🚨 แจ้งเตือนช่องโหว่วิกฤต Ivanti Endpoint Manager (EPM) – CVE-2025-10573
-
ThaiCERT ตรวจพบรายงานช่องโหว่ความรุนแรงระดับวิกฤต หมายเลข CVE-2025-10573 ในผลิตภัณฑ์ Ivanti Endpoint Manager (EPM) ซึ่งเป็นช่องโหว่ประเภท Stored Cross-Site Scripting (Stored XSS) โดยมีคะแนนความรุนแรงตามมาตรฐาน CVSS v3.1 เท่ากับ 9.6
ช่องโหว่นี้เปิดโอกาสให้ผู้ไม่หวังดีสามารถโจมตีระบบได้ โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน ผู้โจมตีสามารถฝังโค้ดอันตรายไว้ในข้อมูลภายในระบบ EPM และเมื่อผู้ดูแลระบบเข้าถึงหน้า Dashboard หรือหน้าจัดการที่เกี่ยวข้อง โค้ดดังกล่าวจะถูกเรียกใช้งานโดยอัตโนมัติภายใต้สิทธิ์ระดับผู้ดูแลระบบ ส่งผลให้มีความเสี่ยงสูงต่อการถูกยึดควบคุมระบบบริหารจัดการเครื่องลูกข่ายทั้งหมด และอาจถูกใช้เป็นฐานในการขยายการโจมตีไปยังระบบอื่นภายในองค์กร
ช่องโหว่นี้ส่งผลกระทบต่อ Ivanti Endpoint Manager (EPM) เวอร์ชันก่อน 2024 SU4 SR1 ซึ่งจำเป็นต้องเร่งดำเนินการแก้ไขโดยทันที
รายละเอียดช่องโหว่
ประเภทช่องโหว่: Stored Cross-Site Scripting (Stored XSS)
ระดับความรุนแรง: Critical (CVSS v3.1 = 9.6)
เงื่อนไขการโจมตี: ไม่ต้องยืนยันตัวตน (Unauthenticated)
ผู้โจมตีสามารถส่งข้อมูลที่มี Payload อันตรายเข้าสู่ระบบ EPM ได้โดยตรง เมื่อข้อมูลดังกล่าวถูกแสดงผลบนหน้า Dashboard หรือหน้าจัดการของผู้ดูแลระบบ โค้ด JavaScript ที่ฝังไว้จะทำงานทันทีภายใต้สิทธิ์ระดับผู้ดูแลระบบ
ลักษณะการโจมตีโดยสรุป- ผู้โจมตีส่งข้อมูลที่มี Payload อันตรายเข้าสู่ระบบ EPM
- ข้อมูลถูกจัดเก็บไว้ในระบบ (Stored)
- ผู้ดูแลระบบเปิดหน้า Dashboard หรือหน้าจัดการที่เกี่ยวข้อง
- โค้ดอันตรายถูกเรียกใช้งานอัตโนมัติด้วยสิทธิ์ระดับผู้ดูแลระบบ
ผลกระทบที่อาจเกิดขึ้น
• การสวมรอยหรือยึดควบคุมเซสชันของผู้ดูแลระบบโดยไม่ได้รับอนุญาต
• การสั่งให้ระบบดำเนินการต่าง ๆ ด้วยสิทธิ์ระดับผู้ดูแลระบบ
• การเข้าควบคุมเครื่องลูกข่ายทั้งหมดที่อยู่ภายใต้การบริหารของ EPM
• การใช้ระบบ EPM เป็นจุดเริ่มต้นในการขยายการโจมตีไปยังระบบอื่นภายในองค์กร
️ ผลิตภัณฑ์ที่ได้รับผลกระทบ
• Ivanti Endpoint Manager (EPM)
เวอร์ชันที่ได้รับผลกระทบ: ก่อน 2024 SU4 SR1
การใช้งานเวอร์ชันที่ยังไม่ได้อัปเดตมีความเสี่ยงสูงต่อการถูกโจมตีจากช่องโหว่นี้
️ อาการผิดปกติที่ควรเฝ้าระวัง (Indicators of Compromise)
หน่วยงานควรตรวจสอบหากพบพฤติกรรมดังต่อไปนี้
• การเข้าสู่ระบบของผู้ดูแลในช่วงเวลาที่ผิดปกติ หรือจาก IP Address ที่ไม่ทราบแหล่งที่มา
• การแสดงผลข้อมูลบน Dashboard ผิดปกติหรือมีสคริปต์แปลกปลอม
• ระบบมีการสั่งงานเครื่องลูกข่ายโดยที่ผู้ดูแลไม่ได้อนุมัติ
• ปริมาณการเรียกใช้งาน API เพิ่มสูงผิดปกติจากพฤติกรรมการใช้งานปกติ
หากพบอาการข้างต้นร่วมกับการใช้งานเวอร์ชันที่ยังไม่ได้อัปเดต อาจมีความเป็นไปได้ว่าระบบถูกโจมตีแล้ว
️ แนวทางป้องกันและการดำเนินการเร่งด่วน
แนวทางแก้ไขหลัก (แนะนำให้ดำเนินการทันที)
• อัปเดต Ivanti Endpoint Manager เป็นเวอร์ชัน 2024 SU4 SR1 หรือใหม่กว่า
• ตรวจสอบและลบข้อมูลที่ผิดปกติหรือไม่พึงประสงค์บนหน้า Dashboard
• ตรวจสอบ Log การทำงานของบัญชีผู้ดูแลระบบทั้งหมดอย่างละเอียด
• เปิดใช้งานและกำหนดค่ามาตรการป้องกันการโจมตีแบบ XSS ตามคำแนะนำของ Ivanti
มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้)
• จำกัดการเข้าถึง Web Console ให้เฉพาะเครือข่ายภายในองค์กรเท่านั้น
• บังคับใช้การยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication: MFA) สำหรับบัญชีผู้ดูแลระบบทุกบัญชี
• เฝ้าระวังและตรวจสอบ Log การเรียกใช้งาน API อย่างต่อเนื่อง
• ปิดกั้นการเข้าถึงจากภายนอกองค์กร โดยอนุญาตเฉพาะการเชื่อมต่อผ่าน Firewall หรือ VPN
แหล่งข้อมูลอ้างอิง
• Ivanti Security Advisory
https://forums.ivanti.com/.../Security-Advisory-EPM...
• BleepingComputer – รายงานข่าวช่องโหว่
https://www.bleepingcomputer.com/.../ivanti-warns-of.../
• NVD – CVE-2025-10573
https://nvd.nist.gov/vuln/detail/CVE-2025-10573
#CVE202510573 #Ivanti #CyberSecurity #ช่องโหว่วิกฤต #อัปเดตด่วน #ThaiCERT #ข่าวไซเบอร์ #เตือนภัยไซเบอร์
