Ivanti ออกมาแจ้งเตือนการพบกลุ่ม Hacker กำลังใช้ช่องโหว่ของ Cloud Services Appliance (CSA) อีกหนึ่งรายการ เพื่อทำการโจมตีไปยังเป้าหมาย
CVE-2024-8963 (คะแนน CVSS 9.4/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่จาก path traversal ซึ่งทำให้ Hacker ที่ไม่ผ่านการยืนยันตัวตน สามารถเข้าถึงฟังก์ชันการทำงานที่ถูกจำกัดบนระบบ CSA (ซึ่งถูกใช้เป็น gateway เพื่อให้ผู้ใช้ระดับองค์กรเข้าถึงทรัพยากรเครือข่ายภายในได้อย่างปลอดภัย) ที่มีช่องโหว่ได้จากระยะไกล
โดยผู้โจมตีกำลังใช้ช่องโหว่ CVE-2024-8963 ร่วมกับ CVE-2024-8190 ซึ่งเป็นช่องโหว่ command injection ใน CSA ที่ถูกเปิดเผยออกมาก่อนหน้านี้ และได้รับการแก้ไขไปแล้วแล้ว แต่พบว่าได้ถูกกลุ่ม Hacker นำช่องโหว่ไปใช้ในการโจมตีแล้ว เพื่อหลีกเลี่ยงการพิสูจน์ตัวตนของผู้ดูแลระบบ และเรียกใช้คำสั่งบนอุปกรณ์ที่มีช่องโหว่
Ivanti แนะนำให้ผู้ดูแลระบบตรวจสอบการแจ้งเตือนจาก endpoint detection and response (EDR) หรือซอฟต์แวร์ความปลอดภัยอื่น ๆ และตรวจสอบการตั้งค่าระบบ สิทธิ์การเข้าถึงสำหรับผู้ใช้ ผู้ดูแลระบบใหม่ หรือที่มีการปรับเปลี่ยนเพื่อตรวจจับความพยายามในการโจมตี รวมถึงควรมีการตั้งค่า dual-homed CSA เป็น internal network เพื่อลดความเสี่ยงในการถูกโจมตี
หน่วยงานของรัฐบาลกลางต้องแก้ไขโดยเร็วที่สุด
CISA ยังได้เพิ่มช่องโหว่ Ivanti CSA หมายเลข CVE-2024-8190 และ CVE-2024-8963 ลงใน Known Exploited Vulnerabilities catalog โดยทาง หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) จะต้องแก้ไขอุปกรณ์ที่มีความเสี่ยงจากช่องโหว่ภายในสามสัปดาห์ หรือภายในวันที่ 4 ตุลาคม และ 10 ตุลาคมตามลำดับ ตามข้อกำหนดในคำสั่งปฏิบัติการ (BOD) 22-01
ในเดือนพฤษภาคม 2024 ทาง CISA และ FBI ได้เรียกร้องให้บริษัทเทคโนโลยีทำการตรวจสอบผลิตภัณฑ์ซอฟต์แวร์ของตนเพื่อป้องกันความเสี่ยงจากช่องโหว่ path traversal
ทั้งนี้ทาง Ivanti ได้เพิ่มขีดความสามารถในการสแกน และทดสอบภายใน และยังปรับปรุงกระบวนการเปิดเผยข้อมูลอย่างรับผิดชอบ เพื่อแก้ไขปัญหาความปลอดภัยที่อาจเกิดขึ้นได้รวดเร็วยิ่งขึ้น ซึ่งในช่วงไม่กี่เดือนที่ผ่านมาช่องโหว่ของ Ivanti หลายรายการถูกนำไปใช้ในการโจมตีแบบ zero-day ที่กำหนดเป้าหมายไปที่อุปกรณ์ VPN ของบริษัท และ ICS, IPS และ ZTA gateways
ที่มา : bleepingcomputer
You must be logged in to post a comment.