Ivanti EPMM ถูกโจมตีซ้ำ! เชื่อมโยงช่องโหว่ Zero-Day ก่อนหน้า

• CVE-2025-4427 (คะแนน CVSS 7.5/10 ระดับความรุนแรง High) ช่องโหว่ด้านการยืนยันตัวตนในส่วนของ API ของ Ivanti Endpoint Manager Mobile เวอร์ชัน 12.5.0.0 และก่อนหน้า อาจเปิดโอกาสให้ผู้โจมตีสามารถเข้าถึงทรัพยากรที่ควรได้รับการป้องกันได้โดยไม่ต้องมีข้อมูลยืนยันตัวตนที่ถูกต้อง ผ่านทาง API โดยตรง
• CVE-2025-4428 (คะแนน CVSS 6.8/10 ระดับความรุนแรง Medium) ช่องโหว่ Remote Code Execution (RCE) ที่เกิดขึ้นในส่วนของ API ของ Ivanti Endpoint Manager Mobile เวอร์ชัน 12.5.0.0 และก่อนหน้า บนแพลตฟอร์มที่ไม่ได้ระบุอย่างชัดเจน อาจเปิดทางให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้วสามารถส่งคำขอ API ที่ถูกออกแบบมาเฉพาะ เพื่อสั่งรันโค้ดอันตรายบนระบบได้ตามต้องการ

เมื่อวันที่ 16 พฤษภาคม ซึ่งเป็นช่วงที่มีการเผยแพร่โค้ด PoC โดย watchTowr และ Project Discovery นักวิจัยจาก Wiz พบว่า เทคนิคการโจมตี Ivanti มีความเกี่ยวข้องกับการโจมตี Zero-Day ในอุปกรณ์ Edge อื่น ๆ มาก่อนหน้านี้เช่นกัน โดยเฉพาะอุปกรณ์ไฟร์วอลล์จาก Palo Alto Networks ทั้งสองกรณีมีการใช้ IP เดียวกันเป็นเซิร์ฟเวอร์ควบคุมและสั่งการ ได้แก่ 77.221.158[.]154

Wiz ระบุว่า IP ดังกล่าวเคยปรากฏในการโจมตีช่องโหว่ CVE-2024-0012 และ CVE-2024-9474 บน PAN-OS ช่วงปลายปี 2024 ซึ่งเริ่มแพร่กระจายหลังมีการเผยแพร่ PoC เมื่อวันที่ 19 พฤศจิกายน โดยมุ่งเป้าไปที่อุปกรณ์ที่เปิดเผยต่ออินเทอร์เน็ต จากการใช้โครงสร้างพื้นฐานเดิมและรูปแบบการโจมตีที่คล้ายกัน Wiz จึงเชื่อว่าการโจมตี Ivanti และ Palo Alto น่าจะมาจากกลุ่มผู้โจมตีกลุ่มเดียวกัน

จากการวิเคราะห์ล่าสุด พบว่าผู้โจมตีใช้ Sliver ซึ่งเป็นเครื่องมือ C2 ที่ได้รับความนิยมทั้งในกลุ่ม red team และแฮกเกอร์ ในการโจมตีทั้ง Ivanti และ PAN-OS ในแคมเปญที่เกี่ยวข้องกับ PAN-OS ก่อนหน้านี้ Wiz ยังตรวจพบการฝัง Web Shell, มัลแวร์ขุดเหมือง XMRig, และ Linux implant ที่เชื่อมโยงกับกลุ่ม DaggerFly หรือ Evasive Panda ซึ่งเป็นกลุ่มที่เชื่อว่ามีรัฐบาลจีนหนุนหลัง อย่างไรก็ตาม Wiz ยังไม่สามารถยืนยันได้แน่ชัดว่าการโจมตีล่าสุดนี้เกี่ยวข้องโดยตรงกับ DaggerFly หรือไม่

เวอร์ชันที่ได้รับผลกระทบ

• Ivanti EPMM เวอร์ชัน 11.12.0.4 และเวอร์ชันก่อนหน้า
• Ivanti EPMM เวอร์ชัน 12.3.0.1 และเวอร์ชันก่อนหน้า
• Ivanti EPMM เวอร์ชัน 12.4.0.1 และเวอร์ชันก่อนหน้า
• Ivanti EPMM เวอร์ชัน 12.5.0.0 และเวอร์ชันก่อนหน้า

เวอร์ชันที่ได้รับการแก้ไข

• Ivanti EPMM เวอร์ชัน 11.12.0.5
• Ivanti EPMM เวอร์ชัน 12.3.0.2
• Ivanti EPMM เวอร์ชัน 12.4.0.2
• Ivanti EPMM เวอร์ชัน 12.5.0.1
  

ผลกระทบจากช่องโหว่

การโจมตีผ่านช่องโหว่ Zero-Day ใน Ivanti EPMM และ PAN-OS สะท้อนความเสี่ยงรุนแรงต่อระบบเครือข่ายองค์กร โดยเฉพาะอุปกรณ์ edge ที่ควรเป็นแนวป้องกันด่านแรกกลายเป็นช่องทางให้ผู้โจมตีเข้าควบคุมระบบจากระยะไกลโดยไม่ต้องยืนยันตัวตน พร้อมหลักฐานการใช้เครื่องมือและ IP เดียวกันในหลายแคมเปญ ชี้ถึงการปฏิบัติการต่อเนื่องของกลุ่มภัยคุกคามขั้นสูง ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลหรือการโจมตีข้ามระบบ หากไม่มีการอุดช่องโหว่อย่างทันที

คำแนะนำ

• อัปเดตผลิตภัณฑ์ Ivanti EPMM ให้เป็นเวอร์ชันล่าสุดหรือเวอร์ชันที่ได้รับการแก้ไข
• จำกัดการเข้าถึง อุปกรณ์ VPN/Firewall จากภายนอก โดยใช้ IP allowlist หรือ VPN ACL
• เปิดใช้ Multi-Factor Authentication (MFA) สำหรับผู้ดูแลอุปกรณ์ VPN และ Firewall
• จำกัดการเข้าถึง vCenter และ ESXi ผ่าน IP Whitelisting หรือ VPN เท่านั้น

แหล่งอ้างอิง

https://www.darkreading.com/cyberattacks-data-breaches/ivanti-epmm-exploitation-previous-zero-day-attacks

https://nvd.nist.gov/vuln/detail/CVE-2025-4427

https://nvd.nist.gov/vuln/detail/CVE-2025-4428