่งผลต่อความมั่นคงปลอดภัยของระบบโดยตรง
อย่างไรก็ตาม มีข่าวดีสำหรับผู้ดูแลระบบเนื่องจากช่องโหว่นี้จะส่งผลกระทบเฉพาะกับระบบที่มีการเปิดใช้งานบริการ WebDialer เท่านั้น ซึ่งโดยปกติแล้วบริการดังกล่าวจะถูกปิดการใช้งานเอาไว้เป็นค่าเริ่มต้นตั้งแต่แรก นอกจากนี้ทางทีมตอบสนองภัยคุกคามของ Cisco แม้จะพบว่าเริ่มมีการเผยแพร่โค้ดต้นแบบสำหรับใช้โจมตีสู่สาธารณะแล้ว แต่ในปัจจุบันยังคงไม่พบหลักฐานว่ามีกลุ่มแฮกเกอร์นำช่องโหว่นี้ไปใช้โจมตีในวงกว้างหรือพุ่งเป้าไปที่องค์กรใดองค์กรหนึ่งเป็นพิเศษ
เนื่องจากในปัจจุบันยังไม่มีวิธีแก้ไขชั่วคราวอื่นใดที่จะสามารถป้องกันการโจมตีได้ ทาง Cisco จึงแนะนำอย่างยิ่งให้ผู้ดูแลระบบดำเนินการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชัน 14SU6 หรือ 15SU5 โดยเร็วที่สุด แต่สำหรับองค์กรที่ยังไม่พร้อมทำการอัปเดตระบบในทันที สามารถเลือกใช้วิธีปิดการทำงานของบริการ WebDialer เพื่อบล็อกช่องทางการโจมตีดังกล่าวไว้ก่อนได้ โดยมีขั้นตอนการปฏิบัติตามระบบบริหารจัดการดังนี้
- ล็อกอินเข้าสู่หน้าอินเตอร์เฟสระบบบริหารจัดการ Cisco Unified CM Administration
- ไปที่เมนูการนำทางด้านบนขวา เลือก Cisco Unified Serviceability แล้วคลิก Go
- ไปที่เมนู Tools ด้านบน แล้วเลือก Service Activation
- เลื่อนลงมาที่หัวข้อ CTI Services จากนั้นให้เอาเครื่องหมายถูกออกจากช่อง Cisco WebDialer Web Service แล้วคลิก Save
สถานการณ์ในครั้งนี้สะท้อนให้เห็นว่าระบบบริหารจัดการโทรศัพท์ของ Cisco ยังคงตกเป็นเป้าหมายสำคัญของผู้พัฒนาภัยคุกคามอย่างต่อเนื่อง เพราะเมื่อช่วงต้นปีที่ผ่านมาก็เพิ่งมีการตรวจพบและแก้ไขช่องโหว่ร้ายแรงที่เปิดโอกาสให้แฮกเกอร์รันโค้ดอันตรายจากระยะไกล ซึ่งในตอนนั้นพบว่ามีการนำไปใช้โจมตีจริงในลักษณะของช่องโหว่ที่ยังไม่มีแพตช์รองรับ รวมถึงในอดีตที่เคยมีการตรวจพบการแอบฝังบัญชีลับเพื่อเข้าสู่ระบบปฏิบัติการด้วยสิทธิ์สูงสุด และช่องโหว่อื่น ๆ ที่นำไปสู่การยึดระบบในลักษณะเดียวกัน
สถิติที่ผ่านมาในรอบห้าปีจากหน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา ระบุว่ามีช่องโหว่ของผลิตภัณฑ์ Cisco มากถึง 91 รายการที่ถูกทำเครื่องหมายว่ามีการนำไปใช้โจมตีจริงในโลกไซเบอร์ ซึ่งในจำนวนนั้นมีอย่างน้อย 6 ช่องโหว่ที่ถูกเครือข่ายมัลแวร์เรียกค่าไถ่นำไปใช้ประโยชน์ในการเจาะระบบส่วนกลาง ดังนั้นผู้ดูแลระบบจึงควรเร่งตรวจสอบสถานะการเปิดใช้งานบริการดังกล่าวภายในองค์กร เพื่อลดความเสี่ยงจากการตกเป็นเป้าหมายรายต่อไป
