Ivanti แก้ไขช่องโหว่ RCE ที่มีความรุนแรงสูงใน Endpoint Management software

320/67 (IT) ประจำวันพฤหัสบดีที่ 12 กันยายน 2567

Ivanti แก้ไขช่องโหว่ RCE ที่มีความรุนแรงสูงใน Endpoint Management software (EPM) ที่ทำให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องสามารถ remote code execution บน core server โดย Ivanti EPM ช่วยให้ผู้ดูแลระบบจัดการอุปกรณ์ผู้ใช้งานที่ใช้แพลตฟอร์มหลากหลาย รวมถึง Windows, macOS, Chrome OS และระบบปฏิบัติการ IoT ที่ช่องโหว่ CVE-2024-29847 เป็นการ deserialization ของข้อมูลที่ไม่เชื่อถือในส่วนของ Agent Portal และได้รับการแก้ไขใน Ivanti EPM 2024 ผ่านการอัปเดต Hot Patch และ Ivanti EPM 2022 Service Update 6 (SU6)

ปัจจุบันยังไม่มีรายงานว่ามีลูกค้าถูกโจมตีจากช่องโหว่นี้และยังไม่มีการใช้ประโยชน์จากช่องโหว่นี้ในสาธารณะที่สามารถนำมาใช้เป็นตัวบ่งชี้ของการโจมตีได้ นอกจากนี้ Ivanti ยังแก้ไขช่องโหว่เพิ่มเติมอีกหลายรายการที่มีความรุนแรงระดับ high และ critical ใน Ivanti EPM, Workspace Control (IWC) และ Cloud Service Appliance (CSA) ซึ่งยังไม่ได้ถูกโจมตีก่อนที่จะมีการแพตช์     

Ivanti ได้เผชิญกับการโจมตีแบบ zero-day หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา เช่น เครื่องมือ VPN ของ Ivanti ถูกโจมตีตั้งแต่เดือนธันวาคม 2023 ที่ช่องโหว่ CVE-2024-21887 ซึ่งเป็น command injection และ CVE-2023-46805 เป็นการ bypass authentication นอกจากนี้ Ivanti ยังได้เตือนถึงช่องโหว่ CVE-2024-21893 ที่ถูกโจมตีอย่างแพร่หลายเมื่อเดือนกุมภาพันธ์ ทำให้ผู้โจมตีสามารถข้ามการยืนยันตัวตนบนเกตเวย์ ICS, IPS, และ ZTA ที่มีช่องโหว่ได้ นอกจากนี้ Ivanti ยังระบุว่ามี partners กว่า 7,000 รายทั่วโลก และมีบริษัทมากกว่า 40,000 แห่งที่ใช้ผลิตภัณฑ์ของ Ivanti ในการจัดการสินทรัพย์และระบบ IT ของพวกเขา

แหล่งข่าว https://www.bleepingcomputer.com/news/security/ivanti-fixes-maximum-severity-rce-bug-in-endpoint-management-software/