🚨ด่วน!!!! พบช่องโหว่ในผลิตภัณฑ์ Ivanti Endpoint Manager Mobile (EPMM)🚨

ThaiCERT ติดตามข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานช่องโหว่สองรายการ ได้แก่ CVE-2026-1281 และ CVE-2026-1340 (CVSS:v3.1: 9.8) ในผลิตภัณฑ์ Ivanti Endpoint Manager Mobile (EPMM) ผู้โจมตีสามารถโจมตีได้จากภายนอกเครือข่ายโดยไม่ต้องยืนยันตัวตน

1. รายละเอียดเหตุการณ์

• ผู้พัฒนาเปิดเผยช่องโหว่ CVE-2026-1281 และ CVE-2026-1340 ที่ส่งผลต่อระบบ Ivanti Endpoint Manager Mobile ซึ่งเป็นโซลูชันบริหารจัดการอุปกรณ์มือถือในองค์กร

• ช่องโหว่ทั้งสองรายการจัดว่าเป็นประเภท Code Injection / Remote Code Execution (RCE) โดยผู้โจมตีสามารถรันโค้ดอันตรายบนระบบเป้าหมายโดยไม่ต้องยืนยันตัวตน

2. เวอร์ชันที่ได้รับผลกระทบ

• EPMM 12.5.x, 12.6.x, หรือ 12.7.x

3. พฤติกรรมการโจมตี

• ผู้โจมตีจะส่ง HTTP/HTTPS request และรันคำสั่งบนระบบ EPMM

• ทำการสแกนระบบแบบอัตโนมัติหรือ botnet เพื่อคัดกรองเป้าหมาย

• หลังจากโจมตีสำเร็จ ผู้โจมตีอาจทำการติดตั้ง web shells, backdoors, การดาวน์โหลดมัลแวร์ หรือการทำ reconnaissance ภายในระบบ

• ปัจจุบันพบการโจมตีอย่างต่อเนื่อง โดยเป็นการสแกนและการยิง payload แบบอัตโนมัติ ไปยังเซิร์ฟเวอร์ EPMM

4. แนวทางการป้องกันและลดความเสี่ยง

4.1 อัปเดตระบบและปฏิบัติตามคำแนะนำของผู้พัฒนาอย่างเคร่งครัด

4.2 ควบคุมการเข้าถึงเครือข่าย โดยจำกัดการเข้าถึงอินเทอร์เฟซการจัดการ EPMM เฉพาะจากเครือข่ายภายในหรือผ่าน VPN เท่านั้น หรือใช้มาตรการ network segmentation เพื่อแยกระบบ MDM ออกจากเครือข่ายหลักและระบบความสำคัญสูง

4.3 ระบบตรวจจับและตอบสนองภัยคุกคาม เช่น ใช้เครื่องมือ WAF/IDS/IPS เพื่อตรวจจับและบล็อกพฤติกรรมที่ผิดปกติ, ตรวจสอบ log ของระบบอย่างสม่ำเสมอเพื่อหาพฤติกรรม HTTP

5. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)

5.1 ปิดการเข้าถึงแบบสาธารณะ

5.2 จำกัดการเข้าถึงเฉพาะ IP ที่เชื่อถือได้

5.3 ปรับแต่ง WAF และ IPS

5.4 ตรวสอบ IoCs และหากพบระบบที่อาจถูกโจมตี ให้แยกระบบนั้นออกจากเครือข่ายทันทีเพื่อลดผลกระทบ

6. แหล่งอ้างอิง (References)

6.1 https://dg.th/x5fpbrcikt

6.2 https://dg.th/z35rkhilp6

6.3 https://dg.th/1a8kb4hnxu