CISA และ FBI ออกคำแนะนำเกี่ยวกับวิธีการที่ผู้คุกคามสร้างช่องโหว่แบบต่อเนื่องในแอปพลิเคชัน Ivanti Cloud Service

NCSA_THAICERT

เมื่อวันที่ 22 มกราคม 2568 Cybersecurity and Infrastructure Security Agency (CISA) และสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ร่วมกันเผยแพร่Threat Actors Chained Vulnerabilities in Ivanti Cloud Service Applicationsคำแนะนำนี้จัดทำขึ้นเพื่อตอบสนองต่อการโจมตีช่องโหว่ต่างๆ ได้แก่CVE-2024-8963ซึ่งเป็นช่องโหว่สำหรับการหลีกเลี่ยงการดำเนินการทางปกครองCVE-2024-9379ซึ่งเป็นช่องโหว่การแทรก SQL และCVE-2024-8190และCVE-2024-9380ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Ivanti Cloud Service Appliances (CSA) ในเดือนกันยายน 2024

CISA และการใช้ข้อมูลการตอบสนองต่อเหตุการณ์ของบุคคลที่สามที่เชื่อถือได้ พบว่าผู้ก่อให้เกิดภัยคุกคามเชื่อมโยงช่องโหว่ที่ระบุไว้เพื่อรับการเข้าถึงเบื้องต้น ดำเนินการรันโค้ดจากระยะไกล (RCE) รับข้อมูลประจำตัว และฝังเว็บเชลล์บนเครือข่ายของเหยื่อ

ทั้งนี้ CISA และ FBI แนะนำให้ผู้ดูแลระบบเครือข่ายและผู้ป้องกันระบบอัปเกรดเป็นเวอร์ชันล่าสุดที่รองรับของ Ivanti CSA และตรวจสอบกิจกรรมที่เป็นอันตรายในเครือข่ายของตน โดยใช้วิธีการตรวจจับและตัวชี้วัดการถูกโจมตี (IOCs) ที่ให้ไว้ในคำแนะนำดังกล่าว นอกจากนี้ สมาชิกในชุมชนด้านความมั่นคงปลอดภัยไซเบอร์ทุกคนยังควรเข้าไปที่แค็ตตาล็อกช่องโหว่ที่ถูกใช้งานของ CISA เพื่อช่วยบริหารจัดการช่องโหว่ให้ดีขึ้นและตามทันกิจกรรมของภัยคุกคาม สำหรับข้อมูลเพิ่มเติมและคำแนะนำเกี่ยวกับการป้องกันภัยคุกคามที่พบบ่อยและส่งผลกระทบมากที่สุด รวมถึงกลยุทธ์ เทคนิค และกระบวนการ สามารถเยี่ยมชมเป้าหมายด้านประสิทธิภาพความมั่นคงปลอดภัยไซเบอร์ข้ามภาคส่วนของ CISA ได้

อ้างอิง
https://www.cisa.gov/news-events/alerts/2025/01/22/cisa-and-fbi-release-advisory-how-threat-actors-chained-vulnerabilities-ivanti-cloud-service

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand