การใช้ประโยชน์จากช่องโหว่ใน Ivanti Cloud Services Appliance

NCSA_THAICERT

Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับ Ivanti ได้เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่ 2 รายการ ได้แก่ CVE-2024-8190 และ CVE-2024-8963 ใน Cloud Services Appliance (CSA) โดยรายงานว่าช่องโหว่เหล่านี้กำลังถูกใช้ประโยชน์ โดยมีรายละเอียดช่องโหว่ดังนี้

• CVE-2024-8190
ช่องโหว่การแทรกคำสั่งระบบปฏิบัติการใน Ivanti Cloud Services Appliance เวอร์ชัน 4.6 แพตช์ 518 และก่อนหน้านั้นทำให้ผู้โจมตีที่ผ่านการตรวจสอบจากระยะไกลสามารถเรียกใช้โค้ดจากระยะไกลได้ ผู้โจมตีจะต้องมีสิทธิ์ระดับผู้ดูแลระบบจึงจะใช้ประโยชน์จากช่องโหว่นี้ได้ คะแนน CVSS 7.2 (High)
• CVE-2024-8963
ช่องโหว่สำคัญใน Ivanti CSA 4.6 ซึ่งได้รับการแก้ไขโดยบังเอิญในแพตช์ที่เผยแพร่เมื่อวันที่ 10 กันยายน 2567 (CSA 4.6 Patch 519) การใช้ประโยชน์ที่ประสบความสำเร็จอาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการรับรองสามารถเข้าถึงฟังก์ชันการทำงานที่จำกัดได้ หากใช้ CVE-2024-8963 ร่วมกับCVE-2024-8190ผู้โจมตีสามารถข้ามการรับรองความถูกต้องของผู้ดูแลระบบและดำเนินการคำสั่งตามอำเภอใจบนอุปกรณ์ได้ คะแนน CVSS 9.4 (Critical)

ผู้โจมตีสามารถสร้างช่องโหว่ทั้งสอง เพื่อหลบเลี่ยงการตรวจสอบสิทธิ์ของผู้ดูแลระบบและดำเนินการโค้ดจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ ซึ่งช่องโหว่เหล่านี้ส่งผลต่อ Ivanti CSA เวอร์ชันก่อนแพตช์ 519 4.6

แนะนำให้ผู้ใช้งานและผู้ดูแลระบบของผลิตภัณฑ์รุ่นที่ได้รับผลกระทบทำการอัปเดตเป็นเวอร์ชันล่าสุดทันที โดยอัปเดต Ivanti CSA 4.6 เป็น CSA 5.0
ลูกค้า CSA 4.6 Patch 518 สามารถอัปเดตเป็น Patch 519 ได้เช่นกัน แต่เนื่องจากผลิตภัณฑ์นี้เข้าสู่ช่วงสิ้นสุดอายุการใช้งาน อัปเดตเป็น CSA 5.0 ลูกค้าที่ใช้ CSA 5.0 อยู่แล้วไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติม

อ้างอิง
https://www.csa.gov.sg/alerts-advisories/alerts/2024/al-2024-126
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand