แจ้งเตือนช่องโหว่ที่มีผลกระทบร้ายแรงในผลิตภัณฑ์ Ivanti Connect Secure (ICS) และ Ivanti Policy Secure ที่อาจส่งผลให้ถูกโจมตีแบบ Remote Code Execution
-
แจ้งเตือนช่องโหว่ที่มีผลกระทบร้ายแรงในผลิตภัณฑ์ Ivanti Connect Secure (ICS) และ Ivanti Policy Secure ที่อาจส่งผลให้ถูกโจมตีแบบ Remote Code Execution
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้รับแจ้งจากแหล่งข่าวที่น่าเชื่อถือเมื่อวันที่ 16 มกราคม 2567 มีการพบช่องโหว่ที่มีผลกระทบร้ายแรงในผลิตภัณฑ์ Ivanti Connect Secure (ICS) และ Ivanti Policy Secure ที่อาจส่งผลให้ถูกโจมตีแบบ Remote Code Execution Ivanti ได้แจ้งเตือนช่องโหว่จำนวน 2 รายการ ดังนี้ ช่องโหว่ CVE-2023-46805 มีคะแนน CVSS 8.2 เป็นช่องโหว่ Authentication Bypass ใน Web Component ของผลิตภัณฑ์ Ivanti Connect Secure หรือผลิตภัณฑ์ Ivanti Policy Secure ผู้ไม่หวังดีจากระยะไกล (Remote Attacker) อาจใช้ประโยชน์จากช่องโหว่นี้ในการโจมตี ช่องโหว่ CVE-2024-21887 มีคะแนน CVSS 9.1 เป็นช่องโหว่ Command Injection ใน Web Component ของผลิตภัณฑ์ Ivanti Connect Secure หรือผลิตภัณฑ์ Ivanti Policy Secure ผู้ไม่หวังดีที่ผ่านการตรวจสอบจะได้รับสิทธิ์ระดับ Administrator สามารถใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีเพื่อ Execute คำสั่งต่าง ๆ ได้โดยไม่ได้รับอนุญาตบนผลิตภัณฑ์ที่ได้รับผลกระทบด้วยการส่งการร้องขอที่เป็นอันตราย ช่องโหว่ทั้งสองหากนำมาใช้ร่วมกันจะสามารถใช้โจมตีและอาจนำไปสู่การควบคุมผลิตภัณฑ์ที่ได้รับผลกระทบที่สามารถติดตั้งโปรแกรมต่าง ๆ ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้งานระดับ Administrator ได้บนระบบที่ใช้งานผลิตภัณฑ์
ซอฟต์แวร์ที่ได้รับผลกระทบของผลิตภัณฑ์ Ivanti Connect Secure (ICS) (ชื่อเดิม Pulse Connect Secure) และผลิตภัณฑ์ vanti Policy Secure เวอร์ชันที่รองรับ ทั้งหมด ดังนี้
- ผลิตภัณฑ์ Ivanti Connect Secure (ICS) gateway เวอร์ชั่น 9.x ทั้งหมดทุกเวอร์ชั่น
- ผลิตภัณฑ์ Ivanti Connect Secure (ICS) gateway เวอร์ชั่น 22.x ทั้งหมดทุกเวอร์ชั่น
- ผลิตภัณฑ์ Ivanti Policy Secure (ICS) gateway เวอร์ชั่น 9.x ทั้งหมดทุกเวอร์ชั่น
- ผลิตภัณฑ์ Ivanti Policy Secure (ICS) gateway เวอร์ชั่น 22.x ทั้งหมดทุกเวอร์ชั่น
สำหรับวิธีแก้ปัญหาเบื้องต้น หน่วยงานที่ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบดังกล่าว ทาง Vanti ได้ออกคำแนะนำเกี่ยวกับวิธีการแก้ปัญหาเบื้องต้น เพื่อลดผลกระทบจากการถูกโจมตี และออกคำแนะนำเกี่ยวกับวิธีการนำไปใช้ หน่วยงานสามารถดูรายละเอียดเพิ่มเติมได้ที่ https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-lvanti-Coe-and-lvanti-Policy-Secure-Gateways?language=enUS
ทั้งนี้ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แนะนำให้หน่วยงานที่ใช้งานผลิตภัณฑ์ควรเฝ้าระวังและตรวจสอบการทำงานของผลิตภัณฑ์ที่ใช้งานภายในหน่วยงาน เพื่อตรวจสอบกิจกรรมต่าง ๆ ที่อาจเป็นอันตรายต่อระบบสารสนเทศของหน่วยงานตามคำแนะนำข้างต้น
อ้างอิง
- https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways
- https://nvd.nist.gov/vuln/detail/CVE-2023-46805
- https://nvd.nist.gov/vuln/detail/CVE-2024-21887
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand