เมื่อสองสัปดาห์ก่อน VMware ออกคำแนะนำด้านความปลอดภัย เพื่อเตือนผู้ใช้งาน VMware ถึงช่องโหว่ Remote Code Execution (RCE) ระดับ Critical ที่มีหมายเลข CVE-2023-20887 ซึ่งได้รับการอัปเดตแพตซ์แก้ไขไปแล้วก่อนหน้านี้ เนื่องจากผู้ไม่ประสงค์ดีกำลังใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีอยู่ในปัจจุบัน
ก่อนหน้านี้ GreyNoise บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ออกคําเตือนหลายครั้ง โดยคําเตือนครั้งแรกเกิดขึ้นหนึ่งสัปดาห์หลังจาก VMware ออกแพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยเมื่อ วันที่ 15 มิถุนายน และเพียงสองวันก่อนที่ Sina Kheirkah นักวิจัยด้านความปลอดภัยได้เปิดเผยรายงานเกียวกับรายละเอียดทางเทคนิค และ proof-of-concept ของช่องโหว่ โดยช่องโหว่นี้ส่งผลกระทบต่อ VMware Aria Operations for Networks (เดิมชื่อ vRealize Network Insight) ซึ่งเป็นเครื่องมือวิเคราะห์เครือข่าย
ที่ช่วยให้ผู้ดูแลระบบเพิ่มประสิทธิภาพการทำงานของเครือข่าย หรือจัดการการปรับใช้ VMware และ Kubernetes
โดยผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่ในการทำ command injection ในการโจมตีได้โดยไม่ต้องมีการตอบโต้ จากผู้ใช้งาน
Kheirkhah อธิบายในการวิเคราะห์สาเหตุของช่องโหว่ด้านความปลอดภัยว่า VMWare Aria Operations for Networks (vRealize Network Insight) มีความเสี่ยงที่จะถูกแทรกคำสั่ง เมื่อรับอินพุตของผู้ใช้งานผ่านอินเทอร์เฟซ Apache Thrift RPC โดยช่องโหว่นี้ช่วยให้ผู้ไม่ประสงค์ดีจากภายนอกที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คําสั่งต่าง ๆ บนระบบด้วยสิทธิ์ Root ได้
ยังไม่มีวิธีการแก้ไขปัญหาชั่วคราวสำหรับช่องโหว่ CVE-2023-20887 ดังนั้นผู้ดูแลระบบจะต้องอัปเดตแพตซ์ VMware Aria Operations Networks 6.x ทั้งหมด เพื่อให้แน่ใจว่าจะไม่ถูกโจมตีจากช่องโหว่ดังกล่าว รายการแพตช์ความปลอดภัยทั้งหมด สำหรับเวอร์ชัน Aria Operations for Networks ที่พบช่องโหว่ทั้งหมดอยู่ในเว็บไซต์ VMware's Customer Connect website
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น