Executive Summary
ทางศูนย์ CSOC พบรายงานการแจ้งเตือนเกี่ยวกับช่องโหว่ของ Ivanti ซึ่งได้เปิดเผย Connect Secure (ICS)
สองรายการและ Policy Secure (IPS) ที่ถูกโจมตีโดยแฮกเกอร์จีนด้วยการโจมตีRemote attackers execute ได้บนเกต
เวย์เป้าหมายโดยช่องโหว่ด้านความปลอดภัยแรกคือ CVE-2023-46805ซึ่งเป็นการ Authentication bypass ใช้ทำให้ผู้
โจมตีสามารถเข้าถึงข้อมูลที่ถูกจ ากัดได้โดยหลีกเลี่ยงการตรวจสอบการควบคุม ในขณะที่สองคือ CVE-2024-21887
ซึ่งเป็นช่องโหว่ Command injection ที่ช่วยให้ผู้ดูแลระบบรับรองความถูกต้องดำเนินการคำสั่งไปยังเครื่องที่มีช่องโหว่โดย
การส่งค าขอที่ถูกจัดทำขึ้น หลังจากที่ประสบความสำเร็จในการท า Zero-day ผู้ที่ทำการโจมตีสามารถเรียกใช้คำสั่งใน
อุปกรณ์ ICS VPN และ IPS Network access control (NAC) ที่รองรับทุกรุ่น ซึ่งถ้าหากใช้ CVE-2024-21887 ร่วมกับ
CVE-2023-46805ในการโจมตีนั้นไม่จำเป็นต้องมีการรับรองความถูกต้องและช่วยให้ผู้ที่ท าการโจมตีสามารถสร้างค าขอ
ที่เป็นอันตรายและด าเนินการคำสั่งในระบบ Ivanti
Zero-days likely exploited by Chinese hackers
Ivanti กล่าวว่าสอง zero-daysได้ถูกนำไปใช้ประโยชน์ในการโจมตีที่มุ่งเป้าไปที่ลูกค้าจำนวนน้อย Volexity
บริษัทข่าวกรองด้านภัยคุกคามได้ตรวจพบว่า Zero-Days ถูกน าไปใช้ประโยชน์เพื่อละเมิดเครือข่ายของลูกค้าในเดือน
ธันวาคมและเชื่อว่าผู้โจมตีคือผู้ที่ได้รับการสนับสนุนจากรัฐจีน ซึ่งกลุ่มภัยคุกคามที่ต้องสงสัยของจีนที่ใช้ Connect Secure
แบบ Zero-Daysและติดตาม CVE-2021-22893 ในปี 2564 เพื่อเจาะข้อมูลรัฐบาล กระทรวงกลาโหมและองค์กรทางการ
เงินของสหรัฐอเมริกาและยุโรป
โบมอนต์ยังเตือนก่อนหน้านี้ได้มีการใช้ Zero-Days ในการโจมตีและอนุญาตให้บายพาส MFA และการ
ด าเนินการรหัสและ Ivanti กล่าวว่าช่องโหว่ Remote attackers execute(RCE) CVE-2023-39336 ในซอฟต์แวร์
Endpoint Management (EPM)อาจถูกใช้ในทางที่ผิดโดยผู้โจมตีที่ไม่ได้รับการรับรองซึ่งเป็นการ hijack ที่ลงทะเบียน
อุปกรณ์หรือเซิร์ฟเวอร์หลัก
Threat information
• CVE-2023-46805(CVSS score: 8.2) :ช่องโหว่บายพาสการรับรองความถูกต้องในองค์ประกอบเว็บของ Ivanti
ICS 9.x, 22.x และ Ivanti Policy Secure ช่วยให้ผู้โจมตีจากระยะไกลสามารถเข้าถึงข้อมูลที่ถูกจ ากัด ได้โดยการ
ข้ามการตรวจสอบการควบคุม
• CVE-2024-21887 (CVSS score: 9.1) : เป็นช่องโหว่ Command injectionในส่วนประกอบเว็บของ Ivanti
Connect Secure (9.x, 22.x) และ Ivanti Policy Secure (9.x, 22).x) ที่อนุญาตให้ผู้ดูแลระบบที่ผ่านการรับรอง
ความถูกต้องส่งค าขอที่สร้างขึ้นเป็นพิเศษและด าเนินการค าสั่งบนเครื่อง
ศูนย์ CSOC แนะนำให้ลูกค้าตรวจสอบรายละเอียดด้านความปลอดภัยของ Ivanti สำหรับ์Ivanti Connect
Secure (ICS) และ Ivanti Policy Secure ที่ใช้งานอยู่ภายในองค์กรตลอดจนด าเนินการตรวจสอบกิจกรรมที่ผิดปกติ
ภายในระบบเพื่อลดความเสี่ยงที่อาจเกิดขึ้น ทั้งนี้ช่องโหว่นี้เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ต่อองค์กรที่ใช้
งาน Ivanti Connect Secure (ICS) และ Ivanti Policy Secure ที่เป็นเวอร์ชั่นที่ได้รับผลกระทบและต้องมีการด าเนินการ
ต่างๆ เพื่อลดความเสี่ยงอย่างเร่งด่วน ทั้งนี้ในช่วงเวลาที่รายงานฉบับนี้ออก (10 ม.ค. 2567) และยังพบ Proof-of-concept
code ส าหรับการโจมตีช่องโหว่นี้และยังพบรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
รายละเอียดของช่องโหว่โดยสรุป
• ผลิตภัณฑ์ที่ได้รับผลกระทบ: Ivanti Connect Secure (ICS) และ Ivanti Policy Secure
• หน่วยงานที่ออกค าแนะน าด้านความปลอดภัย: Ivanti
• ผลกระทบ (Impact): Remote Code Execution(RCE)
• CVE Names:
o CVE-2023-46805 (CVSS score: 8.2)
o CVE-2024-21887 (CVSS score: 9.1)
• การแก้ไขปัญหา:
o อัพเดต Connect Secure ให้เป็นเวอร์ชั่นล่าสุดที่ Ivanti ได้ปล่อยออกมา
o ตรวจสอบคำแนะนำทางความปลอดภัยจาก Ivanti เพื่อปรับปรุงการทำงานของระบบ
o ทำการตรวจสอบล็อกและระบบการตรวจจับและตรวจสอบการเหตุการณ์ที่อาจชี้ว่ามีการโจมตี
ข้อมูลที่พบจาก Threat intelligence
• ในช่วงเวลาที่รายงานฉบับนี้ออก (10 ม.ค. 2567) ยังพบ Proof-of-concept code ส าหรับการโจมตีช่องโหว่นี้
และยังพบรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
ทั้งนี้การแก้ไข Configuration เพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว ลูกค้าควรปฏิบัติตาม Change
Management Policy หรือ Risk Management Policy หรือ Business Impact Assessment ของหน่วยงานอย่างเคร่งครัด
ข้อมูลอ้างอิง
• https://www.bleepingcomputer.com/news/security/ivanti-warns-of-connect-secure-zero-
days-exploited-in-attacks/
