วันนี้ (10 ธันวาคม 2024) Ivanti ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ใหม่ที่มีระดับความรุนแรงสูงสุดเกี่ยวกับการ authentication bypass ในโซลูชัน Cloud Services Appliance (CSA)
ช่องโหว่ด้านความปลอดภัย (CVE-2024-11639 และได้รับการรายงานโดยทีมวิจัยของ CrowdStrike) สามารถทำให้ผู้โจมตีจากภายนอกสามารถได้รับสิทธิ์ผู้ดูแลระบบในอุปกรณ์ที่มีช่องโหว่ที่ใช้ Ivanti CSA เวอร์ชัน 5.0.2 หรือเวอร์ชันก่อนหน้า โดยไม่ต้องผ่านการยืนยันตัวตน หรือการโต้ตอบจากผู้ใช้งาน ด้วยการหลีกเลี่ยงการยืนยันตัวตนด้วยช่องทาง หรือเส้นทางอื่น
Ivanti แนะนำให้ผู้ดูแลระบบอัปเกรดอุปกรณ์ที่มีช่องโหว่ ไปยัง CSA เวอร์ชัน 5.0.3
บริษัทระบุเมื่อวันอังคารที่ผ่านมาว่า "ยังไม่มีข้อมูลว่ามีลูกค้ารายใดที่ถูกโจมตีจากช่องโหว่นี้ก่อนการเปิดเผยต่อสาธารณะ"
โดยวันนี้ Ivanti ได้ออกแพตช์อัปเดตช่องโหว่ระดับ Medium, High และ Critical ในผลิตภัณฑ์ต่าง ๆ เช่น Desktop and Server Management (DSM), Connect Secure และ Policy Secure, Sentry และ Patch SDK อย่างไรก็ตาม ในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันอังคาร ไม่มีหลักฐานว่าช่องโหว่เหล่านี้กำลังถูกนำไปใช้ในการโจมตีจริง
CVE-2024-11639 เป็นช่องโหว่ด้านความปลอดภัยของ CSA รายการที่หกที่ได้รับการแพตช์ในช่วงหลายเดือนที่ผ่านมา โดยช่องโหว่ทั้งห้ารายการก่อนหน้านี้ได้รับการแพตช์ใน
เดือนกันยายน: CVE-2024-8190 (remote code execution)
เดือนกันยายน: CVE-2024-8963 (admin authentication bypass)
เดือนตุลาคม: CVE-2024-9379, CVE-2024-9380, CVE-2024-9381 (SQL injection, OS command injection, path traversal)
ในเดือนกันยายน บริษัทได้แจ้งเตือนเกี่ยวกับช่องโหว่ CVE-2024-8190 และ CVE-2024-8963 ที่กำลังถูกนำไปใช้ในการโจมตีจริง
นอกจากนี้ บริษัทได้แจ้งเตือนผู้ดูแลระบบเกี่ยวกับช่องโหว่ด้านความปลอดภัยสามรายการที่ได้รับการแก้ไขในเดือนตุลาคม ซึ่งถูกนำมารวมกับช่องโหว่ CVE-2024-8963 ใน CSA ที่สามารถ bypass การตรวจสอบสิทธิ์ของผู้ดูแลระบบเพื่อรันคำสั่ง SQL ผ่านการโจมตีแบบ SQL injection, bypass ข้อจำกัดด้านความปลอดภัย และรันโค้ดโดยการโจมตีแบบ command injection
กระแสของช่องโหว่ที่ถูกโจมตีอย่างต่อเนื่องนี้เกิดขึ้นในช่วงที่ Ivanti ระบุว่าได้เพิ่มการทดสอบ และความสามารถในการตรวจสอบภายใน และกำลังปรับปรุงกระบวนการเปิดเผยช่องโหว่เพื่อแพตช์ช่องโหว่ด้านความปลอดภัยได้เร็วขึ้น
ช่องโหว่อื่น ๆ อีกหลายรายการ ถูกใช้เป็น zero-day ในการโจมตีอย่างแพร่หลายเมื่อต้นปี ในแคมเปญที่มุ่งเป้าไปที่อุปกรณ์ Ivanti VPN และ ICS, IPS และ ZTA gateways
Ivanti ให้บริการแก่บริษัทกว่า 40,000 แห่งที่ใช้ผลิตภัณฑ์ของบริษัทในการจัดการระบบ และทรัพย์สินด้าน IT
ที่มา : bleepingcomputer
You must be logged in to post a comment.