VMware ออกมาแจ้งเตือนการพบการโจมตีโดยใช้ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical บน vCenter Server ที่ปัจจุบันได้รับการแก้ไขไปแล้วในในเดือนตุลาคม 2023 ซึ่งพบว่าปัจจุบันกลุ่มผู้ไม่ประสงค์ดีกำลังนำมาใช้ในการโจมตี vCenter Server เป็น management platform สำหรับระบบของ VMware vSphere ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ ESX and ESXi servers และ virtual machines (VMs) ได้
CVE-2023-34048 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน vCenter's DCE/RPC protocol ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) และมีความซับซ้อนในการโจมตีต่ำ ซึ่งส่งผลกระทบต่อการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน (CIA) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ หรือการตอบโต้จากเป้าหมาย โดยทาง VMware ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว รวมถึงยังออกแพตซ์รองรับให้กับอุปกรณ์ที่ end-of-life ไปแล้วด้วย
ทั้งนี้กลุ่มผู้ไม่ประสงค์ดีได้มุ่งเป้าหมายการโจมตีช่องโหว่ดังกล่าวเพื่อเข้าถึงเครือข่ายของเป้าหมาย และเข้ายึด VMware server หลังจากนั้นก็จะนำมาขายใน cybercrime forums ให้แก่กลุ่ม Ransomware ต่าง ๆ เช่น Royal, Black Basta, LockBit, RTM Locker, Qilin, ESXiArgs, Monti และ Akira ซึ่งกลุ่มเหล่านี้ได้มุ่งเป้าหมายการโจมตีไปยัง VMware ESXi server ของเป้าหมาย เพื่อขโมยข้อมูล และเข้ารหัสไฟล์เพื่อเรียกค่าไถ่
จากข้อมูลของ Shodan แสดงให้เห็นว่าปัจจุบัน มี VMware Center server กว่า 2,000 เครื่องที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต ซึ่งมีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ดังกล่าว ซึ่งอาจส่งผลกระทบต่อระบบ และข้อมูลในบริษัท
VMware ได้แนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยด่วน รวมถึงปัจจุบันยังไม่มีวิธีแก้ไขในรูปแบบอื่น จึงแนะนำให้ผู้ใช้งานที่ยังไม่สามารถอัปเดตระบบได้ทันที ทำการป้องกันโดยการควบคุม network perimeter access และ interface ในการเข้าถึง vSphere ในเครือข่ายอย่างเข้มงวด ซึ่ง Port ที่มีความเสี่ยงจะถูกใช้ในการโจมตีได้แก่ Port : 2012/TCP, 2014/TCP และ 2020/TCP
ทั้งนี้ในเดือนมิถุนายน 2023 VMware ได้แก้ไขช่องโหว่งด้านความปลอดภัยใน vCenter Server ที่มีระดับความรุนแรงสูงหลายรายการ ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตราย และการ bypass การรับรองความถูกต้องไปยังเซิร์ฟเวอร์ที่มีช่องโหว่ รวมถึงช่องโหว่ zero-day ใน ESXi ที่ถูกกลุ่ม ผู้ไม่ประสงค์ดี ชาวจีนใช้ในการโจมตีเพื่อขโมยข้อมูล รวมถึงยังได้แจ้งเตือนช่องโหว่อื่น ๆ ที่สำคัญของ Aria Operations for Networks ที่พบว่ากำลังถูกนำไปใช้ในการโจมตีอย่างแพร่หลาย
ตั้งแต่ต้นปี 2024 มานี้ ได้มีแจ้งเตือนช่องโหว่ด้านความปลอดภัยหลายรายการที่กำลังถูกนำมาใช้ในการโจมตี เช่น Ivanti Connect Secure, Ivanti EPMM และ Citrix Netscaler server จึงแจ้งเตือนไปยังผู้ดูแลระบบให้หมั่นติดตามการออกแพตซ์อัปเดต และเร่งแก้ไขช่องโหว่อย่างสม่ำเสมอ
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น