Ivanti แก้ไขช่องโหว่ร้ายแรง ใน Standalone Sentry ที่ถูกรายงานโดย NATO

Ivanti แก้ไขช่องโหว่ร้ายแรง ใน Standalone Sentry ที่ถูกรายงานโดย NATO

Ivanti ได้เผยแพร่รายงานการแก้ไขช่องโหว่ Standalone Sentry ที่มีความรุนแรงระดับสูง ซึ่งถูกค้นพบ และรายงานโดยนักวิจัยของ NATO Cyber Security Center

Standalone Sentry ได้ถูกใช้เป็นเซิร์ฟเวอร์ Kerberos Key Distribution Center Proxy (KKDCP) ขององค์กร หรือ gatekeeper สำหรับเซิร์ฟเวอร์ Exchange และ Sharepoint ที่เปิดใช้งาน ActiveSync

CVE-2023-41724 (คะแนน CVSS 7.5/10 ความรุนแรงระดับ High) ซึ่งส่งผลกระทบต่อทุกเวอร์ชัน และช่วยให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตนที่อยู่ภายในเครือข่ายเดียวกันสามารถดำเนินการคำสั่งตามที่ต้องการได้

นอกจากนี้ทาง Ivanti ยังได้แก้ไขช่องโหว่รายการที่ 2 คือ CVE-2023-46808 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) ใน Neurons สำหรับ ITSM IT service management solution ซึ่งช่วยให้ Hacker สามารถสามารถเข้าถึงบัญชีที่มีสิทธิ์ต่ำ เพื่อเรียกใช้คำสั่งได้จากระยะไกลด้วยสิทธิ์ผู้ใช้งาน web application แม้ว่าการแก้ไขช่องโหว่ดังกล่าวจะถูกแก้ไขไปแล้วกับ Ivanti Neurons สำหรับ ITSM Cloud landscape ทั้งหมดแล้ว แต่การใช้งาน on-premise ยังคงมีความเสี่ยงจากการโจมตีอยู่

Ivanti ยังไม่พบหลักฐานว่าช่องโหว่ด้านความปลอดภัยทั้ง 2 รายการ กำลังถูกนำไปใช้โจมตี แต่ก็ได้แจ้งเตือนไปยังผู้ดูแลระบบให้เร่งอัปเดตเพื่อป้องกันช่องโหว่โดยด่วน

การโจมตีอุปกรณ์ Ivanti

นับตั้งแต่การค้นพบว่ากลุ่ม APT ที่ได้รับการสนับสนุนจากรัฐบาล ได้ใช้ช่องโหว่ zero-day ของอุปกรณ์ Ivanti ในการโจมตีเป้าหมายอย่างต่อเนื่อง เช่น CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 และ CVE-2024-21893 ทำให้กลุ่ม Hacker กลุ่มอื่น ๆ ก็ได้หันมาโจมตีช่องโหว่ของอุปกรณ์ Ivanti เช่นเดียวกัน

โดยกลุ่ม Hacker ของจีนหลายกลุ่มได้ใช้ช่องโหว่แบบ Zero-day ใน Connect Secure (CVE-2021-22893) เมื่อสามปีที่แล้วเพื่อโจมตีหน่วยงานรัฐบาล กระทรวงกลาโหม และองค์กรทางการเงินหลายสิบแห่งทั่วยุโรป และสหรัฐอเมริกา

โดยในเดือนกุมภาพันธ์ 2024 พบว่าอุปกรณ์ Ivanti Connect Secure และ Policy Secure endpoint กว่า 13,000 เครื่องมีความเสี่ยงต่อการโจมตีช่องโหว่

รวมถึงทาง CISA ได้ออกคำสั่งฉุกเฉินฉบับแรกของปี 2024 สั่งให้หน่วยงานรัฐบาลกลางทำการอัปเดตความปลอดภัยของระบบ Ivanti Connect Secure และ Policy Secure ทันที หลังจากที่ช่องโหว่ zero-day ของอุปกรณ์ได้ตกเป็นเป้าหมายของการโจมตีในวงกว้าง

อีกทั้งหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้แก้ไขคำสั่งฉุกเฉินประมาณสองสัปดาห์ต่อมาเพื่อสั่งให้หน่วยงานทำการตัดการเชื่อมต่ออุปกรณ์ Ivanti VPN ที่มีช่องโหว่ทั้งหมดโดยเร็วที่สุด และขึ้นระบบใหม่ด้วยเวอร์ชันล่าสุดก่อนนำกลับมาออนไลน์อีกครั้ง

ที่มา : BLEEPINGCOMPUTER