CISA แจ้งเตือนช่องโหว่ระดับ Critical หลายรายการที่ถูกเปิดเผยบนแพลตฟอร์มต่าง ๆ

CISA ได้เพิ่มช่องโหว่หลายรายการเข้าไปใน Exploited Vulnerabilities (KEV) แค็ตตาล็อก โดยพบช่องโหว่ทั้งหมด 6 รายการในผลิตภัณฑ์ต่าง ๆ เช่น Zimbra Collaboration, Ivanti, D-Link, DrayTek, GPAC, และ SAP ซึ่งช่องโหว่เหล่านี้มีระดับความรุนแรงตั้งแต่ระดับ Critical จนถึงความรุนแรงระดับปานกลาง และจำเป็นต้องได้รับการแก้ไขอย่างเร่งด่วน

หนึ่งในช่องโหว่ที่น่าสนใจที่สุดคือ CVE-2024-45519 ซึ่งเกี่ยวข้องกับ Zimbra Collaboration โดยช่องโหว่นี้มีความรุนแรงระดับ Critical คะแนน CVSS อยู่ที่ 9.8 ซึ่งแสดงให้เห็นถึงระดับของความร้ายแรง สาเหตุของช่องโหว่นี้เกิดจาก postjournal service ในบางเวอร์ชันของ Zimbra ซึ่งอาจอนุญาตให้ผู้ใช้งานที่ไม่ได้รับการยืนยันตัวตนสามารถรันคำสั่งที่อาจเป็นอันตรายได้

ช่องโหว่นี้ได้รับการวิเคราะห์ครั้งแรกโดยนักวิจัยจาก ProjectDiscovery ซึ่งได้สาธิตการใช้ช่องโหว่ Proof of Concept (PoC) เมื่อวันที่ 1 ตุลาคม 2024 โดยนักวิจัยด้านความปลอดภัย Ivan Kwiatkowski รายงานว่า การโจมตีช่องโหว่นี้ได้เริ่มต้นขึ้นในวงกว้าง โดยเครื่องมือสแกน ODIN ของ Cyble ได้ตรวจพบ ZCS ที่เชื่อมต่อกับอินเทอร์เน็ตจำนวน 35,315 อินสแตนซ์ ในช่วงที่มีการเผยแพร่คำแนะนำ

อีกหนึ่งช่องโหว่ที่ถูกเน้นย้ำคือ CVE-2024-29824 ใน Ivanti Endpoint Manager (EPM) 2022 โดยช่องโหว่นี้มีระดับความรุนแรงสูง เนื่องจากเป็นช่องโหว่ SQL Injection ซึ่งช่วยให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนภายในเครือข่ายเดียวกันสามารถสั่งรันโค้ดที่ต้องการได้ โดยมีรายงานการพยายามโจมตีช่องโหว่นี้จาก Shadowserver Foundation ซึ่งแสดงให้เห็นถึงความสำคัญในการแก้ไขปัญหาอย่างเร่งด่วน ช่องโหว่นี้มีคะแนน CVSS 8.8

คำแนะนำยังกล่าวถึง CVE-2023-25280 ซึ่งเป็นช่องโหว่ระดับ Critical ที่เกี่ยวข้องกับการโจมตีระบบปฏิบัติการ (OS injection) ในอุปกรณ์ D-Link ช่องโหว่นี้อนุญาตให้ผู้โจมตีสามารถควบคุมคำสั่งของระบบได้ผ่านการตรวจสอบค่าพารามิเตอร์ ping_addr ที่ไม่เพียงพอ

ช่องโหว่ที่สำคัญอื่น ๆ

นอกจากนี้ยังมี CVE-2020-15415 ที่ส่งผลกระทบกับเราเตอร์หลายรุ่นของ DrayTek โดยทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกลได้ผ่านการโจมตีแบบ OS injection โดยมีคะแนน CVSS 9.8 ทำให้ช่องโหว่นี้ถือเป็นช่องโหว่ระดับ Critical ที่ต้องได้รับการแก้ไขอย่างเร่งด่วน เครื่องมือสแกน ODIN ของ Cyble ได้แสดงให้เห็นว่ามีเราเตอร์ที่ได้รับผลกระทบจำนวน 275,109 อินสแตนซ์ที่เปิดเผยอยู่บนอินเทอร์เน็ตในปัจจุบัน ซึ่งแสดงให้เห็นถึงความเสี่ยงจำนวนมาก

นอกจากนี้ CVE-2021-4043 เป็นช่องโหว่ที่มีระดับความรุนแรงปานกลางใน GPAC repository ซึ่งอาจนำไปสู่การโจมตีแบบ Denial-of-Service (DoS) ส่วนสุดท้าย CVE-2019-0344 ใน SAP Commerce Cloud ซึ่งเป็นช่องโหว่ระดับ Critical โดยเป็นช่องโหว่ unsafe deserialization ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ดที่ต้องการได้ด้วยเงื่อนไขการ authentication ระดับต่ำ

การเพิ่มช่องโหว่เหล่านี้ในรายการ KEV ของ CISA เป็นสัญญาณที่ชัดเจนว่าผู้โจมตีมีการใช้ช่องโหว่เหล่านี้ในทางที่ไม่ดี องค์กรต่าง ๆ จำเป็นต้องตระหนักว่าช่องโหว่ที่ระบุในรายการ KEV แค็ตตาล็อก เป็นความเสี่ยงที่กำลังเกิดขึ้นจริง ไม่ใช่แค่ความกังวลเชิงทฤษฎี หากไม่เร่งแก้ไขช่องโหว่เหล่านี้อาจส่งผลให้เกิดผลกระทบร้ายแรง เช่น การละเมิดข้อมูล, การโจมตีด้วยแรนซัมแวร์ และการยกระดับสิทธิ์

คำแนะนำ และการลดผลกระทบ

  • ติดตั้งแพตช์ล่าสุดจากผู้ให้บริการที่เชื่อถือได้อย่างสม่ำเสมอสำหรับซอฟต์แวร์ และฮาร์ดแวร์ทั้งหมด สร้างระบบในการจัดการแพตช์ โดยให้ความสำคัญกับการอัปเดตที่มีความสำคัญ
  • พัฒนากระบวนการจัดการแพตช์ที่ครอบคลุม ซึ่งรวมถึงการจัดการ inventory, การประเมิน, การทดสอบ, การนำไปใช้งาน และการตรวจสอบการอัปเดต ควรทำให้เป็นอัตโนมัติถ้าเป็นไปได้ เพื่อเพิ่มประสิทธิภาพ
  • ดำเนินการ network segmentation อย่างเหมาะสมเพื่อปกป้องทรัพย์สินที่สำคัญ โดยสามารถทำได้ผ่านไฟร์วอลล์, VLAN และควบคุมการเข้าถึงอย่างเข้มงวด เพื่อช่วยลดความเสี่ยงจากภัยคุกคามที่อาจเกิดขึ้น
  • จัดเตรียมแผนการตอบสนองต่อเหตุการณ์ให้เป็นปัจจุบันอยู่เสมอ โดยระบุขั้นตอนในการตรวจจับ, ตอบสนอง และกู้คืนจากเหตุการณ์ด้านความปลอดภัย ควรทดสอบ และปรับปรุงแผนนี้อย่างสม่ำเสมอเพื่อให้แน่ใจว่ามีประสิทธิภาพ
  • ระบุ และเลิกใช้ผลิตภัณฑ์ที่หมดอายุการใช้งาน เพื่อลดความเสี่ยงที่อาจเกิดขึ้น องค์กรควรให้ความสำคัญกับการอัปเกรด หรือเปลี่ยนผลิตภัณฑ์ที่สำคัญในเวลาที่เหมาะสม

ที่มา : cyble.com