การโจมตีเพิ่มขึ้นอย่างมากจากการใช้ประโยชน์จากช่องโหว่ 0-day ในระบบ Ivanti EPMM

มีการโจมตีเพิ่มขึ้นอย่างไม่เคยมีมาก่อน โดยมุ่งเป้าไปที่ CVE-2026-1281 ซึ่งเป็นช่องโหว่สำคัญใน Ivanti Endpoint Manager Mobile (EPMM) เมื่อวันที่ 9 กุมภาพันธ์ 2026 การสแกนของ Shadowserver พบ IP แหล่งที่มาที่ไม่ซ้ำกันกว่า 28,300 รายการที่พยายามใช้ประโยชน์จากช่องโหว่นี้ ซึ่งถือเป็นการรณรงค์โจมตีที่ประสานงานกันครั้งใหญ่ที่สุดครั้งหนึ่งที่เคยพบเห็นกับโครงสร้างพื้นฐานการจัดการอุปกรณ์เคลื่อนที่ขององค์กรในปีนี้ นอกจากนี้ นักวิจัยด้านความปลอดภัยจาก GreyNoise และ Defused ได้ระบุว่ามีผู้โจมตีที่น่าสงสัยซึ่งเป็นนายหน้าการเข้าถึงเริ่มต้นได้ทำการติดตั้ง webshells แบบ ‘sleeper’ บนอินสแตนซ์ EPMM ที่ถูกบุกรุก ซึ่งบ่งชี้ถึงการดำเนินการที่ซับซ้อนเพื่อสร้างการเข้าถึงแบบถาวร

Severity: วิกฤต (Critical)

System Impact:

• ระบบ Ivanti Endpoint Manager Mobile (EPMM)
• โครงสร้างพื้นฐานมือถือขององค์กร
• อุปกรณ์ที่ได้รับการจัดการ
• เครือข่ายเป้าหมาย

Technical Attack Steps:

1. ผู้โจมตีใช้ประโยชน์จาก CVE-2026-1281 ซึ่งเป็นช่องโหว่การฉีดโค้ดแบบ Pre-authentication ใน Ivanti EPMM
2. ช่องโหว่เกิดจากการตรวจสอบอินพุตที่ไม่เหมาะสมใน Bash handler ที่ปลายทาง `/mifs/c/appstore/fob/`
3. ผู้โจมตีสามารถฉีด payloads ที่เป็นอันตรายผ่านพารามิเตอร์ URL
4. สามารถรันคำสั่งโดยพลการในฐานะผู้ใช้เว็บเซิร์ฟเวอร์
5. ทำการติดตั้ง webshells แบบ ‘sleeper’ บนอินสแตนซ์ EPMM ที่ถูกบุกรุก โดย webshells เหล่านี้จะอยู่ในสถานะไม่ทำงานจนกว่าจะถูกเปิดใช้งานสำหรับการปฏิบัติการเฉพาะ
6. การใช้ประโยชน์ที่สำเร็จทำให้ผู้โจมตีสามารถควบคุมโครงสร้างพื้นฐานมือถือขององค์กรได้อย่างกว้างขวาง

Recommendations:

Short Term:

• ติดตั้งแพตช์ที่มีอยู่ทันที เพื่อแก้ไขช่องโหว่ CVE-2026-1281
• ตรวจสอบหา Indicators of Compromise (IoC) รวมถึงไฟล์ webshells ที่ไม่คาดคิดบนระบบ EPMM
• ตรวจสอบบันทึกการเข้าถึง (access logs) สำหรับคำขอที่น่าสงสัยไปยังปลายทาง `/mifs/c/appstore/fob/` หรือส่วนอื่นๆ ที่เกี่ยวข้อง

Long Term:

• วางแผนอัปเกรดเป็น Ivanti EPMM เวอร์ชัน 12.8.0.0 (กำหนดใน Q1 2026) เพื่อรับการแก้ไขถาวรจากผู้ผลิต
• รักษาการอัปเดตระบบและแพตช์อย่างสม่ำเสมอสำหรับทุกผลิตภัณฑ์ของ Ivanti และระบบที่เกี่ยวข้อง
• ใช้ข้อมูล IP ของผู้โจมตีที่ Shadowserver Foundation แชร์เพื่อระบุและบล็อกแหล่งที่มาของการโจมตีที่อาจเกิดขึ้น

Source: https://cybersecuritynews.com/ivanti-epmm-0-day-flaw-exploited/