Ivanti ได้แก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ Endpoint Management (EPM) ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ได้
Ivanti EPM เป็นซอฟต์แวร์ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ client devices ที่ทำงานบนแพลตฟอร์มต่าง ๆ เช่น Windows, macOS, Chrome OS และระบบปฏิบัติการ IoT
ช่องโหว่ดังกล่าวมีหมายเลข (CVE-2024-29847) โดยเป็นช่องโหว่ deserialization ข้อมูลที่ไม่น่าเชื่อถือใน agent portal ซึ่งได้มีการแก้ไขช่องโหว่ไปแล้วในแพตช์เร่งด่วนของ Ivanti EPM 2024 และ Ivanti EPM 2022 Service Update 6 (SU6)
ทาง Ivanti ได้ระบุในคำแนะนำที่เผยแพร่ออกมาเมื่อวันที่ 10 กันยายน 2024 ว่า หากผู้โจมตีสามารถโจมตีได้สำเร็จ อาจนำไปสู่การเข้าถึงเซิร์ฟเวอร์ของ EPM โดยที่ไม่ได้รับอนุญาต
Ivanti ระบุเพิ่มเติมว่า ไม่มั่นใจว่ามีลูกค้ารายใดบ้างที่ถูกโจมตีจากช่องโหว่นี้ในขณะที่มีการเปิดเผยข้อมูลนี้ แต่ปัจจุบันยังไม่มีการเปิดเผยว่ามีการใช้ช่องโหว่นี้ในการโจมตีแบบสาธารณะ ซึ่งจะสามารถนำมาใช้เพื่อจัดทำ list ของ IOCs ได้
วันที่ 10 กันยายน 2024 Ivanti ได้แก้ไขช่องโหว่ Ivanti EPM ระดับ Critical อีก 2 รายการ ใน Workspace Control (IWC) และ Cloud Service Appliance (CSA) ซึ่งเป็นช่องโหว่ที่ยังไม่พบการถูกนำมาใช้ในการโจมตีก่อนที่จะมีการอัปเดตแพตซ์
ในเดือนมกราคม บริษัท Ivanti ได้แก้ไขช่องโหว่ RCE ที่คล้ายกันนี้ (CVE-2023-39336) ใน Ivanti EPM ซึ่งสามารถถูกโจมตีเพื่อเข้าถึงเซิร์ฟเวอร์ หรืออุปกรณ์ที่ลงทะเบียนไว้ได้
ช่องโหว่ได้รับการแก้ไขเพิ่มมากขึ้น เนื่องจากมีการปรับปรุงระบบความปลอดภัย
Ivanti ระบุว่า ได้มีการทำ internal scanning, manual exploitation และ testing capabilities เพิ่มขึ้นในช่วงหลายเดือนที่ผ่านมา ในขณะเดียวกันก็ได้มีการปรับปรุงการทำงานของระบบ เพื่อแก้ไขปัญหาที่อาจเกิดขึ้นในเร็ว ๆ นี้
Ivanti ระบุว่า เหตุการณ์นี้ทำให้ค้นพบข้อมูลว่ามีช่องโหว่เกิดขึ้น และมีความเห็นตรงกันกับคำแนะนำจาก CISA ที่ระบุว่า เมื่อพบช่องโหว่ควรนำช่องโหว่ที่พบมาเปิดเผย เพื่อเป็นการรับผิดชอบ และจะได้มีการตรวจสอบ code analysis และ testing community ซึ่งเป็นสิ่งที่ถูกต้องสำหรับผู้ให้บริการ
คำแนะนำนี้เกิดขึ้นภายหลังจากการถูกโจมตีจากช่องโหว่ zero-day ของ Ivanti หลายครั้งในช่วงหลายปีที่ผ่านมา เช่น อุปกรณ์ VPN ของ Ivanti ที่ตกเป็นเป้าหมายตั้งแต่เดือนธันวาคม 2023 โดยเป็นช่องโหว่ command injection ที่มีความเชื่อมโยงกับช่องโหว่หมายเลข CVE-2024-21887 และช่องโหว่การ bypass การตรวจสอบยืนยันตัวตนหมายเลข CVE-2023-46805
บริษัท Ivanti ได้แจ้งเตือนถึงช่องโหว่ Zero-Day ครั้งที่สาม (ซึ่งเป็นช่องโหว่ server-side request forgery โดยมีหมายเลข CVE-2024-21893) ทั้งนี้ช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีหลายครั้งในช่วงเดือนกุมภาพันธ์ที่ผ่านมา ทำให้ผู้โจมตีสามารถ bypass การตรวจสอบยืนยันตัวตนจากอุปกรณ์ ICS, IPS และ ZTA gateways ที่มีช่องโหว่ได้
Ivanti ระบุว่ามี partners มากกว่า 7,000 รายทั่วโลก และบริษัทมากกว่า 40,000 ราย ที่ใช้ผลิตภัณฑ์ของ Ivanti อยู่ เพื่อจัดการ IT assets และระบบภายในบริษัท
ที่มา : bleepingcomputer
You must be logged in to post a comment.