CISA ระบุถึงช่องโหว่ด้านความปลอดภัยระดับ Critical ของ Ivanti อีกหนึ่งรายการ ที่ทำให้ Hacker สามารถสร้างบัญชีผู้ดูแลระบบ บนอุปกรณ์ Virtual Traffic Manager (vTM) ที่มีช่องโหว่ได้ โดยพบว่ากำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง
CVE-2024-7593 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ auth bypass ซึ่งเกิดจากการใช้งาน authentication algorithm ที่ไม่ถูกต้อง ทำให้ Hacker สามารถหลีกเลี่ยงการยืนยันตัวตนบน vTM admin panels ที่เข้าถึงได้จากอินเทอร์เน็ต และทำให้สามารถสร้างบัญชีผู้ดูแลระบบได้
Virtual Traffic Manager (vTM) คือ application delivery controller (ADC) ที่ทำหน้าที่เป็น load balancing และ traffic management สำหรับการโฮสต์บริการที่สำคัญทางธุรกิจ
ทั้งนี้ Ivanti พบว่ามีการปล่อยชุดสาธิตการโจมตี (PoC) หลังจากที่มีการเผยแพร่อัปเดตการแก้ไขช่องโหว่ CVE-2024-7593 แต่ทาง Ivanti ยังไม่ได้ยืนยันการโจมตีโดยใช้ช่องโหว่ดังกล่าว
Ivanti แนะนำให้ผู้ดูแลระบบทำการตรวจสอบ Audit Logs สำหรับการสร้างบัญชีผู้ดูแลระบบใหม่ 'user1' หรือ 'user2' ที่เพิ่มเข้ามาผ่าน GUI เพื่อค้นหาหลักฐานการโจมตี รวมถึงทำการจำกัดการเข้าถึง vTM management interface เฉพาะ internal network หรือ private IP address เพื่อ block ความพยายามในการโจมตีที่อาจเกิดขึ้น และลดความเสี่ยงจากการถูกโจมตี
CISA ได้เพิ่มช่องโหว่ authentication bypass ใน Ivanti vTM ลงใน Known Exploited Vulnerabilities catalog โดยระบุว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน ตามที่ Binding Operational Directive (BOD) 22-01 กำหนดไว้ หน่วยงานของรัฐบาลกลางจะต้องรักษาความปลอดภัยอุปกรณ์ที่มีความเสี่ยงบนเครือข่ายของตนภายในสามสัปดาห์ หรือภายในวันที่ 15 ตุลาคม 2024
Known Exploited Vulnerabilities catalog (KEV) ของ CISA เน้นแจ้งเตือนหน่วยงานของรัฐบาลกลางเกี่ยวกับช่องโหว่ที่ควรแก้ไขโดยเร็วที่สุด แต่ก็แนะนำให้องค์กรเอกชนทั่วโลกให้ความสำคัญกับการลดช่องโหว่ด้านความปลอดภัยเช่นเดียวกัน
ในช่วงไม่กี่เดือนที่ผ่านมา ช่องโหว่ของ Ivanti หลายรายการ ถูกนำไปใช้ในการโจมตีแบบ zero-day กับอุปกรณ์ VPN, ICS, IPS และ ZTA gateways นอกจากนี้ บริษัทยังได้แจ้งเตือนในเดือนกันยายน 2024 ว่าพบกลุ่ม Hacker ได้ใช้ช่องโหว่ Cloud Services Appliance (CSA) 2 รายการที่เพิ่งได้รับการแก้ไขในการโจมตีเป้าหมาย
รวมถึงในเดือนกันยายน 2024 ทาง Ivanti ได้ปรับปรุงความสามารถใน internal scanning และ testing capabilities เพื่อตอบสนองต่อการโจมตีเหล่านี้ และปัจจุบันกำลังดำเนินการปรับปรุงกระบวนการเปิดเผยข้อมูลอย่างรับผิดชอบเพื่อแก้ไขปัญหาความปลอดภัยที่อาจเกิดขึ้นได้รวดเร็วยิ่งขึ้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.