Ivanti ได้แจ้งเตือนลูกค้าให้เร่งแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่มีระดับความรุนแรงสูงใน Endpoint Manager Mobile (EPMM) ซึ่งกำลังถูกใช้ในการโจมตีแบบ Zero-Day

CVE-2026-6973 (คะแนน CVSS 7.2/10 ความรุนแรงระดับ High) เป็นช่องโหว่ Input Validation ที่ทำให้ Hacker จากภายนอกที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถเรียกใช้โค้ดที่เป็นอันตรายบนระบบเป้าหมายที่ใช้งาน EPMM ที่มีช่องโหว่ เวอร์ชัน 12.8.0.0 และก่อนหน้า

Ivanti ได้แนะนำให้ผู้ใช้งาน EPMM เวอร์ชันที่มีช่องโหว่ ทำการอัปเดตเวอร์ชันเป็น Ivanti EPMM เวอร์ชัน 12.6.1.1, 12.7.0.1 และ 12.8.0.1 และแนะนำให้ลูกค้าตรวจสอบบัญชีที่มีสิทธิ์ผู้ดูแลระบบ และเปลี่ยนข้อมูล credentials เหล่านั้นหากจำเป็น

Ivanti ระบุว่า พบการโจมตีช่องโหว่ Zero-Day ดังกล่าว ในวงจำกัดมาก ซึ่งต้องใช้สิทธิ์ของผู้ดูแลระบบจึงจะโจมตีได้สำเร็จ โดยยังไม่มีรายละเอียดอื่น ๆ เพิ่มเติม

ช่องโหว่ CVE-2026-6973 นี้ ส่งผลกระทบเฉพาะผลิตภัณฑ์ EPMM ที่ติดตั้งบนเซิร์ฟเวอร์ภายในองค์กรเท่านั้น และไม่พบใน Ivanti Neurons for MDM, โซลูชัน endpoint management บนคลาวด์ของ Ivanti, Ivanti EPM (ผลิตภัณฑ์ที่มีชื่อคล้ายกัน แต่เป็นผลิตภัณฑ์ที่แตกต่างกัน), Ivanti Sentry หรือผลิตภัณฑ์อื่น ๆ ของ Ivanti

Shadowserver หน่วยงานตรวจสอบความปลอดภัยทางอินเทอร์เน็ต ได้ติดตาม IP addresses กว่า 850 รายการ ที่มีร่องรอยการใช้งาน Ivanti EPMM ทางออนไลน์ ส่วนใหญ่มาจากยุโรป 508 รายการ และอเมริกาเหนือ 182 รายการ อย่างไรก็ตาม ยังไม่มีข้อมูลว่ามีกี่รายการที่ได้รับการแก้ไขช่องโหว่ CVE-2026-6973 แล้ว

นอกจากนี้ Ivanti ยังได้แก้ไขช่องโหว่ EPMM ที่มีระดับความรุนแรงสูงอีก 4 รายการ (CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 และ c) ซึ่งอาจทำให้ Hacker สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบ ปลอมตัวเป็น Sentry hosts ที่ลงทะเบียนไว้เพื่อรับ CA-signed client certificates ที่ถูกต้อง เรียกใช้ methods และเข้าถึงข้อมูลที่จำกัดได้

อย่างไรก็ตาม Ivanti ระบุว่า ไม่มีหลักฐานว่าช่องโหว่เหล่านี้ถูกนำไปใช้โจมตีในทางปฏิบัติ และระบุว่า CVE-2026-7821 (ซึ่ง Hacker ที่ไม่มีสิทธิ์พิเศษสามารถใช้โจมตีได้) ส่งผลกระทบเฉพาะผู้ใช้ที่ใช้งาน และกำหนดค่า Apple Device Enrollment เท่านั้น

ในเดือนมกราคม Ivanti ได้เปิดเผยช่องโหว่ code-injection ระดับ Critical 2 รายการในระบบ EPMM (CVE-2026-1281 และ CVE-2026-1340) ซึ่งถูกนำไปใช้ในการโจมตีแบบ Zero-Day ที่ส่งผลกระทบต่อลูกค้าจำนวนจำกัด โดย Ivanti แนะนำให้ผู้ใช้งานทำการเปลี่ยนข้อมูล credentials หากถูกโจมตีด้วย CVE-2026-1281 และ CVE-2026-1340 ซึ่งจะทำให้ความเสี่ยงในการถูกโจมตีช่องโหว่ CVE-2026-6973 ลดลงไปอย่างมาก

ในเดือนเมษายน 2026 หน่วยงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ให้เวลาหน่วยงานรัฐบาลสหรัฐฯ 4 วันในการรักษาความปลอดภัยระบบของตนจากการโจมตีจากช่องโหว่ CVE-2026-1340

ทั้งนี้ช่องโหว่ Zero-Day อื่น ๆ ของ Ivanti EPMM อีกหลายรายการ ถูกนำไปใช้ในการโจมตีในช่วงไม่กี่ปีที่ผ่านมา เพื่อเจาะระบบเป้าหมายที่หลากหลาย รวมถึงหน่วยงานรัฐบาลทั่วโลก โดยรวมแล้ว CISA ได้ระบุช่องโหว่ของ Ivanti จำนวน 33 รายการที่กำลังถูกใช้โจมตีในวงกว้าง ซึ่ง 12 รายการในจำนวนนี้ถูกนำไปใช้โดยกลุ่ม Ransomware ต่าง ๆ ด้วย

โดย Ivanti ให้บริการ IT asset management แก่ลูกค้ากว่า 40,000 ราย ผ่านเครือข่ายพันธมิตรมากกว่า 7,000 รายทั่วโลก

 

ที่มา : bleepingcomputer.