ผู้ให้บริการซอฟต์แวร์ Ivanti ออกมาแจ้งเตือนช่องโหว่ zero-day ระดับ Critical ที่ส่งผลกระทบต่อ Ivanti Sentry (เดิมคือ MobileIron Sentry) ซึ่งกำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน ซึ่งแสดงให้เห็นถึงความเสี่ยงด้านความปลอดภัยที่เพิ่มขึ้น
โดยช่องโหว่มีหมายเลข CVE-2023-38035 (คะแนน CVSS: 9.8) โดยช่องโหว่นี้ได้รับการระบุว่าเป็นช่องโหว่ authentication bypass ที่ส่งผลกระทบต่อเวอร์ชัน 9.18 และก่อนหน้านี้ เนื่องจากการกำหนดค่า Apache HTTPD ที่ไม่เหมาะสม
โดย Ivanti ระบุว่า “ช่องโหว่นี้จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเข้าถึง API ที่ใช้ในการกำหนดค่า Ivanti Sentry บนพอร์ทัลของผู้ดูแลระบบได้ (พอร์ต 8443 โดยทั่วไปคือ MICS)"
“ถึงแม้ว่าคะแนน CVSS จะสูงมาก แต่สำหรับผู้ใช้งานที่ไม่ได้เปิดพอร์ต 8443 จากอินเทอร์เน็ตจะมีความเสี่ยงที่น้อยลง”
หากสามารถโจมตีได้สำเร็จ ผู้โจมตีสามารถเปลี่ยนการกำหนดค่า, รันคำสั่งบนระบบ หรือเขียนไฟล์ลงในระบบได้ แนะนำให้ผู้ใช้งานจำกัดการเข้าถึง MICS ให้เข้าถึงได้จากเครือข่ายภายในเท่านั้น
ปัจจุบันยังไม่มีรายละเอียดที่แน่ชัดเกี่ยวกับวิธีการโจมตีช่องโหว่ แต่ Ivanti ระบุว่า มีลูกค้าบางส่วนเท่านั้นที่ได้รับผลกระทบ โดยบริษัทรักษาความปลอดภัยไซเบอร์จากนอร์เวย์ ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ดังกล่าว
นอกจากนี้ CVE-2023-38035 ยังสามารถถูกนำมาใช้ประโยชน์ร่วมกับการโจมตีช่องโหว่ CVE-2023-35078 และ CVE-2023-35081 ได้ ซึ่งทั้งสองช่องโหว่เป็นช่องโหว่ที่พึ่งได้รับการเปิดเผยเมื่อเร็ว ๆ นี้ใน Ivanti Endpoint Manager Mobile (EPMM) ในกรณีที่พอร์ต 8443 ไม่ได้เปิดให้เข้าถึงจากอินเทอร์เน็ต เนื่องจากพอร์ทัลผู้ดูแลระบบดังกล่าวถูกใช้เพื่อสื่อสารกับเซิร์ฟเวอร์ Ivanti EPMM
รายงานนี้เกิดขึ้นหนึ่งสัปดาห์ภายหลังจากที่ Ivanti ได้แก้ไขช่องโหว่ buffer overflow (CVE-2023-32560) ในซอฟต์แวร์ Avalanche ซึ่งอาจนำไปสู่การหยุดการทำงานของระบบ และการเรียกใช้โค้ดได้ตามที่ต้องการในซอฟต์แวร์ Avalanche ที่มีช่องโหว่ได้
ที่มา : thehackernews
You must be logged in to post a comment.