136/68 (IT) ประจำวันพุธที่ 9 เมษายน 2568
หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐฯ ได้เพิ่มช่องโหว่หมายเลข CVE-2025-22457 ลงใน Known Exploited Vulnerabilities (KEV) Catalog หลังพบว่าช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีต่อผลิตภัณฑ์ของ Ivanti ได้แก่ Connect Secure, Policy Secure และ Neurons for ZTA Gateways โดยเป็นช่องโหว่แบบ stack-based buffer overflow บน Apache Tomcat ที่สามารถนำไปสู่การ unauthenticated remote code execution ได้ ซึ่งทำให้แฮกเกอร์สามารถเข้าควบคุมระบบจากระยะไกลได้โดยไม่ต้อง login เข้าระบบก่อน
บริษัท Ivanti เปิดเผยว่ากลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีคือ UNC5221 ซึ่งเชื่อมโยงกับปฏิบัติการจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ (state-sponsored) โดยเริ่มมีการโจมตีตั้งแต่กลางเดือนมีนาคม 2025 พร้อมมีการใช้มัลแวร์ชุดใหม่ ได้แก่ TRAILBLAZE (in-memory dropper), BRUSHFIRE (passive backdoor) และยังมีการตรวจพบมัลแวร์ในตระกูล SPAWN ซึ่งเคยถูกใช้งานมาแล้วก่อนหน้านี้ ทั้งนี้ มัลแวร์ดังกล่าวมีเป้าหมายโจมตีอุปกรณ์ประเภท edge devices และสามารถหลบเลี่ยงการตรวจจับได้อย่างมีประสิทธิภาพ
บริษัท Ivanti ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ในผลิตภัณฑ์ Connect Secure เวอร์ชัน 22.7R2.6 ตั้งแต่วันที่ 11 กุมภาพันธ์ 2025 และมีกำหนดปล่อย patch สำหรับ Policy Secure และ ZTA Gateways ในวันที่ 19 และ 21 เมษายน 2025 ตามลำดับ โดย Ivanti และ CISA แนะนำให้ผู้ใช้งานดำเนินการอัปเดตระบบโดยเร็ว พร้อมตรวจสอบ log ด้วยเครื่องมือ Integrity Checker Tool (ICT) และทำการ reset อุปกรณ์ที่อาจถูก compromise ก่อนนำกลับมาใช้งาน ทั้งนี้ สำหรับหน่วยงานภาครัฐของสหรัฐฯ ต้องดำเนินการตาม Binding Operational Directive (BOD) 22-01 ภายในวันที่ 11 เมษายน 2025 เพื่อป้องกันความเสี่ยงจากการโจมตี
