Ivanti เตือนช่องโหว่ Zero-day บน EPMM ถูกใช้โจมตีแล้ว แนะนำแพตช์โดยด่วน

Ivanti ประกาศเตือนช่องโหว่ Critical 2 รายการบน Endpoint Manager Mobile (EPMM) ที่ถูกใช้โจมตีจริงแบบ Zero-day แล้ว โดยช่องโหว่ทั้งสองเปิดโอกาสให้ผู้โจมตีรันโค้ดจากระยะไกลได้โดยไม่ต้อง authentication

ช่องโหว่ดังกล่าวมีรหัส CVE-2026-1281 และ CVE-2026-1340 เป็นช่องโหว่ประเภท code injection ที่มีคะแนน CVSS 9.8 ระดับ Critical ทั้งคู่ ผู้โจมตีสามารถรันคำสั่งใดๆ บนอุปกรณ์ EPMM ได้โดยไม่ต้องยืนยันตัวตน ซึ่ง Ivanti ระบุว่าพบการโจมตีจริงแล้วในลูกค้าจำนวนจำกัด แต่ยังไม่สามารถระบุ indicator of compromise (IOC) ที่ชัดเจนได้

หากถูกโจมตีสำเร็จ แฮกเกอร์สามารถเข้าถึงข้อมูลสำคัญบนระบบ EPMM ได้มากมาย รวมถึงชื่อผู้ดูแลระบบ ชื่อผู้ใช้งาน อีเมล ข้อมูลอุปกรณ์มือถือที่จัดการอยู่ เช่น หมายเลขโทรศัพท์ IP address แอปพลิเคชันที่ติดตั้ง และ device identifier อย่าง IMEI และ MAC address หากเปิดใช้งาน location tracking ผู้โจมตียังสามารถเข้าถึงพิกัด GPS และตำแหน่งเสาสัญญาณที่ใกล้ที่สุดได้อีกด้วย นอกจากนี้ยังสามารถใช้ EPMM API หรือ web console ปรับเปลี่ยนการตั้งค่าอุปกรณ์รวมถึงการตั้งค่า authentication ได้

Ivanti ปล่อย RPM script สำหรับ EPMM version 12.5.0.x, 12.6.0.x, 12.7.0.x, 12.5.1.0 และ 12.6.1.0 โดยสามารถติดตั้งได้โดยไม่ต้องหยุดระบบและไม่กระทบการทำงาน อย่างไรก็ตาม hotfix นี้จะหายไปเมื่ออัปเกรด version และต้องติดตั้งใหม่ โดย permanent fix จะอยู่ใน EPMM 12.8.0.0 ที่กำหนดออก Q1 2026 ทาง CISA ได้เพิ่ม CVE-2026-1281 เข้าสู่ Known Exploited Vulnerabilities (KEV) catalog และกำหนดให้หน่วยงานรัฐบาลกลางสหรัฐฯ ต้องดำเนินการแก้ไขภายในวันที่ 1 กุมภาพันธ์ 2026 หากพบว่าถูกโจมตี Ivanti แนะนำให้ restore จาก backup ที่ทราบว่าปลอดภัยหรือ rebuild ระบบใหม่

ที่มา: https://www.bleepingcomputer.com/news/security/ivanti-warns-of-two-epmm-flaws-exploited-in-zero-day-attacks/