ช่องโหว่การประมวลผลโค้ดจากระยะไกล (RCE) ที่ร้ายแรงใน Ivanti Endpoint Manager Mobile (EPMM) ซึ่งมีรหัส CVE-2026-1281 กำลังถูกโจมตีอย่างหนัก โดย GreyNoise รายงานว่า 83% ของการโจมตีมาจาก IP Address เดียวคือ 193[.]24[.]123[.]42 ซึ่งเป็นของ PROSPERO OOO (AS200593) และถูกจัดเป็น ‘bulletproof’ hosting ซึ่ง IP นี้ไม่ปรากฏใน IOCs ที่เผยแพร่ก่อนหน้านี้ การโจมตียังรวมถึงช่องโหว่ CVE-2026-1340 ด้วย หน่วยงานในเนเธอร์แลนด์ยืนยันว่าถูกละเมิดก่อนที่หลายองค์กรจะแก้ไขได้ IP ดังกล่าวเชื่อมโยงกับการโจมตี Oracle WebLogic Server, GNU Inetutils telnetd และ GLPI ด้วย ผู้โจมตีใช้ User-Agent หลายร้อยสตริงบ่งชี้ถึงการโจมตีแบบอัตโนมัติ และใช้ DNS callbacks เพื่อยืนยันการประมวลผลโค้ด รวมถึงมีการวาง ‘sleeper webshells’ ที่สามารถซ่อนตัวอยู่ในระบบที่แก้ไขแล้ว
Severity: วิกฤต
System Impact:
- Ivanti Endpoint Manager Mobile (EPMM)
- Oracle WebLogic Server
- GNU Inetutils telnetd
- GLPI
- Dutch Data Protection Authority (AP)
- Council for the Judiciary (RVDR)
Technical Attack Steps:
- 1. ผู้โจมตีที่ไม่ได้พิสูจน์ตัวตนใช้ช่องโหว่ RCE (CVE-2026-1281 และ CVE-2026-1340) ใน Ivanti EPMM
- 2. ช่องโหว่ CVE-2026-1281 ถูกใช้ประโยชน์โดยการใช้ Bash arithmetic expansion ในสคริปต์การส่งไฟล์ Backend
- 3. การโจมตีส่วนใหญ่มาจาก IP Address เดียว 193[.]24[.]123[.]42 ซึ่งเป็น Bulletproof Hosting
- 4. Payload ประมาณ 85% ใช้ DNS callbacks เพื่อยืนยันการประมวลผลโค้ดที่สำเร็จ
- 5. ผู้โจมตีอาจติดตั้ง ‘sleeper webshells’ (เช่น ที่ /mifs/403.jsp) ที่จะทำงานเมื่อถูกเรียกใช้ในภายหลัง
Recommendations:
Short Term:
- ดำเนินการแพตช์ระบบ Ivanti EPMM สำหรับช่องโหว่ CVE-2026-1281 และ CVE-2026-1340 ทันที
- บล็อก IP Address 193[.]24[.]123[.]42 และ Autonomous System (AS) ที่เกี่ยวข้อง (AS200593)
- ตรวจสอบและอัปเดต Indicators of Compromise (IOCs) ที่ใช้ในองค์กรให้ครอบคลุมถึง IP และผู้ให้บริการโฮสติ้งที่ระบุ
Long Term:
- พัฒนากลยุทธ์การแพตช์สำหรับช่องโหว่ที่ร้ายแรง โดยเฉพาะอย่างยิ่งสำหรับระบบที่เชื่อมต่ออินเทอร์เน็ต
- เพิ่มขีดความสามารถในการรวบรวมข้อมูลภัยคุกคามเพื่อติดตามและนำ IOCs จากแหล่งต่างๆ มาใช้ โดยเฉพาะจากผู้ให้บริการ Bulletproof Hosting
- ดำเนินการวิเคราะห์ทางนิติวิทยาศาสตร์หลังการแพตช์อย่างละเอียด เพื่อตรวจหา Webshell ที่อาจซ่อนอยู่หรือกลไกการเข้าถึงแบบถาวรอื่นๆ (เช่น /mifs/403.jsp)
- เสริมสร้างการแบ่งส่วนเครือข่ายและการควบคุมการเข้าถึง เพื่อจำกัดผลกระทบของการโจมตีที่สำเร็จ
- เฝ้าระวังกิจกรรมเครือข่ายที่น่าสงสัยและ User-Agent ที่ผิดปกติอย่างต่อเนื่อง
Source: https://cybersecuritynews.com/ivanti-epmm-rce-vulnerability-exploited/
Share this content: