Cisco ได้ออกประกาศแจ้งเตือนเร่งด่วนเกี่ยวกับช่องโหว่ Zero-Day ระดับความรุนแรงสูงสุดในซอฟต์แวร์ Cisco AsyncOS ซึ่งกำลังถูกใช้ในการโจมตีจริงโดยกลุ่มแฮกเกอร์ขั้นสูง (Advanced Persistent Threat – APT) ที่มีความเชื่อมโยงกับจีน ภายใต้ชื่อกลุ่ม UAT-9686 โดยมีเป้าหมายหลักคืออุปกรณ์ Cisco Secure Email Gateway (SEG) และ Cisco Secure Email and Web Manager (SEWM) ที่ใช้งานในองค์กรทั่วโลก
Cisco ระบุว่าพบกิจกรรมการโจมตีดังกล่าวครั้งแรกเมื่อวันที่ 10 ธันวาคม 2025 โดยเป้าหมายเป็นอุปกรณ์เพียง “บางส่วน” ที่มีการเปิดพอร์ตบางพอร์ตเชื่อมต่อกับอินเทอร์เน็ตโดยตรง ทั้งนี้บริษัทไม่ได้เปิดเผยจำนวนลูกค้าที่ได้รับผลกระทบอย่างชัดเจน แต่ยืนยันว่าการโจมตีกำลังเกิดขึ้นจริงและมีความเสี่ยงสูงมาก
ช่องโหว่ดังกล่าวถูกติดตามภายใต้รหัส CVE-2025-20393 และได้รับคะแนนความรุนแรง CVSS เต็ม 10.0 ซึ่งถือเป็นระดับวิกฤต โดยต้นเหตุเกิดจากการตรวจสอบข้อมูลนำเข้า (Input Validation) ที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีสามารถรันคำสั่งใด ๆ ด้วยสิทธิ์ Root บนระบบปฏิบัติการของอุปกรณ์ได้โดยตรง
Cisco ระบุว่า ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้เพื่อควบคุมอุปกรณ์อย่างสมบูรณ์ พร้อมสร้างกลไกการฝังตัว (Persistence) เพื่อรักษาสิทธิ์การเข้าถึงในระยะยาว ทำให้การลบหรือแก้ไขระบบทำได้ยากยิ่งขึ้น
แม้ว่า AsyncOS ทุกเวอร์ชันจะได้รับผลกระทบ แต่การโจมตีจะเกิดขึ้นได้ก็ต่อเมื่ออุปกรณ์มีเงื่อนไขสำคัญครบสองข้อ ได้แก่
- มีการเปิดใช้งานฟีเจอร์ Spam Quarantine
- ฟีเจอร์ Spam Quarantine สามารถเข้าถึงได้จากอินเทอร์เน็ต
โดยปกติแล้ว Spam Quarantine จะไม่ถูกเปิดใช้งานเป็นค่าเริ่มต้น (Default) ผู้ดูแลระบบสามารถตรวจสอบสถานะได้ผ่านหน้า Web Management Interface ของอุปกรณ์ หากพบว่าฟีเจอร์ดังกล่าวถูกเปิดไว้และเชื่อมต่ออินเทอร์เน็ต ถือว่าอยู่ในกลุ่มเสี่ยงสูง
จากการสืบสวนของ Cisco พบว่า กิจกรรมการโจมตีย้อนหลังไปได้ถึงช่วงปลายเดือนพฤศจิกายน 2025 โดยกลุ่ม UAT-9686 ใช้ช่องโหว่นี้ติดตั้งเครื่องมือเชื่อมต่อเครือข่ายแบบลับ (Tunneling Tools) เช่น ReverseSSH (AquaTunnel) และ Chisel รวมถึงเครื่องมือลบ Log ชื่อ AquaPurge ซึ่งก่อนหน้านี้เคยถูกเชื่อมโยงกับกลุ่มแฮกเกอร์จีนชื่อดังอย่าง APT41 และ UNC5174
นอกจากนี้ ยังตรวจพบ Backdoor ขนาดเล็กที่เขียนด้วยภาษา Python ชื่อว่า AquaShell ซึ่งสามารถรับคำสั่งที่ถูกเข้ารหัสผ่าน HTTP POST จากภายนอกโดยไม่ต้องมีการยืนยันตัวตน และนำไปประมวลผลต่อใน System Shell ได้โดยตรง ถือเป็นภัยคุกคามที่ร้ายแรงต่อระบบอีเมลขององค์กร
ในช่วงที่ยังไม่มีแพตช์แก้ไข Cisco แนะนำให้ผู้ใช้งานดำเนินมาตรการป้องกันทันที เช่น การจำกัดการเข้าถึงอุปกรณ์จากอินเทอร์เน็ตโดยตรง วางอุปกรณ์ไว้หลัง Firewall อนุญาตเฉพาะ IP ที่เชื่อถือได้ แยก Network Interface สำหรับงานอีเมลและงานบริหารจัดการออกจากกัน ตรวจสอบ Log เว็บอย่างสม่ำเสมอ และปิดการใช้งาน HTTP สำหรับหน้าเมนูผู้ดูแลระบบ
เพิ่มเติมจากนั้น ควรปิดบริการเครือข่ายที่ไม่จำเป็น ใช้ระบบยืนยันตัวตนที่แข็งแกร่ง เช่น SAML หรือ LDAP และเปลี่ยนรหัสผ่านเริ่มต้นของผู้ดูแลระบบให้มีความปลอดภัยสูงขึ้น
Cisco ย้ำอย่างชัดเจนว่า หากตรวจพบว่าอุปกรณ์ถูกเจาะระบบแล้ว วิธีเดียวที่สามารถกำจัดการฝังตัวของแฮกเกอร์ได้อย่างถาวร คือ การล้างระบบและติดตั้งใหม่ทั้งหมด (Rebuilding)
จากความรุนแรงของสถานการณ์ หน่วยงาน CISA ของสหรัฐฯ ได้เพิ่ม CVE-2025-20393 เข้าไปในบัญชี Known Exploited Vulnerabilities (KEV) และสั่งให้หน่วยงานรัฐบาลกลางดำเนินการแก้ไขภายในวันที่ 24 ธันวาคม 2025 เพื่อป้องกันความเสี่ยงต่อโครงสร้างพื้นฐานสำคัญ
เหตุการณ์นี้ยังเกิดขึ้นในช่วงเวลาเดียวกับที่มีรายงานการโจมตีแบบสุ่มรหัสผ่าน (Credential-based Attacks) ต่อระบบ VPN ขององค์กร โดยมุ่งเป้าไปที่ Cisco SSL VPN และ Palo Alto GlobalProtect ซึ่งสะท้อนให้เห็นว่าภัยคุกคามด้านเครือข่ายองค์กรกำลังทวีความซับซ้อนและรุนแรงขึ้นอย่างต่อเนื่อง
ที่มา : Thehackernews