ThaiCERT ติดตามข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานช่องโหว่สองรายการ ได้แก่ CVE-2026-1281 และ CVE-2026-1340 (CVSS:v3.1: 9.8) ในผลิตภัณฑ์ Ivanti Endpoint Manager Mobile (EPMM) ผู้โจมตีสามารถโจมตีได้จากภายนอกเครือข่ายโดยไม่ต้องยืนยันตัวตน
รายละเอียดเหตุการณ์
• ผู้พัฒนาเปิดเผยช่องโหว่ CVE-2026-1281 และ CVE-2026-1340 ที่ส่งผลต่อระบบ Ivanti Endpoint Manager Mobile ซึ่งเป็นโซลูชันบริหารจัดการอุปกรณ์มือถือในองค์กร
• ช่องโหว่ทั้งสองรายการจัดว่าเป็นประเภท Code Injection / Remote Code Execution (RCE) โดยผู้โจมตีสามารถรันโค้ดอันตรายบนระบบเป้าหมายโดยไม่ต้องยืนยันตัวตน
เวอร์ชันที่ได้รับผลกระทบ
• EPMM 12.5.x, 12.6.x, หรือ 12.7.x
พฤติกรรมการโจมตี
• ผู้โจมตีจะส่ง HTTP/HTTPS request และรันคำสั่งบนระบบ EPMM
• ทำการสแกนระบบแบบอัตโนมัติหรือ botnet เพื่อคัดกรองเป้าหมาย
• หลังจากโจมตีสำเร็จ ผู้โจมตีอาจทำการติดตั้ง web shells, backdoors, การดาวน์โหลดมัลแวร์ หรือการทำ reconnaissance ภายในระบบ
• ปัจจุบันพบการโจมตีอย่างต่อเนื่อง โดยเป็นการสแกนและการยิง payload แบบอัตโนมัติ ไปยังเซิร์ฟเวอร์ EPMM
แนวทางการป้องกันและลดความเสี่ยง
4.1 อัปเดตระบบและปฏิบัติตามคำแนะนำของผู้พัฒนาอย่างเคร่งครัด
4.2 ควบคุมการเข้าถึงเครือข่าย โดยจำกัดการเข้าถึงอินเทอร์เฟซการจัดการ EPMM เฉพาะจากเครือข่ายภายในหรือผ่าน VPN เท่านั้น หรือใช้มาตรการ network segmentation เพื่อแยกระบบ MDM ออกจากเครือข่ายหลักและระบบความสำคัญสูง
4.3 ระบบตรวจจับและตอบสนองภัยคุกคาม เช่น ใช้เครื่องมือ WAF/IDS/IPS เพื่อตรวจจับและบล็อกพฤติกรรมที่ผิดปกติ, ตรวจสอบ log ของระบบอย่างสม่ำเสมอเพื่อหาพฤติกรรม HTTP
มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
5.1 ปิดการเข้าถึงแบบสาธารณะ
5.2 จำกัดการเข้าถึงเฉพาะ IP ที่เชื่อถือได้
5.3 ปรับแต่ง WAF และ IPS
5.4 ตรวสอบ IoCs และหากพบระบบที่อาจถูกโจมตี ให้แยกระบบนั้นออกจากเครือข่ายทันทีเพื่อลดผลกระทบ
แหล่งอ้างอิง (References)
6.1 https://dg.th/x5fpbrcikt
6.2 https://dg.th/z35rkhilp6
6.3 https://dg.th/1a8kb4hnxu
แนะนำให้หน่วยงานที่ใช้งาน Ivanti EPMM และยังไม่ได้แพตช์ ดำเนินการแก้ไขโดยเร่งด่วนที่สุด
Mobile (EPMM).png