พบช่องโหว่ Zero-Day ที่สำคัญสองจุดใน Ivanti Endpoint Manager Mobile (EPMM) ซึ่งถูกนำไปใช้โจมตีเครือข่ายองค์กรในหลายประเทศอย่างแพร่หลาย ช่องโหว่ CVE-2026-1281 และ CVE-2026-1340 ทำให้ผู้โจมตีที่ไม่ได้รับการรับรองสิทธิ์สามารถรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์เป้าหมายได้โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้หรือข้อมูลประจำตัวใดๆ ซึ่งส่งผลกระทบต่อองค์กรในสหรัฐอเมริกา เยอรมนี ออสเตรเลีย และแคนาดา รวมถึงภาคส่วนต่างๆ เช่น หน่วยงานภาครัฐระดับรัฐและท้องถิ่น การดูแลสุขภาพ การผลิต บริการระดับมืออาชีพ และเทคโนโลยีขั้นสูง
Severity: วิกฤต
System Impact:
- Ivanti Endpoint Manager Mobile (EPMM)
- เครือข่ายองค์กร (enterprise networks)
- โครงสร้างพื้นฐานขององค์กร (corporate infrastructure)
- Mobile Device Management infrastructure
- องค์กรในสหรัฐอเมริกา
- องค์กรในเยอรมนี
- องค์กรในออสเตรเลีย
- องค์กรในแคนาดา
- ภาคส่วนภาครัฐระดับรัฐและท้องถิ่น (state and local government)
- ภาคส่วนการดูแลสุขภาพ (healthcare)
- ภาคส่วนการผลิต (manufacturing)
- ภาคส่วนบริการระดับมืออาชีพ (professional services)
- ภาคส่วนเทคโนโลยีขั้นสูง (high technology)
Technical Attack Steps:
- ผู้โจมตีใช้ช่องโหว่ Zero-Day สองจุด (CVE-2026-1281 และ CVE-2026-1340) ใน Ivanti EPMM.
- ช่องโหว่เหล่านี้ช่วยให้ผู้โจมตีสามารถดำเนินการโค้ดจากระยะไกลได้โดยไม่ต้องมีการรับรองสิทธิ์ (Unauthenticated Remote Code Execution – RCE).
- ผู้โจมตีได้รับควบคุมโครงสร้างพื้นฐานการจัดการอุปกรณ์เคลื่อนที่อย่างสมบูรณ์.
- สร้าง reverse shells และติดตั้ง web shells ประเภท JSP (เช่น 401.jsp, 403.jsp, 1.jsp) เพื่อควบคุมดูแลระบบ.
- ดำเนินการสืบสวนเครือข่าย (reconnaissance) และดาวน์โหลดซอฟต์แวร์ประสงค์ร้าย.
- มีการติดตั้ง Nezha monitoring agent, cryptominers หรือ persistent backdoors บนอุปกรณ์ที่ถูกบุกรุก.
- ใช้คำสั่ง ‘sleep’ เป็นวิธีสืบสวนเพื่อประเมินช่องโหว่ของเซิร์ฟเวอร์.
Recommendations:
Short Term:
- รีบติดตั้งแพตช์เฉพาะเวอร์ชัน (RPM 12.x.0.x หรือ RPM 12.x.1.x) ที่ Ivanti เผยแพร่ทันที ซึ่งใช้เวลาเพียงไม่กี่วินาทีและไม่ต้องหยุดการทำงาน.
- ตรวจสอบอุปกรณ์เพื่อหาร่องรอยการถูกโจมตีที่อาจเกิดขึ้นก่อนการติดตั้งแพตช์.
- ใช้สคริปต์ตรวจจับการโจมตี (Exploitation Detection script) ที่พัฒนาร่วมกับ NCSC-NL เพื่อช่วยระบุการประนีประนอมที่อาจเกิดขึ้น.
Long Term:
- นำแนวคิด ‘สันนิษฐานว่ามีการบุกรุก’ (assumed breach mentality) มาปรับใช้.
- จัดการการตรวจจับตัวบ่งชี้ใดๆ ว่าเป็นการประนีประนอมที่มีความคงทนลึกซึ้ง (deeper persistence).
Source: https://cybersecuritynews.com/critical-ivanti-epmm-zero-day-vulnerabilities/
Share this content: