Ivanti เมื่อวันอังคารที่ผ่านมาประกาศการปล่อยแพตช์สำหรับช่องโหว่ 3 รายการในผลิตภัณฑ์ของตน รวมถึงช่องโหว่ 2 รายการใน Endpoint Manager Mobile (EPMM) ที่ถูกโจมตีอย่างต่อเนื่อง

(more…)

Ivanti ปล่อยแพตซ์อัปเดตด้านความปลอดภัยสำหรับ Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) และ Ivanti Secure Access Client (ISAC) เพื่อแก้ไขช่องโหว่หลายรายการ รวมถึงช่องโหว่ความรุนแรงระดับ Critical สามรายการ (more…)

Ivanti แจ้งเตือนการพบ Hacker กำลังมุ่งเป้าการโจมตีโดยใช้ช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ของ Connect Secure หมายเลข CVE-2025-0282 ซึ่งเป็นช่องโหว่ Zero-Day ที่ถูกใช้เพื่อติดตั้งติดตั้งมัลแวร์บนอุปกรณ์

Ivanti พบช่องโหว่ดังกล่าว หลังจากที่ Ivanti Integrity Checker Tool (ICT) ตรวจพบพฤติกรรมที่เป็นอันตรายบนอุปกรณ์ของลูกค้า Ivanti จึงได้เริ่มการสอบสวน และยืนยันว่าพบ Hacker ใช้ช่องโหว่ CVE-2025-0282 โจมตีเป้าหมายในรูปแบบ Zero-Day

CVE-2025-0282 (คะแนน CVSS 9.0/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Stack-Based Buffer Overflow ใน Ivanti Connect Secure ก่อนเวอร์ชัน 22.7R2.5, Ivanti Policy Secure ก่อนเวอร์ชัน 22.7R1.2 และ Ivanti Neurons สำหรับเกตเวย์ ZTA ก่อนเวอร์ชัน 22.7R2.3 ซึ่งทำให้ Hacker ที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้

แม้ว่าช่องโหว่ดังกล่าวจะส่งผลกระทบต่อผลิตภัณฑ์ทั้ง 3 รายการ แต่ Ivanti เปิดเผยว่าพบเห็นการโจมตีในอุปกรณ์ Ivanti Connect Secure เท่านั้น โดย Ivanti ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ในเฟิร์มแวร์เวอร์ชัน 22.7R2.5 ในส่วนของอัปเดตเพื่อแก้ไขช่องโหว่สำหรับ Ivanti Policy Secure และ Ivanti Neurons สำหรับ ZTA Gateway จะถูกปล่อยในวันที่ 21 มกราคม 2025 ซึ่งจะพร้อมใช้งานใน Standard Download Portal

Ivanti Policy Secure เนื่องจากโซลูชันนี้ไม่ได้ถูกออกแบบให้เชื่อมต่อกับอินเทอร์เน็ต ซึ่งทำให้ความเสี่ยงในการถูกโจมตีช่องโหว่นี้ลดลงอย่างมาก ทั้งนี้ลูกค้าควรตรวจสอบให้แน่ใจเสมอว่าอุปกรณ์ IPS ของตนได้รับการกำหนดค่าตามคำแนะนำของ Ivanti และไม่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต เนื่องจาก Ivanti Policy Secure อาจถูกโจมตีจากช่องโหว่ดังกล่าวได้

Ivanti Neurons for ZTA Gateways ไม่สามารถถูกโจมตีได้ เมื่ออยู่ในการใช้งานบน production แต่หากมีการสร้าง gateway สำหรับโซลูชันนี้ และไม่ได้เชื่อมต่อกับ ZTA controller ก็มีความเสี่ยงที่ gateway ที่ถูกสร้างขึ้นจะถูกโจมตีจากช่องโหว่ได้

Ivanti แนะนำให้ผู้ดูแลระบบ Ivanti Connect Secure ดำเนินการทำ ICT scan ทั้งภายใน และภายนอก หากสแกนพบสัญญาณของการโจมตี Ivanti แนะนำให้ผู้ดูแลระบบทำการ factory reset ก่อนอัปเดตเป็น Ivanti Connect Secure 22.7R2.5 แต่ถึงแม้หากผลการสแกนออกมาไม่พบสัญญาณของการโจมตี Ivanti ก็ยังคงแนะนำให้ผู้ดูแลระบบทำการ factory reset ก่อนอัปเดตเป็น Ivanti Connect Secure 22.7R2.5 เช่นเดียวกัน

ทั้งนี้ Ivanti ยังได้ออกอัปเดตช่องโหว่อีกรายการ คือ CVE-2025-0283 ซึ่งเป็นช่องโหว่ที่ทำให้ Hacker สามารถยกระดับสิทธิ์ได้ ซึ่งช่องโหว่นี้ไม่ได้เกี่ยวข้องกับช่องโหว่ CVE-2025-0282 และปัจจุบันยังไม่พบการโจมตีจากช่องโหว่ดังกล่าว

โดย Ivanti กำลังทำงานร่วมกับ Mandiant และ Microsoft Threat Intelligence Center เพื่อสืบสวนการโจมตี ซึ่งอาจจะมีรายงานที่เกี่ยวกับมัลแวร์ที่ตรวจพบเร็ว ๆ นี้

ในเดือนตุลาคม 2023 Ivanti ได้ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขการโจมตีช่องโหว่ Zero-Day บน Cloud Services Appliance (CSA) จำนวน 3 รายการที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

ที่มา : bleepingcomputer

CISA ระบุถึงช่องโหว่ด้านความปลอดภัยระดับ Critical ของ Ivanti อีกหนึ่งรายการ ที่ทำให้ Hacker สามารถสร้างบัญชีผู้ดูแลระบบ บนอุปกรณ์ Virtual Traffic Manager (vTM) ที่มีช่องโหว่ได้ โดยพบว่ากำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง (more…)

 

Ivanti ออกมายืนยันช่องโหว่ระดับ High ในโซลูชัน Cloud Services Appliance (CSA) หมายเลข CVE-2024-8190 ว่าขณะนี้กำลังถูกกลุ่ม Hacker นำไปใช้ในการโจมตีอย่างต่อเนื่อง

Ivanti Cloud Services Appliance (CSA) เป็นผลิตภัณฑ์ด้านความปลอดภัยที่ทำหน้าที่เป็น gateway เพื่อให้ผู้ใช้งานภายนอกสามารถเข้าถึงทรัพยากรภายในองค์กรได้อย่างปลอดภัย

Ivanti มีพันธมิตรมากกว่า 7,000 รายทั่วโลก และผลิตภัณฑ์ของบริษัทถูกใช้โดยบริษัทมากกว่า 40,000 แห่งในการจัดการระบบ และ IT asset ของพวกเขา

CVE-2024-8190 เป็นช่องโหว่ที่ทำให้ Hacker ที่ผ่านการยืนยันตัวตนด้วยสิทธิ์ของผู้ดูแลระบบ สามารถเรียกใช้คำสั่งที่เป็นอันตรายได้จากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ที่ใช้ Ivanti CSA 4.6 ด้วยวิธีการ command injection

แม้ว่าทาง Ivanti จะยังไม่ทราบว่ามีลูกค้ารายใดที่ถูกโจมตีด้วยช่องโหว่ดังกล่าว แต่ได้มีการยืนยันการใช้ช่องโหว่ในการโจมตี หลังจากมีการเปิดเผยช่องโหว่ออกสู่สาธารณะ

โดย Ivanti แนะนำให้ลูกค้าทำการอัปเกรดจาก CSA 4.6.x (ซึ่งถึงสถานะสิ้นสุดการสนับสนุนแล้ว End-of-Life) ไปเป็น CSA 5.0 (ซึ่งยังอยู่ภายใต้การสนับสนุน)

หน่วยงาน CISA สั่งแก้ไขภายในวันที่ 4 ตุลาคม 2024

CISA ได้เพิ่มช่องโหว่ Ivanti CSA หมายเลข CVE-2024-8190 ลงใน Known Exploited Vulnerabilities catalog ตามที่กำหนดไว้ในคำสั่ง Binding Operational Directive (BOD) 22-01 หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) จะต้องรักษาความปลอดภัยอุปกรณ์ที่มีความเสี่ยงภายในสามสัปดาห์ คือภายในวันที่ 4 ตุลาคม 2024

ก่อนหน้านี้ทาง Ivanti ได้แก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ Endpoint Management (EPM) ซึ่งทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ได้ รวมถึงยังได้แก้ไขช่องโหว่ระดับ High และระดับ Critical อื่น ๆ อีกเกือบ 24 รายการใน Ivanti EPM, Workspace Control (IWC) และ Cloud Service Appliance (CSA)

ทั้งนี้ Ivanti ระบุว่า บริษัทได้มีการเพิ่มศักยภาพในการสแกน และทดสอบภายในในช่วงไม่กี่เดือนที่ผ่านมา ขณะเดียวกันก็ทำงานเพื่อปรับปรุงกระบวนการเปิดเผยข้อมูลอย่างรับผิดชอบเพื่อแก้ไขปัญหาความปลอดภัยที่อาจเกิดขึ้นได้รวดเร็วยิ่งขึ้น ทำให้มีการค้นพบ และเปิดเผยข้อมูลช่องโหว่เพิ่มมากขึ้น

ที่มา : bleepingcomputer

Ivanti แก้ไขช่องโหว่ร้ายแรง ใน Standalone Sentry ที่ถูกรายงานโดย NATO

Ivanti ได้เผยแพร่รายงานการแก้ไขช่องโหว่ Standalone Sentry ที่มีความรุนแรงระดับสูง ซึ่งถูกค้นพบ และรายงานโดยนักวิจัยของ NATO Cyber Security Center

(more…)

CISA แจ้งเตือนห้ามใช้ Ivanti VPN gateways ที่ถูกโจมตี แม้ว่าจะทำการ factory reset แล้วก็ตาม

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา หรือ CISA แจ้งเตือนผู้ใช้งานอุปกรณ์ Ivanti VPN ว่าอุปกรณ์ Ivanti VPN ที่ถูกโจมตีจากช่องโหว่ อาจมีความเสี่ยงในการแฝงตัวของสิทธิ์ root ถึงแม้ว่าจะทำการ factory reset บนอุปกรณ์แล้วก็ตาม รวมถึงสามารถหลีกเลี่ยงการตรวจจับจาก Ivanti internal และ external Integrity Checker Tool (ICT) บน Ivanti Connect Secure และ Policy Secure gateway ที่ถูกโจมตี ซึ่งใช้ช่องโหว่เหล่านี้ CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 และ CVE-2024 -21893

โดยช่องโหว่ทั้ง 4 รายการนี้ มีระดับความรุนแรงตั้งแต่ High จนถึงระดับ Critical ซึ่งมีความสามารถในการโจมตีในรูปแบบต่าง ๆ เช่น authentication bypass, command injection, server-side-request forgery และ arbitrary command execution

ทั้งนี้ CISA พบว่า Ivanti ICT ไม่สามารถตรวจจับเหตุการณ์การโจมตีหลายครั้งที่เกี่ยวข้องกับอุปกรณ์ Ivanti ที่มีช่องโหว่ เนื่องจาก Web Shell ที่พบในระบบไม่มีไฟล์ที่ไม่ตรงกันตามข้อมูลของ Ivanti ICT

รวมถึงจากการตรวจสอบของทีม forensic พบว่า Hacker ได้ทำการปกปิดการโจมตีด้วยการเขียนทับไฟล์ การหยุดการทำงานไฟล์ และติดตั้ง runtime partition ใหม่ เพื่อเรียกคืนค่าอุปกรณ์ที่ถูกโจมตีให้เป็น "clean state"

ซึ่งแสดงให้เห็นว่า Ivanti ICT ไม่น่าเชื่อถือในการตรวจจับการโจมตีจากช่องโหว่ก่อนหน้านี้ หลังจากนั้นทาง Ivanti ได้ทำการอัปเดตเพื่อแก้ไขปัญหาที่พบใน Ivanti ICT
โดย CISA ได้ให้คำแนะนำแก่หน่วยงานของรัฐบาลกลางเกี่ยวกับวิธีการดำเนินการหลังจากค้นพบสัญญาณของการโจมตีในอุปกรณ์ Ivanti VPN บนเครือข่ายดังนี้

ระบุข้อมูลบัญชีผู้ใช้ และบัญชีอื่น ๆ ที่อยู่ในอุปกรณ์ Ivanti VPN ที่มีแนวโน้มว่าจะถูกโจมตี
ค้นหาพฤติกรรมที่เป็นอันตรายบนเครือข่าย โดยใช้วิธีการตรวจจับจาก indicators of compromise (IOC) ตามรายงาน
ใช้งาน ICT ตัวอัปเดตล่าสุดของ Ivanti
ทำตามคำแนะนำในการอัปเดตแพตช์ เมื่อมีการอัปเดตเวอร์ชันของ Ivanti รวมถึงหากตรวจพบการโจมตีที่อาจเกิดขึ้นในองค์กร ควรรวบรวม และวิเคราะห์ log และ artifacts ที่เป็นอันตราย และทำตามคำแนะนำในการตอบสนองต่อเหตุการณ์ตามรายงาน

CISA แจ้งเตือนถึงความเสี่ยงที่มีความสำคัญ

โดยทาง Ivanti ได้ออกมาชี้แจงกรณีที่ CISA ได้รายงานว่าพบ Hacker พยายามเข้าถึงอุปกรณ์ Ivanti จากระยะไกล และแฝงตัวในระบบ ซึ่ง Ivanti ระบุว่าหาก Hacker ทำการโจมตีด้วยวิธีการที่ CISA รายงานจะไม่สามารถเชื่อมต่อกับอุปกรณ์ Ivanti Connect Secure ได้

แต่อย่างไรก็ตามทาง CISA ก็ยังแนะนำให้ผู้ใช้งานอุปกรณ์ Ivanti Connect Secure และ Ivanti Policy Secure gateway ที่ได้รับผลกระทบ ให้พิจารณาว่าจะใช้งานอุปกรณ์เหล่านี้ต่อไปในระบบเครือข่ายขององค์กรหรือไม่ เนื่องจาก CISA ยังมีความเป็นห่วงเรื่องความปลอดภัยของอุปกรณ์ Ivanti Connect Secure และ Ivanti Policy Secure ที่ถูกโจมตีก่อนหน้านี้ แม้ว่าจะทำการ cleaning และทำการ factory reset แล้วก็ตาม

ในวันที่ 1 กุมภาพันธ์ 2024 CISA ได้สั่งให้หน่วยงานรัฐบาลกลางทั้งหมดทำการยกเลิกการเชื่อมต่อ Ivanti Connect Secure และ Ivanti Policy Secure ทั้งหมดจากเครือข่ายภายใน 48 ชั่วโมง เพื่อตอบสนองต่อภัยคุกคามที่สำคัญ และความเสี่ยงที่เพิ่มขึ้นของการโจมตีที่เกิดจากอุปกรณ์ Ivanti VPN ที่ถูกโจมตีช่องโหว่

โดยหน่วยงานได้รับคำสั่งให้ทำการ factory reset และอัปเดตให้เป็นเวอร์ชันใหม่ที่ได้รับการแก้ไขช่องโหว่แล้ว จากนั้นจึงนำ Configuration ที่ backup ไว้กลับมาใช้อีกครั้ง และเพิกถอน certificates, keys และรหัสผ่านที่เชื่อมต่อทั้งหมด เพื่อให้สามารถนำอุปกรณ์ที่ถูก isolate กลับมาได้ใช้งานต่อ

รวมถึงหน่วยงานที่พบว่าผลิตภัณฑ์ Ivanti ที่ใช้งานได้ถูกโจมตีบนเครือข่ายไปแล้ว ได้รับคำสั่งให้สันนิษฐานว่าบัญชีบนโดเมนที่มีการเชื่อมโยงทั้งหมดถูกโจมตีไปแล้ว โดยมีคำสั่งให้ปิดการใช้งานอุปกรณ์ที่เชื่อมต่อ/ลงทะเบียน (cloud environment) หรือทำการรีเซ็ตรหัสผ่านสำหรับทุกบัญชี และเพิกถอน Kerberos ticker และ cloud tokens (hybrid setup)

ที่มา : bleepingcomputer.

กลุ่มแฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ server-side request forgery (SSRF) บน Ivanti Connect Secure, Policy Secure และ ZTA gateways ในการติดตั้ง DSLog backdoor ใหม่บนอุปกรณ์เหยื่อ

ช่องโหว่นี้มีหมายเลข CVE-2024-21893 ถูกเปิดเผยครั้งแรกในรูปแบบ Zero-Day ที่กำลังถูกใช้ในการโจมตีในวันที่ 31 มกราคม 2024 พร้อม ๆ กับการอัปเดตความปลอดภัย และวิธีการรับมือกับภัยคุกคามจาก Ivanti

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ SAML component (Security Assertion Markup Language) ซึ่งทำให้แฮ็กเกอร์สามารถข้ามขั้นตอนในการยืนยันตัวตน (Bypass authentication) และสามารถเข้าถึงข้อมูลที่ถูกควบคุมไว้ได้บน Ivanti gateways เวอร์ชัน 9.x และ 22.x

การอัปเดตที่สามารถแก้ไขช่องโหว่นี้ได้คือ Ivanti Connect Secure เวอร์ชัน 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 และ 22.5R2.2, Ivanti Policy Secure เวอร์ชัน 22.5R1.1 และ ZTA เวอร์ชัน 22.6R1.3

ในวันที่ 5 กุมภาพันธ์ 2024 Shadowserver ผู้ให้บริการเฝ้าระวังภัยคุกคามทางไซเบอร์ออกมารายงานว่า พบกลุ่มแฮ็กเกอร์หลายกลุ่มพยายามที่จะโจมตีโดยใช้ช่องโหว่นี้ โดยที่บางกลุ่มใช้ PoC หรือ proof-of-concept ซึ่งถูกเปิดเผยโดย Rapid7 ในการโจมตี ทั้งนี้ยังไม่มีรายงานในส่วนของอัตราความสำเร็จของการโจมตี ณ ช่วงเวลานั้น

รายงานฉบับใหม่จาก Orange Cyberdefense ออกมายืนยันถึงความสำเร็จของการโจมตีช่องโหว่ CVE-2024-21893 สำหรับการติดตั้ง backdoor ตัวใหม่ที่มีชื่อว่า DSLog ซึ่งทำให้กลุ่มแฮ็กเกอร์สามารถ execute คำสั่งจากระยะไกล บนเครื่อง Ivanti เซิร์ฟเวอร์ที่ถูกโจมตีได้

Orange ยังระบุเพิ่มเติมว่าสังเกตพบ backdoor ตัวใหม่นี้ในครั้งแรก ตั้งแต่วันที่ 3 กุมภาพันธ์ 2024 หลังจากวิเคราะห์ อุปกรณ์ที่ถูกโจมตี ซึ่งได้ดำเนินการลดผลกระทบด้วย XML mitigation ตามที่ Ivanti แนะนำ (บล็อก API endpoints ทั้งหมด) แต่ยังไม่ได้อัปเดตแพตซ์

DSLog backdoor

จากการตรวจสอบ Log บนอุปกรณ์ Ivanti ที่ถูกโจมตีแล้วนั้น กลุ่มนักวิจัยจาก Orange พบ backdoor ถูกป้อนคำสั่งเพิ่มเติมใส่ code บนอุปกรณ์ โดยการขอยืนยันตัวตนผ่าน SAML ซึ่งประกอบด้วยหลายคำสั่งภายในที่ถูก encoded ไว้แล้ว

ซึ่งคำสั่งเหล่านี้นั้นสามารถถูกเรียกใช้งานเพื่อเปิดเผยข้อมูลของระบบภายใน และทำให้สามารถเข้าถึงไฟล์ได้จากภายนอก (index2.txt) แสดงให้เห็นว่าจุดประสงค์ของแฮ็กเกอร์คือการเก็บ และรวบรวมข้อมูลภายในก่อนการโจมตี และยืนยันได้ว่าถูกเข้าถึงสิทธิ์ Root แล้ว

ภายใต้คำสั่งผ่านระบบ SAML นั้นแสดงให้เห็นถึงการพยายามที่จะรักษาความปลอดภัยสิทธิ์การอ่าน/เขียนระบบไฟล์บนอุปกรณ์ที่ถูกโจมตี, การตรวจจับการแก้ไข logging script อย่างถูกต้อง (DSLog.

Ivanti แจ้งเตือนช่องโหว่ authentication bypass ใหม่ ที่ส่งผลกระทบต่อ Connect Secure, Policy Secure และ ZTA gateway โดยแนะนำให้ผู้ดูแลระบบทำการอัปเดตเพื่อป้องกันช่องโหว่ทันที

CVE-2024-22024 (คะแนน CVSS 8.3/10 ความรุนแรงระดับ High) เป็นช่องโหว่ XXE (XML eXternal Entities) ใน SAML component ของ gateway ที่ทำให้สามารถเข้าถึงทรัพยากรที่ถูกจำกัดบนอุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล และมีความซับซ้อนในการโจมตีต่ำ รวมถึงไม่ต้องการการโต้ตอบ หรือการยืนยันตัวตนจากผู้ใช้ โดย Ivanti ระบุว่าขณะนี้ยังไม่พบหลักฐานการโจมตีโดยใช้ช่องโหว่ดังกล่าว (more…)

Ivanti แจ้งเตือนช่องโหว่ Zero-Day ใหม่ใน Connect Secure ที่กำลังถูกใช้ในการโจมตี

Ivanti แจ้งเตือนพบช่องโหว่ Zero-Day ใหม่ 2 รายการที่ส่งผลกระทบต่อ Connect Secure, Policy Secure และ ZTA gateway ซึ่งหนึ่งในช่องโหว่ Zero-Day ดังกล่าวได้ตกเป็นเป้าหมายของการโจมตีอยู่ในปัจจุบัน

(more…)