อุปกรณ์ Ivanti VPN หลายพันรายการได้รับผลกระทบจากช่องโหว่ล่าสุด

135/67 (IT) ประจำวันพุธที่ 10 เมษายน 2567

นักวิจัยจาก Shadowserver Foundation ได้ระบุว่ามีอุปกรณ์ Ivanti VPN ที่เปิดเผยทางอินเทอร์เน็ตจำนวนหลายพันเครื่อง ที่อาจได้รับผลกระทบจากช่องโหว่ที่เพิ่งเปิดเผยล่าสุด ซึ่งนำไปสู่การถูกโจมตีด้วยการเรียกใช้โค้ดจากระยะไกล โดยช่องโหว่ดังกล่าวคือ CVE-2024-21894 (CVSS 8.2) ได้รับการอธิบายว่าเป็นข้อผิดพลาด heap overflow ในองค์ประกอบ IPSec ของ Ivanti Connect Secure (เดิมเรียกว่า Pulse Connect Secure) และ Policy Secure ที่สามารถถูกโจมตีโดยผู้โจมตีจากระยะไกลที่ไม่ได้รับการรับรองความถูกต้องเพื่อก่อให้เกิดการปฏิเสธการให้บริการ (denial-of-service : DoS) หรือการรันโค้ดตามอำเภอใจ    

โดยเมื่อวันที่ 2 เมษายน 2567 บริษัท Ivanti ได้เปิดตัวการอัปเดตซอฟต์แวร์เพื่อแก้ไขข้อบกพร่องนี้ และแก้ไขช่องโหว่อื่น ๆ อีกสามรายการในอุปกรณ์ VPN จำนวน 2 รุ่น รวมถึงช่องโหว่ CVE-2024-22053 ซึ่งเป็นข้อบกพร่องโอเวอร์โฟลว์ฮีปที่มีความรุนแรงสูงอีกตัวที่นำไปสู่ DoS ปัญหานี้ส่งผลกระทบต่อ Connect Secure และ Policy Secure เวอร์ชันที่รองรับทั้งหมด และ Ivanti ได้แนะนำให้ผู้ใช้งานทุกคนต้องเร่งทำการอัปเดตอินสแตนซ์ของตน แม้ว่าจะไม่ทราบว่าข้อบกพร่องเหล่านี้ถูกนำไปใช้ประโยชน์ในขณะที่เปิดเผยหรือไม่ก็ตาม แต่เมื่อวันศุกร์ที่ 5 เมษายน 2567 ShadowServer ซึ่งดำเนินการสแกนอินเทอร์เน็ตทุกวันเพื่อระบุหาอุปกรณ์ที่มีช่องโหว่ และอาจถูกโจมตี โดยได้ระบุอินสแตนซ์ Ivanti VPN มากกว่า 16,000 รายการ ที่อาจได้รับผลกระทบจากช่องโหว่ CVE-2024-21894 ณ วันที่ 7 เมษายน ข้อมูลจาก ShadowServer แสดงอินสแตนซ์ Ivanti Connect Secure และ Policy Secure ที่เข้าถึงอินเทอร์เน็ตได้ประมาณ 10,000 รายการ ซึ่งเสี่ยงต่อ CVE-2024-21894 ซึ่งส่วนใหญ่อยู่ในประเทศสหรัฐอเมริกา (3,700) และญี่ปุ่น (1,700) ตามมาด้วยสหราชอาณาจักร (860) ฝรั่งเศส (710) เยอรมนี (570) จีน (440) แคนาดา (300) และอินเดีย (290) แต่อย่างไรก็ตาม สิ่งที่ไม่ชัดเจนคือจำนวนเหล่านี้คือ Ivanti VPN หรือเป็นแค่จำนวนของกับดัก honeypots และอินสแตนซ์ที่ตรวจพบว่าลดลงนั้นเกิดจากการแพตช์หรือไม่  ซึ่ง Ivanti พบว่าตนเองกำลังท้อแท้จากการโจมตีแบบซีโรเดย์หลายครั้ง ซึ่งเมื่อเร็ว ๆ นี้ทำให้ทีมตอบสนองด้านความปลอดภัยตกอยู่ในความระส่ำระสาย และขอให้หน่วยงานบังคับใช้กฎหมายของสหรัฐฯ ออกคำสั่งให้ตัดการเชื่อมต่อ โดยบริษัทกล่าวว่าขณะนี้กำลังเริ่มดำเนินการปรับปรุงองค์กรด้านความปลอดภัยทางไซเบอร์ทั้งหมด

แหล่งข่าว https://www.securityweek.com/thousands-of-ivanti-vpn-appliances-impacted-by-recent-vulnerability/