Ivanti บริษัทซอฟต์แวร์ด้านไอที ได้เปิดเผยการค้นพบช่องโหว่ใหม่ในซอฟต์แวร์การจัดการอุปกรณ์พกพา MobileIron Core
โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-35082 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การเข้าถึง API จากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์ ซึ่งทำให้ Hacker สามารถเข้าถึงข้อมูลส่วนบุคคล (PII) ของผู้ใช้อุปกรณ์มือถือ และเซิร์ฟเวอร์ที่ถูกโจมตีจากช่องโหว่ได้ ผ่านทาง web shell เพื่อเรียกใช้ช่องโหว่อื่น ๆ ในการโจมตีต่อไป ซึ่งส่งผลกระทบต่อ MobileIron Core เวอร์ชัน 11.2 และเก่ากว่า
ทั้งนี้ Ivanti จะไม่ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว เนื่องจากมีตัวแก้ไขช่องโหว่ดังกล่าวที่อยู่ใน Endpoint Manager Mobile (EPMM) ซึ่งเป็นผลิตภัณฑ์เวอร์ชันใหม่แล้ว ดังนั้นทาง Ivanti จึงแนะนำให้ลูกค้าทำการอัปเดตผลิตภัณฑ์เป็น Ivanti Endpoint Manager Mobile (EPMM) เวอร์ชันล่าสุด เพื่อป้องกันช่องโหว่
จากการตรวจสอบของ Shodan พบว่ามีผู้ใช้งาน MobileIron มากกว่า 2,200 รายการที่สามารถเข้าถึงได้จากอินเทอร์เน็ต รวมถึงในรายการที่พบดังกล่าวยังได้เชื่อมต่อกับหน่วยงานรัฐบาลท้องถิ่น และรัฐของสหรัฐฯ
ทาง Rapid7 บริษัทด้านความปลอดภัยทางไซเบอร์ที่ค้นพบ และรายงานช่องโหว่ดังกล่าว ได้จัดทำข้อมูล IOC ที่เกี่ยวข้องกับการโจมตี เพื่อให้ผู้ใช้งานได้ทำการตรวจสอบ และแจ้งเตือนให้ผู้ใช้งานเร่งทำการอัปเดตเพื่อป้องกันช่องโหว่โดยเร็วที่สุด
พบช่องโหว่ของ Ivanti ถูกนำมาโจมตีตั้งแต่เดือนเมษายน 2023
โดยก่อนหน้านี้มีรายงานการค้นพบช่องโหว่สองรายการใน Endpoint Manager Mobile (EPMM) ของ Ivanti (เดิมคือ MobileIron Core) ที่ถูกนำไปใช้ในการโจมตีตั้งแต่เดือนเมษายน 2023 ตามรายงานของ CISA
CVE-2023-35078 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ ที่ถูก Hacker นำมาใช้ในการโจมตีแบบ Zero-day เพื่อโจมตีเครือข่ายของหน่วยงานรัฐบาลนอร์เวย์หลายแห่ง
CVE-2023-35081 (คะแนน CVSS 7.1/10 ความรุนแรงระดับสูง) เป็นช่องโหว่ที่สามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบเพื่อใช้ Web Shell บนระบบที่ถูกโจมตีได้
ระบบการจัดการอุปกรณ์เคลื่อนที่ (MDM) เป็นเป้าหมายที่น่าสนใจสำหรับ Hacker เนื่องจากระบบดังกล่าว ทำให้สามารถเข้าถึงอุปกรณ์เคลื่อนที่หลายพันเครื่องโดยใช้สิทธ์สูง โดยใช้ประโยชน์จากช่องโหว่ MobileIron ทำให้ CISA และ NCSC-NO มีความกังวลเกี่ยวกับศักยภาพในการโจมตีอย่างกว้างขวาง ในเครือข่ายภาครัฐ และเอกชน ทำให้ต้องประกาศแจ้งไปยังหน่วยงานที่เกี่ยวข้องเร่งทำการอัปเดตเพื่อป้องกันช่องโหว่ให้แล้วเสร็จภายในวันที่ 15 และ 21 สิงหาคม 2023
ที่มา : bleepingcomputer
You must be logged in to post a comment.