ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ และพบรายงานเกี่ยวกับช่องโหว่ใน Ivanti Endpoint Manager Mobile (EPMM) หมายเลข CVE-2026-6973 โดย Ivanti EPMM เป็นระบบสำหรับบริหารจัดการและควบคุมอุปกรณ์เคลื่อนที่ขององค์กร เช่น สมาร์ทโฟนและแท็บเล็ต เพื่อใช้กำหนดนโยบายความปลอดภัย การเข้าถึงระบบ และการจัดการอุปกรณ์จากศูนย์กลาง โดยมีรายงานว่าช่องโหว่ดังกล่าวถูกใช้โจมตีแล้ว ซึ่งช่องโหว่ส่งผลกระทบต่อผู้ใช้งาน Ivanti EPMM แบบ On-premise บางเวอร์ชัน และถูกเพิ่มในรายการ CISA Known Exploited Vulnerabilities (KEV) แล้ว [1]
1. รายละเอียดช่องโหว่ [2]
CVE-2026-6973 (CVSS v3.1: 7.2) เป็นช่องโหว่ประเภท Improper Input Validation ใน Ivanti EPMM ที่อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนและมีสิทธิ์ผู้ดูแลระบบ สามารถรันโค้ดบนระบบที่ได้รับผลกระทบได้ โดย Ivanti ระบุว่าพบการใช้ประโยชน์จากช่องโหว่นี้ในวงจำกัด และการโจมตีต้องอาศัยสิทธิ์ระดับผู้ดูแลระบบจึงจะสำเร็จ
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ [3]
2.1 Ivanti Endpoint Manager Mobile (EPMM) แบบ On-premise เวอร์ชัน 12.8.0.0 และก่อนหน้า
2.2 Ivanti EPMM เวอร์ชันก่อนหน้า 12.6.1.1, 12.7.0.1 และ 12.8.0.1
3. แนวทางการแก้ไข
3.1 อัปเดต Ivanti EPMM เป็นเวอร์ชันที่ได้รับการแก้ไขแล้ว ได้แก่ 12.6.1.1, 12.7.0.1 หรือ 12.8.0.1
3.2 ตรวจสอบบัญชีที่มีสิทธิ์ผู้ดูแลระบบ หรือ Admin rights
3.3 เปลี่ยนรหัสผ่านบัญชีผู้ดูแลระบบ หากพบความเสี่ยงหรือมีประวัติถูกโจมตี
3.4 ตรวจสอบ log และพฤติกรรมผิดปกติบนระบบ EPMM
3.5 ตรวจสอบว่าระบบมีการเปิดให้เข้าถึงจากอินเทอร์เน็ตหรือไม่ และจำกัดการเข้าถึงเท่าที่จำเป็น
4. มาตรการชั่วคราวหากยังไม่สามารถอัปเดตได้ทันที
4.1 จำกัดการเข้าถึงหน้า Admin หรือ Management interface เฉพาะเครือข่ายที่จำเป็น
4.2 บังคับใช้ MFA สำหรับบัญชีผู้ดูแลระบบ
4.3 เฝ้าระวังการเชื่อมต่อจาก IP Address ที่ผิดปกติ
4.4 ตรวจสอบบัญชีผู้ดูแลระบบที่ไม่รู้จักหรือมีพฤติกรรมผิดปกติ
แหล่งอ้างอิง