Ivanti ออกมายืนยันช่องโหว่ระดับ High ในโซลูชัน Cloud Services Appliance (CSA) หมายเลข CVE-2024-8190 ว่าขณะนี้กำลังถูกกลุ่ม Hacker นำไปใช้ในการโจมตีอย่างต่อเนื่อง
Ivanti Cloud Services Appliance (CSA) เป็นผลิตภัณฑ์ด้านความปลอดภัยที่ทำหน้าที่เป็น gateway เพื่อให้ผู้ใช้งานภายนอกสามารถเข้าถึงทรัพยากรภายในองค์กรได้อย่างปลอดภัย
Ivanti มีพันธมิตรมากกว่า 7,000 รายทั่วโลก และผลิตภัณฑ์ของบริษัทถูกใช้โดยบริษัทมากกว่า 40,000 แห่งในการจัดการระบบ และ IT asset ของพวกเขา
CVE-2024-8190 เป็นช่องโหว่ที่ทำให้ Hacker ที่ผ่านการยืนยันตัวตนด้วยสิทธิ์ของผู้ดูแลระบบ สามารถเรียกใช้คำสั่งที่เป็นอันตรายได้จากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ที่ใช้ Ivanti CSA 4.6 ด้วยวิธีการ command injection
แม้ว่าทาง Ivanti จะยังไม่ทราบว่ามีลูกค้ารายใดที่ถูกโจมตีด้วยช่องโหว่ดังกล่าว แต่ได้มีการยืนยันการใช้ช่องโหว่ในการโจมตี หลังจากมีการเปิดเผยช่องโหว่ออกสู่สาธารณะ
โดย Ivanti แนะนำให้ลูกค้าทำการอัปเกรดจาก CSA 4.6.x (ซึ่งถึงสถานะสิ้นสุดการสนับสนุนแล้ว End-of-Life) ไปเป็น CSA 5.0 (ซึ่งยังอยู่ภายใต้การสนับสนุน)
หน่วยงาน CISA สั่งแก้ไขภายในวันที่ 4 ตุลาคม 2024
CISA ได้เพิ่มช่องโหว่ Ivanti CSA หมายเลข CVE-2024-8190 ลงใน Known Exploited Vulnerabilities catalog ตามที่กำหนดไว้ในคำสั่ง Binding Operational Directive (BOD) 22-01 หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) จะต้องรักษาความปลอดภัยอุปกรณ์ที่มีความเสี่ยงภายในสามสัปดาห์ คือภายในวันที่ 4 ตุลาคม 2024
ก่อนหน้านี้ทาง Ivanti ได้แก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ Endpoint Management (EPM) ซึ่งทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ได้ รวมถึงยังได้แก้ไขช่องโหว่ระดับ High และระดับ Critical อื่น ๆ อีกเกือบ 24 รายการใน Ivanti EPM, Workspace Control (IWC) และ Cloud Service Appliance (CSA)
ทั้งนี้ Ivanti ระบุว่า บริษัทได้มีการเพิ่มศักยภาพในการสแกน และทดสอบภายในในช่วงไม่กี่เดือนที่ผ่านมา ขณะเดียวกันก็ทำงานเพื่อปรับปรุงกระบวนการเปิดเผยข้อมูลอย่างรับผิดชอบเพื่อแก้ไขปัญหาความปลอดภัยที่อาจเกิดขึ้นได้รวดเร็วยิ่งขึ้น ทำให้มีการค้นพบ และเปิดเผยข้อมูลช่องโหว่เพิ่มมากขึ้น
ที่มา : bleepingcomputer