52/67 (IT) ประจำวันพุธที่ 7 กุมภาพันธ์ 2567
ช่องโหว่การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ (SSRF) ของ Ivanti Connect Secure และ Ivanti Policy Secure ที่ CVE-2024-21893 ถูกใช้ exploit ให้ผู้โจมตีสามารถ bypass authentication และ access restricted resources บนอุปกรณ์ที่มีช่องโหว่ (ในเวอร์ชัน 9.x และ 22.x)
Threat monitoring service Shadowserver พบว่ามีผู้โจมตีหลายรายได้ใช้ประโยชน์จากช่องโหว่ของ SSRF ซึ่งมี IP กว่า 170 แห่งที่พยายามใช้ประโยชน์จากช่องโหว่ดังกล่าว โดยปริมาณการใช้ประโยชน์จากช่องโหว่นี้มีจำนวนมากกว่าช่องโหว่อื่นๆ ของ Ivanti ที่เพิ่งได้รับการแก้ไข และจากข้อมูลของ ShadowServer พบว่าปัจจุบันมีอุปกรณ์ Ivanti Connect Secure กว่า 22,500 เครื่องบนอินเทอร์เน็ต โดยยังไม่ทราบว่ามีกี่รายที่เสี่ยงต่อช่องโหว่นี้
การเปิดเผย CVE-2024-21893 มาพร้อมกับการเปิดตัวการอัปเดตช่องโหว่ Zero-day ที่ส่งผลกระทบต่อผลิตภัณฑ์ที่ CVE-2023-46805 และ CVE-2024-21887 ซึ่ง Ivanti พบครั้งแรกเมื่อวันที่ 10 มกราคม 2024 ที่ได้ sharing temporary mitigation โดยทั้งสองช่องโหว่มีการพบว่าถูกกลุ่มภัยคุกคามของจีน UTA0178/UNC5221 นำไปใช้ประโยชน์เพื่อติดตั้ง webshells และ backdoor บนอุปกรณ์ และเนื่องจากสถานการณ์ปัจจุบันมีการใช้ประโยชน์จากช่องโหว่ Zero-day หลายรายการ โดยทาง U.S. Cybersecurity & Infrastructure Security Agency (CISA) ได้สั่งให้หน่วยงานรัฐบาลตัดการเชื่อมต่อทั้งหมดของ Ivanti เฉพาะอุปกรณ์ที่ได้รับการอัปเดตเป็นเฟิร์มแวร์เวอร์ชันล่าสุดเท่านั้นที่สามารถเชื่อมต่อกับเครือข่าย
