ช่องโหว่ RCE ระดับ Critical ใน VMware vCenter Server กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

    Broadcom ออกมาแจ้งเตือนว่าพบผู้ไม่ระสงค์ดีได้ใช้ช่องโหว่ VMware vCenter Server จำนวน 2 รายการ ในการโจมตีเป้าหมายอย่างต่อเนื่อง โดยหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical

• CVE-2024-38812 (คะแนน CVSS v4.0 ที่ 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Heap Overflow ในการใช้งาน DCE/RPC protocol ของ vCenter ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ที่มี vCenter รวมถึง VMware vSphere และ VMware Cloud Foundation ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน China's 2024 Matrix Cup hacking contest
• CVE-2024-38813 (คะแนน CVSS v4.0 ที่ 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Privilege Escalation ที่ทำให้สามารถยกระดับสิทธิ์ไปยังระดับ Root โดยใช้ network packet ที่สร้างขึ้นมาเป็นพิเศษได้ ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน China's 2024 Matrix Cup hacking contest

    Broadcom ได้ออกแพตซ์อัปเดตด้านความปลอดภัยในเดือนกันยายน 2024 เพื่อแก้ไขช่องโหว่ทั้ง 2 รายการ ต่อมา Broadcom ได้อัปเดตคำเตือนด้านความปลอดภัยที่ระบุว่าแพตช์ CVE-2024-38812 เดิมนั้น ไม่สามารถแก้ไขช่องโหว่ได้อย่างสมบูรณ์ และแนะนำอย่างยิ่งให้ผู้ดูแลระบบใช้แพตช์ตัวใหม่ เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว เนื่องจากไม่มีวิธีอื่นในการลดผลกระทบ

    รวมถึง Broadcom ยังได้ออกคำแนะนำพร้อมข้อมูลเพิ่มเติม เกี่ยวกับการอัปเดตด้านความปลอดภัยบนระบบที่มีช่องโหว่ ซึ่งอาจส่งผลกระทบต่อระบบที่ได้อัปเกรดไปแล้ว

    ในเดือนมิถุนายน 2024 บริษัทได้แก้ไขช่องโหว่ vCenter Server RCE ที่คล้ายคลึงกัน (CVE-2024-37079) ซึ่งผู้ไม่ระสงค์ดีสามารถโจมตีได้ผ่าน network packet ที่สร้างขึ้นมาเป็นพิเศษเช่นเดียวกัน

กลุ่ม Ransomware และกลุ่มผู้ไม่ระสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาล มักมุ่งเป้าหมายการโจมตีไปยังช่องโหว่ VMware vCenter ตัวอย่างเช่น ในเดือนมกราคม Broadcom เปิดเผยว่าผู้ไม่ระสงค์ดีของรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ของ vCenter Server (CVE-2023-34048) ในการโจมตีเป้าหมาย โดยเป็นช่องโหว่ Zero-Day ตั้งแต่ช่วงปลายปี 2021 เป็นอย่างน้อย

    กลุ่มผู้ไม่ระสงค์ดี(ถูกติดตามโดย Mandiant ในชื่อ UNC3886) ได้ใช้ช่องโหว่เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ผ่านทาง vSphere Installation Bundles (VIB) ที่สร้างขึ้น

Ref : bleepingcomputer.com

VMware แก้ไขช่องโหว่ RCE ระดับ Critical ของ vCenter Server

    VMware ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ VMware vCenter Server ระดับ Critical ซึ่งยังไม่ได้รับการแก้ไขอย่างถูกต้องในแพตช์แรกเมื่อเดือนกันยายน 2024

• CVE-2024-38812 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ heap overflow ใน DCE/RPC protocol ของ vCenter ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลจาก network packet ที่ถูกสร้างขึ้นเป็นพิเศษ โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน ซึ่งส่งผลกระทบต่อ vCenter Server และผลิตภัณฑ์ใด ๆ ที่มีความเกี่ยวข้องกับช่องโหว่ เช่น vSphere และ Cloud Foundation

    ช่องโหว่ดังกล่าวถูกค้นพบโดย TZL ที่ได้นำช่องโหว่ไปใช้ในระหว่างการแข่งขัน Matrix Cup hacking ของจีนในปี 2024 นอกจากนี้ นักวิจัยยังเปิดเผยช่องโหว่ CVE-2024-38813 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ที่มีความรุนแรงสูงซึ่งส่งผลกระทบต่อ VMware vCenter ด้วยเช่นกัน

    Broadcom ได้แนะนำให้ผู้ใช้งานทำการอัปเดตเป็น vCenter 7.0.3, 8.0.2 และ 8.0.3 เพื่อแก้ไขช่องโหว่ ทั้งนี้เวอร์ชันผลิตภัณฑ์ที่หมดอายุ end-of-support ไปแล้วเช่น vSphere 6.5 และ 6.7 ที่ได้รับผลกระทบจะไม่ได้รับการอัปเดตด้านความปลอดภัย

    VMware ระบุว่า สำหรับช่องโหว่ทั้ง 2 รายการ CVE-2024-38812, CVE-2024-38813 ยังไม่มีวิธีการลดผล

กระทบ จึงแนะนำให้ผู้ใช้ที่ได้รับผลกระทบทำการอัปเดตเวอร์ชันล่าสุดโดยเร็วที่สุด เนื่องจากผู้ไม่ประสงค์ดีมักมุ่งเป้าหมายการโจมตีไปยังช่องโหว่ของ VMware vCenter เพื่อยกระดับสิทธิ์ หรือเข้าถึงเครื่อง virtual machines

    ต้นปี 2024 ทาง Mandiant เปิดเผยว่ากลุ่มผู้ไม่ประสงค์ดีจากจีนในชื่อ UNC3886 ได้ใช้ช่องโหว่ CVE-2023-34048 ซึ่งเป็นช่องโหว่ zero-day ระดับ critical ใน vCenter Server โจมตีไปยังเป้าหมายเพื่อเข้าถึง VMware ESXi virtual machines ด้วย backdoor

Ref : bleepingcomputer.com

Broadcom แก้ไขช่องโหว่ RCE ระดับ Critical ใน VMware vCenter Server

    Broadcom ได้แก้ไขช่องโหว่ระดับ Critical ใน VMware vCenter Server ที่ทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบน server ที่มีช่องโหว่ผ่านทาง network packet ได้

vCenter Server เป็น central management hub สำหรับ vSphere ของ VMware ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ และตรวจสอบ virtualized infrastructure ได้

    CVE-2024-38812 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ heap overflow ในการใช้งาน DCE/RPC protocol ของ vCenter โดยการส่ง network packet ที่ถูกสร้างขึ้นมาเป็นพิเศษ ทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล โดยส่งผลกระทบต่อผลิตภัณฑ์ที่มี vCenter รวมถึง VMware vSphere และ VMware Cloud Foundation ช่องโหว่ถูกค้นพบโดย ผู้เชี่ยวชาญด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน Hack รายการ Matrix Cup 2024 ของจีน

    ปัจจุบันทาง VMware ได้ออกอัปเดตผ่าน vCenter Server update แล้ว จึงแนะนำให้ผู้ดูแลทำการอัปเดตโดยด่วน ยังไม่พบการโจมตีช่องโหว่ CVE-2024-38812

    Broadcom ระบุว่า ยังไม่พบหลักฐานว่าช่องโหว่ CVE-2023-34048 ได้ถูกนำไปใช้ในการโจมตีในปัจจุบัน

แต่ทั้งนี้ผู้ดูแลระบบที่ไม่สามารถทำการอัปเดตด้านความปลอดภัยได้ทันที ควรควบคุมการเข้าถึง network perimeter ไปยัง vSphere management interfaces อย่างเข้มงวด รวมถึง storage และ network components เนื่องจากยังไม่มีแนวทางแก้ไขเบื้องต้นอย่างเป็นทางการสำหรับช่องโหว่นี้

    รวมถึง VMware ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ privilege escalation ความรุนแรงระดับ High (CVE-2024-38813) ที่ทำให้ผู้ไม่ประสงค์ดีสามารถใช้ในการโจมตีเพื่อรับสิทธิ์ root บน server ที่มีช่องโหว่ผ่าน network packet ที่ถูสร้างขึ้นมาเป็นพิเศษ

    ในเดือนมิถุนายน 2024 ได้มีการแก้ไขช่องโหว่ vCenter Server remote code execution ในลักษณะคล้ายกัน (CVE-2024-37079) ซึ่งสามารถถูกใช้โจมตีผ่าน network packet ที่ถูกสร้างขึ้นมาเป็นพิเศษได้

ในเดือนมกราคม 2024 Broadcom ได้เปิดเผยว่าผู้ไม่ประสงค์ดีชาวจีนได้ใช้ช่องโหว่ vCenter Server (CVE-2023-34048) ในการโจมตีแบบ zero-day มาตั้งแต่ช่วงปลายปี 2021 เป็นอย่างน้อย

    ผู้ไม่ประสงค์ดีชาวจีน (ถูกติดตามโดยบริษัทด้านความปลอดภัย Mandiant ในชื่อ UNC3886) ใช้ช่องโหว่นี้เพื่อเจาะ vCenter server ที่มีช่องโหว่เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ผ่านทาง vSphere Installation Bundles (VIB) ที่สร้างขึ้น

Ref : bleepingcomputer.com

Ransomware "Cicada" บนระบบปฏิบัติการ Linux ซึ่งมุ่งเป้าโจมตีเซิร์ฟเวอร์ VMware ESXi โดยเฉพาะ

ผ

    มีการดำเนินการ Malware เรียกค่าไถ่แบบ Ransomware-as-a-Service หรือ RaaS ซึ่งแอบอ้างเป็นองค์กร Cicada 3301 ที่แท้จริง และได้ระบุเหยื่อจำนวน 19 ราย หลังจากที่ได้ทำการโจมตีบริษัทต่าง ๆ ทั่วโลกอย่างรวดเร็ว

    การดำเนินการอาชญากรรมไซเบอร์ใหม่นี้ได้รับชื่อและใช้โลโก้เดียวกับเกมออนไลน์/โลกจริงที่ลึกลับในช่วงปี 2012-2014 ชื่อ Cicada 3301 ซึ่งเกี่ยวข้องกับปริศนาการเข้ารหัสที่ซับซ้อน

    อย่างไรก็ตาม ไม่มีความเกี่ยวข้องใด ๆ ระหว่างทั้งสองฝ่าย โดยโครงการ Cicada 3301 ที่แท้จริงได้ออกแถลงการณ์ปฏิเสธการเชื่อมโยงใด ๆ กับผู้กระทำความผิดและประณามการกระทำของกลุ่มนี้

แถลงการณ์จากองค์กร Cicada 3301 ระบุว่า "เราไม่ทราบถึงตัวตนของอาชญากรที่อยู่เบื้องหลังการกระทำที่โหดร้ายเหล่านี้ และไม่มีความเกี่ยวข้องใด ๆ กับกลุ่มเหล่านี้."

    Cicada3301 RaaS เริ่มออกมาโจมตีตั้งแต่ต้นเดือนมิถุนายน 2024 ผ่านโพสต์ในฟอรัมที่เกี่ยวกับ Malware เรียกค่าไถ่และอาชญากรรมไซเบอร์ที่รู้จักกันในชื่อ RAMP

    อย่างไรก็ตาม BleepingComputer ทราบถึงการโจมตีของ Cicada ที่เกิดขึ้นตั้งแต่วันที่ 6 มิถุนายน ซึ่งบ่งชี้ว่ากลุ่มนี้ได้ดำเนินการเองอย่างอิสระก่อนที่จะพยายามรับสมัครผู้ร่วมงาน

    เช่นเดียวกับการดำเนินการของ Malware เรียกค่าไถ่อื่น ๆ Cicada3301 ใช้กลยุทธ์โชกสองขั้นตอน โดยจะเจาะเข้าสู่เครือข่ายขององค์กร ขโมยข้อมูล และเข้ารหัสอุปกรณ์ต่าง ๆ หลังจากนั้นจะใช้กุญแจถอดรหัสและขู่ที่จะเผยแพร่ข้อมูลที่ถูกขโมยมาเป็นเครื่องมือต่อรอง เพื่อบีบบังคับให้เหยื่อยอมจ่ายค่าไถ่

    กลุ่มผู้ไม่ประสงค์ดีมีการดำเนินการเว็บไซต์เผยแพร่ข้อมูลที่ใช้เป็นส่วนหนึ่งของแผนการขู่กรรโชกสองขั้นตอนนี้

    Truesec พบว่ามีความคล้ายคลึงอย่างมากระหว่าง Cicada3301 และ ALPHV/BlackCat ซึ่งบ่งชี้ว่าอาจเป็นการรีแบรนด์ใหม่หรือเป็นการพัฒนาต่อโดยทีมงานหลักเดิมของ ALPHV

ข้อมูลที่ใช้เป็นหลักฐานสนับสนุนประกอบไปด้วย:

• ทั้งคู่เขียนด้วยภาษา Rust
• ทั้งสองใช้อัลกอริทึม ChaCha20 สำหรับการเข้ารหัส
• ใช้คำสั่งการปิดเครื่องเสมือน (VM shutdown) และการลบ snapshot ที่เหมือนกัน
• ใช้พารามิเตอร์คำสั่งในอินเทอร์เฟซผู้ใช้ วิธีตั้งชื่อไฟล์ และวิธีถอดรหัสโน้ตเรียกค่าไถ่ที่เหมือนกัน
• ใช้การเข้ารหัสเป็นช่วง ๆ ในไฟล์ขนาดใหญ่

    สำหรับข้อมูลเพิ่มเติม ALPHV ได้ทำการหลอกลวง (exit scam) ในช่วงต้นเดือนมีนาคม 2024 โดยอ้างว่าถูก FBI เข้าจับกุ่ม หลังจากที่ขโมยเงินจำนวน 22 ล้านดอลลาร์จาก Change Healthcare โดยอ้างเป็นการชำระเงินจากผู้ร่วมงานคนหนึ่ง

    Truesec ยังพบข้อมูลที่บ่งบอกว่าการดำเนินการ Malware เรียกค่าไถ่ Cicada3301 อาจจะร่วมมือหรือใช้ประโยชน์จาก Brutus botnet สำหรับการเข้าถึงเครือข่ายองค์กรในเบื้องต้น โดยบอตเน็ตนี้เคยเกี่ยวข้องกับการโจมตีแบบบังคับรหัสผ่าน VPN ในระดับโลก ซึ่งมุ่งเป้าไปที่อุปกรณ์ของ Cisco, Fortinet, Palo Alto และ SonicWall

    ควรสังเกตว่ากิจกรรมของ Brutus ถูกพบครั้งแรกสองสัปดาห์หลังจาก ALPHV ปิดตัวลง ดังนั้นความเชื่อมโยงระหว่างกลุ่มทั้งสองยังคงมีอยู่ในแง่ของไทม์ไลน์

    อีกหนึ่งภัยคุกคามต่อ VMware ESXi Cicada3301 เป็น Malware เรียกค่าไถ่ที่เขียนด้วยภาษา Rust และมีทั้งตัวเข้ารหัสสำหรับ Windows และ Linux/VMware ESXi โดยในการรายงานของ Truesec นักวิจัยได้วิเคราะห์ตัวเข้ารหัสสำหรับ VMware ESXi บน Linux สำหรับการดำเนินการเรียกค่าไถ่นี้

    เช่นเดียวกับ BlackCat และMalware เรียกค่าไถ่ครอบครัวอื่น ๆ เช่น RansomHub ต้องมีการป้อนคีย์พิเศษเป็นอาร์กิวเมนต์ในบรรทัดคำสั่งเพื่อเรียกใช้ตัวเข้ารหัส คีย์นี้ใช้เพื่อถอดรหัสข้อมูล JSON ที่เข้ารหัสซึ่งมีการตั้งค่าที่ตัวเข้ารหัสจะใช้เมื่อเข้ารหัสอุปกรณ์

    Truesec กล่าวว่าตัวเข้ารหัสจะตรวจสอบความถูกต้องของคีย์โดยใช้เพื่อถอดรหัสโน้ตเรียกค่าไถ่ และหากสำเร็จ จะดำเนินการเข้ารหัสที่เหลือต่อไป ฟังก์ชันหลัก (linux_enc) ใช้ ChaCha20 stream cipher สำหรับการเข้ารหัสไฟล์ และเข้ารหัสคีย์สมมาตรที่ใช้ในกระบวนการด้วยคีย์ RSA โดยคีย์การเข้ารหัสถูกสร้างขึ้นแบบสุ่มโดยใช้ฟังก์ชัน 'OsRng'

    Cicada3301 มุ่งเป้าไปที่ไฟล์ที่มีนามสกุลเฉพาะที่ตรงกับเอกสารและไฟล์สื่อ และตรวจสอบขนาดของไฟล์เพื่อกำหนดว่าจะใช้การเข้ารหัสเป็นช่วง ๆ (>100MB) หรือเข้ารหัสเนื้อหาทั้งหมดของไฟล์ (<100MB)

เมื่อทำการเข้ารหัสไฟล์ ตัวเข้ารหัสจะเพิ่มนามสกุลสุ่มเจ็ดตัวอักษรเข้าไปในชื่อไฟล์ และสร้างโน้ตเรียกค่าไถ่ชื่อ 'RECOVER-[extension]-DATA.txt' ดังที่แสดงด้านล่าง ควรสังเกตว่าตัวเข้ารหัสของ BlackCat/ALPHV ก็ใช้วิธีการเพิ่มนามสกุลสุ่มเจ็ดตัวอักษรและโน้ตเรียกค่าไถ่ชื่อ 'RECOVER-[extension]-FILES.txt' เช่นเดียวกัน

    Malware เรียกค่าไถ่สามารถตั้งค่าพารามิเตอร์ "sleep" เพื่อหน่วงเวลาการทำงานของตัวเข้ารหัส ซึ่งอาจใช้เพื่อหลบเลี่ยงการตรวจจับในทันที

    พารามิเตอร์ "no_vm_ss" ยังสั่งให้ Malware เข้ารหัสเครื่องเสมือน VMware ESXi โดยไม่พยายามปิดเครื่องก่อน

    อย่างไรก็ตาม โดยค่าเริ่มต้น Cicada3301 จะใช้คำสั่ง 'esxcli' และ 'vim-cmd' ของ ESXi เพื่อปิดเครื่องเสมือนและลบ snapshot ของเครื่องเสมือนก่อนที่จะเข้ารหัสข้อมูล

esxcli –formatter=csv –format-param=fields==\”WorldID,DisplayName\” vm process list | grep -viE \”,(),\” | awk -F \”\\\”*,\\\”*\” \'{system(\”esxcli vm process kill –type=force –world-id=\”$1)}\’ > /dev/null 2>&1;

for i in `vim-cmd vmsvc/getallvms| awk \'{print$1}\’`;do vim-cmd vmsvc/snapshot.removeall $i & done > /dev/null 2>&1

    อัตราความสำเร็จของ Cicada3301 บ่งบอกถึงความเชี่ยวชาญของผู้กระทำที่รู้ว่ากำลังทำอะไร ซึ่งสนับสนุนสมมติฐานที่ว่าอาจเป็นการรีบูตของ ALPHV หรืออย่างน้อยก็เป็นการใช้ผู้ร่วมงานที่มีประสบการณ์ด้าน Malware เรียกค่าไถ่มาก่อน

    การที่Malware เรียกค่าไถ่ใหม่นี้มุ่งเน้นไปที่สภาพแวดล้อมของ ESXi แสดงให้เห็นถึงการออกแบบเชิงกลยุทธ์เพื่อสร้างความเสียหายสูงสุดในสภาพแวดล้อมขององค์กร ซึ่งเป็นเป้าหมายของผู้กระทำผิดหลายรายในปัจจุบันที่ต้องการผลกำไรที่สูง

    โดยการรวมการเข้ารหัสไฟล์กับความสามารถในการขัดขวางการทำงานของเครื่องเสมือน (VM) และลบตัวเลือกการกู้คืน Cicada3301 ทำให้การโจมตีมีผลกระทบสูงที่ส่งผลต่อเครือข่ายและโครงสร้างพื้นฐานทั้งหมด ซึ่งช่วยเพิ่มแรงกดดันต่อเหยื่อให้มากขึ้น

Ref: bleepingcomputer

Ransomware Gang ใช้ประโยชน์จากช่องโหว่ในการเลี่ยงตรวจสอบสิทธิ์บน VMware ESXi

    ไมโครซอฟท์ออกคำเตือนพบกลุ่มแรนซัมแวร์กำลังมุ่งเป้าโจมตีช่องโหว่ Authentication Bypass บน VMware ESXi

    ช่องโหว่นี้มีรหัส CVE-2024-37085 ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยของไมโครซอฟท์ และได้รับการแก้ไขในเวอร์ชัน ESXi 8.0 U3

    เมื่อวันที่ 25 มิถุนายนที่ผ่านมา ช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถเพิ่มผู้ใช้ใหม่เข้าไปในกลุ่ม ‘ESX Admins’

ซึ่งจะได้รับสิทธิ์ผู้ดูแลระบบเต็มรูปแบบบน ESXi hypervisor โดยอัตโนมัติ

ทาง Microsoft ได้ระบุพฤติกรรมของการใช้ช่องโหว่ CVE-2024-37085 เบื้องต้น

1. เพิ่ม Group "ESX Admins" ลงไปใน Domain และทำาร เพิ่มผู้ใช้งาน
2. เปลี่ยชื่อกลุ่มใด ๆ ให้เป็น Domain "ESX Admins" และเพิ่มผู้ใช้เข้ากลุ่มหรือใช้สมาชิกในกลุ่มนั้น
3. Refresh สิทธิ์ของ EsXi hypervisor

    จนถึงขณะนี้ ช่องโหว่ดังกล่าวถูกใช้ประโยชน์โดย Ransomware Gang Storm-0506, Storm-1175, Octo Tempest และ Manatee Tempest ในการโจมตีที่นำไปสู่การใช้งานแรนซัมแวร์ Akira และ Black Basta

    ยกตัวอย่างเช่นกลุ่ม Storm-0506 ได้ใช้งาน Black Basta Ransomwre โจมตีไปบน VMware ESXi ของบริษัทแห่งหนึ่งใน อเมริกาเหนือ หลังจากนั้นใช้ประโยชน์จากช่องโหว่ CVE-2024-37085 เพื่อยกระดับสิทธิ์

    องค์กรต่าง ๆ จึงควรอัปเดตระบบ VMware ESXi ให้เป็นเวอร์ชันล่าสุด และใช้มาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น เนื่องจากการโจมตีระบบ ESXi hypervisor มีการเพิ่มขึ้นมากกว่าสองเท่าภายในช่วงสามปีที่ผ่านมา

Ref: bleepingcomputer

พบ Linux Ransomware ตัวใหม่ใช้ชื่อว่า "PLAY"

    กลุ่ม Play Ransomware เป็นกลุ่ม Ransomware ใหม่ที่ถูกกล่าวถึงและมีการใช้ Linux Locker ที่เฉพาะเพื่อเข้ารหัสเครื่อง VMware ESXi

    Trend Micro ได้ออกมาเปิดเผยว่า ได้มีการค้นพบ Ransomware รูปแบบใหม่ และยังมีการใช้ Locker ที่ออกแบบมาเพื่อใช้โจมตีบน VMware ESXi โดยที่จะตรวจสอบก่อนการโจมตี และยังสามารถหลบเลี่ยงการตรวจสอบความปลอดภัยของ Linux ได้อีกด้วย และยังเสริมด้วยอีกว่าในการพัฒนาขีดความสามารถของ Ransomware Linux ในครั้งนี้

    ชี้ให้เห็นว่าในอนาคตอาจจะมีขยายการโจมตีให้ครอบคลุม Linux มากขึ้นไปอีกและอาจจะส่งผลให้กับผู้ใช้งานเพิ่มมากขึ้นไปอีก การปิดเครื่อง VMware ESXi จะส่งผลกระทบให้กับองค์กรอย่างประเมินค่าไม่ได้

    ในการตรวจสอบครั้งนี้ทาง Trend Micro ยังตรวจพบว่ากลุ่มนี้ยังใช้บริการ ย่อ URL ที่ถูกตั้งชื่อว่า Prolific Puma อีกด้วยเมื่อ Play Ransomware ถูกติดตั้งมันจะเริ่มทำการสแกนเครื่อง VM และเมื่อเงื่อนไขของ VM เข้ากับ Ransomware จะทำการสั่ง Lock และ ปิดเครื่องและทำการเปลี่ยนนามสกุลของไฟล์เป็น .PLAY ที่ส่วนท้ายของทุก ๆ ไฟล์ เพื่อทำการปืดเครื่อง VMware ESXi Script ที่ใช้รันจะใช้โค้ดต่อไปนี้

/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"

    นอกจากนี้ Play Ransomware ถ้าเป้าหมายถูกโจมตีสำเร็จจะมีการทิ้งบันทึกเรียกค่าไถ่ใว้ใน Directory Root ของ VM ซึ่งจะปรากฏในพอล์ทัลการเข้าสู่ระบบของ Client ESXi

    เมื่อทำการตรวจสอบเพิ่มเติม พบว่า Play Ransomware ถูกใช้โจมตีมาตั้งแต่ มิถุนายน 2022 จนเมื่อเดือนธันวาคม ในปีเดียวกัน Play Ransomeware ได้โจมตีไปทั่วโลกประมาณ 300 แห่งจนถึงเดือนตุลาคม 2023
หน่วยงานความมั่นคงปลอดภัย CISA ออกประกาศและแจ้งเตือนไปยังผู้ดูแลระบบและผู้ใช้งานถึงวิธีการป้องกัน สามารถทำได้ดังนี้

• เปิดโหมดการยืนยันแบบหลายปัจจัยในระบบที่สามารถทำได้ทันที
• สำรองข้อมูลแบบ Offline 
• Update Software ให้เป็นปัจจุบัน

Ref: bleepingcomputer

Ransomware Target Company เวอร์ชัน Linux มุ่งเป้าโจมตีไปที่ VMware ESXi

        

        นักวิจัยพบ Ransomware TargetCompany เวอร์ชันใหม่บนระบบ Linux ที่มุ่งโจมตี VMware ESXi โดยใช้ Shell Script เพื่อส่งผ่านข้อมูลและวางไฟล์ข้อมูลที่เครื่องเป้าหมาย

        ผู้ไม่ประสงค์ดีที่ใช้ Ransomware TargetCompany  โจมตีนั้นยังเป็นที่รู้จักในชื่อ  Mallox, FARGO  และ  Tohnichi  ปรากฏตัวขึ้นในเดือนมิถุนายน 2021 โดยมุ่งโจมตีฐานข้อมูล MySQL, Oracle, SQL Server ขององค์กรต่างๆ ในไต้หวัน เกาหลีใต้ ไทย และอินเดีย

        ในเดือนกุมภาพันธ์ 2022 บริษัทรักษาความปลอดภัย AvastAvast ประกาศแจกฟรีเครื่องมือถอดรหัสสำหรับ Ransomware เวอร์ชันต่างๆ ที่ออกก่อนหน้านั้น แต่ถึงเดือนกันยายน กลุ่มโจมตีก็กลับมาโจมตีอีกครั้ง มุ่งเป้าไปยังเซิร์ฟเวอร์ Microsoft SQL ที่มีช่องโหว่ และข่มขู่เหยื่อว่าจะปล่อยข้อมูลที่ขโมยไปผ่าน Telegram

Ransomware Target Company เวอร์ชันใหม่บน Linux

        บริษัทด้านความปลอดภัยไซเบอร์  Trend Micro  รายงานว่า Ransomware TargetCompany  เวอร์ชันใหม่บน  Linux  จะตรวจสอบสิทธิ์การเป็นผู้ดูแลระบบก่อนที่จะดำเนินการโจมตีต่อ ผู้ไม่หวังดีใช้เขียน Script ไฟล์เพื่อดาวน์โหลดและรันเพย์โหลดของ Ransomware โดย Script นี้ยังสามารถขโมยข้อมูลไปยังเซิร์ฟเวอร์แยกต่างหากสองเครื่อง เพื่อป้องกันกรณีมีปัญหาทางเทคนิคกับเครื่องเป้าหมาย หรือกรณีเครื่องเป้าหมายถูกโจมตี

        เมื่อเข้าสู่ระบบเป้าหมายแล้ว เพย์โหลดจะตรวจสอบว่ามีระบบ VMware ESXi หรือไม่ โดยใช้คำสั่ง uname และค้นหาคำว่า "vmkernel" จากนั้น จะสร้างไฟล์ "TargetInfo.txt" และส่งไปยังเซิร์ฟเวอร์ควบคุม (C2) ไฟล์นี้มีข้อมูลของเหยื่อ เช่น ชื่อโฮสต์, ที่อยู่ IP, รายละเอียดระบบปฏิบัติการ, ผู้ใช้ที่เข้าสู่ระบบและสิทธิ์, และรายละเอียดเกี่ยวกับไฟล์และไดเร็กทอรี่ที่ถูกเข้ารหัส

        Ransomware จะเข้ารหัสไฟล์ที่มีนามสกุลเกี่ยวข้องกับ VM (vmdk, vmem, vswp, vmx, vmsn, nvram) โดยจะต่อด้วยนามสกุล “.locked” กับไฟล์ที่ถูกเข้ารหัส

        สุดท้าย Ransomware จะวางไฟล์เรียกค่าไถ่ชื่อ “HOW TO DECRYPT.txt” ซึ่งมีคำแนะนำสำหรับเหยื่อเกี่ยวกับวิธีจ่ายค่าไถ่และรับคีย์ถอดรหัสที่ถูกต้อง หลังจากดำเนินการทั้งหมดเสร็จสิ้น สคริปต์เชลล์จะลบเพย์โหลดโดยใช้คำสั่ง rm -f x เพื่อลบร่องรอยทั้งหมดที่อาจใช้ในการตรวจสอบเหตุการณ์หลังการโจมตีออกจากเครื่องที่ได้รับผลกระทบ

 

ข้อมูลเพิ่มเติมจากนักวิเคราะห์ของ Trend Micro

        นักวิเคราะห์ของ  Trend Micro  เชื่อว่า การโจมตีด้วย  Ransomware TargetCompany สายพันธุ์  Linux  ใหม่นี้เป็นฝีมือของผู้ร่วมขบวนการชื่อ “vampire” ซึ่งน่าจะเป็นคนเดียวกับที่ปรากฏในรายงานของ Sekoia เมื่อเดือนที่แล้ว

        ที่อยู่ IP ที่ใช้สำหรับส่งเพย์โหลดและรับไฟล์ข้อความที่มีข้อมูลของเหยื่อนั้น ถูกติดตามไปยังผู้ให้บริการอินเทอร์เน็ต (ISP) ในประเทศจีน อย่างไรก็ตาม ข้อมูลนี้ยังไม่เพียงพอที่จะระบุแหล่งที่มาของผู้โจมตีได้อย่างแม่นยำ

        Ransomware TargetCompany มุ่งโจมตีเครื่อง Windows แต่การเปิดตัวสายพันธุ์ Linux และการเปลี่ยนไปโจมตีและเข้ารหัสเครื่อง VMware ESXi แสดงให้เห็นถึงวิวัฒนาการของกลุ่มโจมตี

คำแนะนำจาก Trend Micro

        Trend Micro แนะนำให้เปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA), สำรองข้อมูล, และอัปเดตระบบให้เป็นเวอร์ชันล่าสุด นักวิจัยยังให้รายการตัวบ่งชี้การรั่วไหล (Indicators of Compromise: IOC) พร้อมค่าแฮช (Hash) สำหรับ Ransomware เวอร์ชัน Linux, สคริปต์เชลล์แบบกำหนดเอง และตัวอย่างที่เกี่ยวข้องกับผู้ร่วมขบวนการ "vampire"

Ref: bleepingcomputer

VMware ออกแพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยที่ความรุนแรงอยู่ในระดับ Critical ในผลิตภัณฑ์ Workstation และ Fusion

    มีการเผยช่องโหว่ด้านความปลอดภัยจำนวนมากใน VMware Workstation และ Fusion ที่ผู้โจมตีสามารถนำไปใช้ในการเข้าถึงข้อมูลที่มีความสำคัญได้, ทำให้เกิด Denial-of-Service (DoS) และการเรียกใช้โค้ดภายใต้สถานการณ์บางอย่าง

    VMware ระบุว่า ช่องโหว่ทั้ง 4 รายการส่งผลกระทบต่อ Workstation เวอร์ชัน 17.x และ Fusion เวอร์ชัน 13.x โดยมีการแก้ไขในเวอร์ชัน 17.5.2 และ 13.5.2 ตามลำดับดังนี:

• CVE-2024-22267 (CVSS score: 9.3) ช่องโหว่ use-after-free ในอุปกรณ์ Bluetooth ที่อาจถูกโจมตีโดยผู้โจมตีที่เข้าถึงสิทธิ์ local admin บนเครื่อง Virtual machine เพื่อทำการเรียกใช้โค้ดในขณะที่ Virtual VMX กำลังทำงานอยู่บน Host
• CVE-2024-22268 (CVSS score: 7.1) ช่องโหว่ heap buffer-overflow ในฟังก์ชั่นการทำงานของ Shader ที่อาจถูกโจมตีโดยผู้โจมตีที่ไม่จำเป็นต้องเข้าถึงสิทธิ์ admin พร้อมการเปิดใช้งาน 3D graphics เพื่อสร้างเงื่อนไขให้เกิด DoS
• CVE-2024-22269 (CVSS score: 7.1) ช่องโหว่ information disclosure ของอุปกรณ์ Bluetooth ที่อาจถูกโจมตีโดยผู้โจมตีที่เข้าถึงสิทธิ์ local admin บนเครื่อง Virtual machine เพื่ออ่านข้อมูลสำคัญที่อยู่ในหน่วยความจำ hypervisor จากเครื่อง Virtual machine
• CVE-2024-22270 (CVSS score: 7.1) ช่องโหว่ information disclosure ในฟังก์ชันการทำงานของ Host Guest File Sharing (HGFS) ที่อาจถูกโจมตีโดยผู้โจมตีที่เข้าถึงสิทธิ์ local admin บนเครื่อง Virtual machine เพื่ออ่านข้อมูลสำคัญที่อยู่ในหน่วยความจำ hypervisor จากเครื่อง Virtual machine

    สำหรับวิธีแก้ไขปัญหาชั่วคราวจนกว่าที่จะสามารถอัปเดตแพตซ์ได้ ผู้ใช้ควรปิดการใช้งาน Bluetooth บนเครื่อง Virtual machine และปิดการใช้งานคุณสมบัติของ 3D acceleration ส่วน CVE-2024-22270 ยังไม่มีวิธีแก้ไขปัญหาชั่วคราว นอกจากการอัปเดตให้เป็นเวอร์ชั่นล่าสุด

    น่าสังเกตว่า CVE-2024-22267, CVE-2024-22269, และ CVE-2024-22270 เดิมทีได้มีการสาธิตโดย STAR Labs SG และ Theori ในการแข่งขัน Hacking Pwn2Own ที่ถูกจัดขึ้นที่ Vancouver เมื่อต้นเดือนมีนาคมที่ผ่านมา

    คำแนะนำเกี่ยวกับช่องโหว่ล่าสุด ออกมาภายหลังจากที่เมื่อสองเดือนก่อน VMware ได้ออกแพตซ์แก้ไขช่องโหว่ด้านความปลอดภัย 4 รายการที่ส่งผลกระทบต่อ ESXi, Workstation, และ Fusion รวมถึงช่องโหว่ระดับ Critical 2 รายการ (CVE-2024-22252 และ CVE-2024-22253, CVSS scores: 9.3/8.4) ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายได้.

Ref : thehackernews

VMware ประกาศเตือนผู้ใช้งานถึงช่องโหว่ระดับ Critical บน vCenter ที่กำลังถูกการโจมตี

 

    VMware ออกมาแจ้งเตือนการพบการโจมตีโดยใช้ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical บน vCenter Server ที่ปัจจุบันได้รับการแก้ไขไปแล้วในในเดือนตุลาคม 2023 ซึ่งพบว่าปัจจุบันกลุ่มผู้ไม่ประสงค์ดีกำลังนำมาใช้ในการโจมตี vCenter Server เป็น management platform สำหรับระบบของ VMware vSphere ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ ESX and ESXi servers และ virtual machines (VMs) ได้

    CVE-2023-34048 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน vCenter's DCE/RPC protocol ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) และมีความซับซ้อนในการโจมตีต่ำ ซึ่งส่งผลกระทบต่อการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน (CIA) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ หรือการตอบโต้จากเป้าหมาย โดยทาง VMware ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว รวมถึงยังออกแพตซ์รองรับให้กับอุปกรณ์ที่ end-of-life ไปแล้วด้วย

ทั้งนี้กลุ่มผู้ไม่ประสงค์ดีได้มุ่งเป้าหมายการโจมตีช่องโหว่ดังกล่าวเพื่อเข้าถึงเครือข่ายของเป้าหมาย และเข้ายึด VMware server หลังจากนั้นก็จะนำมาขายใน cybercrime forums ให้แก่กลุ่ม Ransomware ต่าง ๆ เช่น Royal, Black Basta, LockBit, RTM Locker, Qilin, ESXiArgs, Monti และ Akira ซึ่งกลุ่มเหล่านี้ได้มุ่งเป้าหมายการโจมตีไปยัง VMware ESXi server ของเป้าหมาย เพื่อขโมยข้อมูล และเข้ารหัสไฟล์เพื่อเรียกค่าไถ่

    จากข้อมูลของ Shodan แสดงให้เห็นว่าปัจจุบัน มี VMware Center server กว่า 2,000 เครื่องที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต ซึ่งมีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ดังกล่าว ซึ่งอาจส่งผลกระทบต่อระบบ และข้อมูลในบริษัท

    VMware ได้แนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยด่วน รวมถึงปัจจุบันยังไม่มีวิธีแก้ไขในรูปแบบอื่น จึงแนะนำให้ผู้ใช้งานที่ยังไม่สามารถอัปเดตระบบได้ทันที ทำการป้องกันโดยการควบคุม network perimeter access และ interface ในการเข้าถึง vSphere ในเครือข่ายอย่างเข้มงวด ซึ่ง Port ที่มีความเสี่ยงจะถูกใช้ในการโจมตีได้แก่ Port : 2012/TCP, 2014/TCP และ 2020/TCP

    ทั้งนี้ในเดือนมิถุนายน 2023 VMware ได้แก้ไขช่องโหว่งด้านความปลอดภัยใน vCenter Server ที่มีระดับความรุนแรงสูงหลายรายการ ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตราย และการ bypass การรับรองความถูกต้องไปยังเซิร์ฟเวอร์ที่มีช่องโหว่ รวมถึงช่องโหว่ zero-day ใน ESXi ที่ถูกกลุ่ม ผู้ไม่ประสงค์ดี ชาวจีนใช้ในการโจมตีเพื่อขโมยข้อมูล รวมถึงยังได้แจ้งเตือนช่องโหว่อื่น ๆ ที่สำคัญของ Aria Operations for Networks ที่พบว่ากำลังถูกนำไปใช้ในการโจมตีอย่างแพร่หลาย

    ตั้งแต่ต้นปี 2024 มานี้ ได้มีแจ้งเตือนช่องโหว่ด้านความปลอดภัยหลายรายการที่กำลังถูกนำมาใช้ในการโจมตี เช่น Ivanti Connect Secure, Ivanti EPMM และ Citrix Netscaler server จึงแจ้งเตือนไปยังผู้ดูแลระบบให้หมั่นติดตามการออกแพตซ์อัปเดต และเร่งแก้ไขช่องโหว่อย่างสม่ำเสมอ

Ref : bleepingcomputer

VMware ออกแพตซ์แก้ไขช่องโหว่ที่เปิดเผยข้อมูล Credentials ของผู้ดูแลระบบ CF API บน Audit Logs

  VMware แก้ไขช่องโหว่ที่ถูกนำไปใช้ในการเปิดเผยข้อมูลบน VMware Tanzu Application Service for VMs (TAS for VMs) และ Isolation Segment โดยเกิดจากการถูกขโมยข้อมูล Credentials ซึ่งมีการเปิดเผยผ่านทาง Audit Logs

    TAS (Tanzu Application Service) เป็นแพลตฟอร์มที่พัฒนาโดย VMware ซึ่งช่วยให้องค์กรสามารถจัดการแอปพลิเคชันได้โดยอัตโนมัติทั่วทั้งภายในองค์กร รวมทั้งระบบคลาวด์สาธารณะ และระบบคลาวด์ส่วนตัว เช่น vSphere, AWS, Azure, GCP, OpenStack CVE-2023-20891 เป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูล Credentials ของผู้ดูแลระบบ Cloud Foundry (CF) API บนระบบที่มีช่องโหว่ได้อย่างง่ายดาย ส่งผลให้ผู้ไม่ประสงค์ดีสามารถใช้ข้อมูล Credentials ที่ได้มาเพื่อติดตั้งโปรแกรมที่เป็นอันตรายได้

  โดยบริษัทแนะนำให้ผู้ใช้งาน TAS ทั้งหมดที่ได้รับผลกระทบจากช่องโหว่ CVE-2023-20891 ให้ทำการเปลี่ยนแปลงข้อมูล Credentials ของผู้ดูแลระบบ CF API เพื่อให้แน่ใจว่าผู้ไม่ประสงค์ดีไม่สามารถใช้รหัสผ่านที่อาจรั่วไหลได้

    VMware ให้คำแนะนำโดยละเอียดเกี่ยวกับการเปลี่ยนบัญชีผู้ใช้งาน Cloud Foundry และการรับรองความถูกต้องของผู้ดูแลระบบ (UAA) ใน VMware tanzu support hub

Ref : bleepingcomputer

VMware ออกแพตซ์แก้ไขช่องโหว่ใน vCenter Server ที่สามารถเรียกใช้คำสั่ง และหลีกเลี่ยงการตรวจสอบสิทธิ์ได้

    VMware ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ใน vCenter Server ที่มีระดับความรุนแรงสูงหลายรายการ ที่ทำให้ ผู้ไม่ประสงค์ดี สามารถเรียกใช้คำสั่ง และหลีกเลี่ยงการตรวจสอบสิทธิ์ในระบบที่มีช่องโหว่ ซึ่งถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ Cisco Talos "Dimitrios Tatsis" และ "Aleksandar Nikolic"

    vCenter Server เป็น control center สำหรับ vSphere suite ของ VMware และโซลูชันการจัดการเซิร์ฟเวอร์ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ และ monitor virtualized infrastructure ได้

โดย VMware ได้ออกการอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ที่มีระดับความรุนแรงสูง 4 รายการ ได้แก่

heap-overflow (CVE-2023-20892)

use-after-free (CVE-2023-20893)

out-of-bounds read (CVE-2023-20895)

out-of-bounds write (CVE-2023-20894)

    ซึ่งช่องโหว่สองรายการแรก (CVE-2023-20892, CVE-2023-20893) ทำให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ในการเข้าถึงเครือข่าย และทำการเรียกใช้ Code ที่เป็นอันตราย โดยที่ผู้ใช้งานไม่ต้องทำการใด ๆ ซึ่งอาจส่งผลกระทบต่อ ข้อมูลที่เป็นความลับ ความถูกต้องสมบูรณ์ของข้อมูล รวมถึงความพร้อมใช้งานอีกด้วย

    โดยช่องโหว่แบบ heap overflow เกิดจากการใช้หน่วยความจำที่ไม่ได้มีการกำหนดค่าเริ่มต้นในการใช้งานของโปรโตคอล DCE/RPC ซึ่งโปรโตคอลนี้ช่วยให้สามารถดำเนินการได้ในหลาย ๆ ระบบ โดยการสร้างสภาพแวดล้อมการประมวลผลเสมือนแบบรวมเป็นหนึ่งเดียว

    รวมถึงช่องโหว่ CVE-2023-20895 ที่ทำ ผู้ไม่ประสงค์ดี สามารถ out-of-bounds read จนทำให้เกิดความเสียหายบนหน่วยความจำ (memory corruption) และสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ในในระบบที่มีช่องโหว่ได้

    ปัจจุบันทาง VMware ได้ออกแพตซ์อัปเดตด้านความปลอดภัยของช่องโหว่ดังกล่าวแล้ว จึงแจ้งเตือนไปยังผู้ดูแลระบบให้ทำการอัปเดตเพื่อป้องกันการโจมตีจากช่องโหว่โดยด่วน

Ref : bleepingcomputer

มีการตรวจพบ Akira Ransomware ในระบบปฏิบัติการแบบ Linux

   มีการตรวจพบการโจมตีจากกลุ่มผู้ไม่ประสงค์ดี ด้วยการใช้ Akira Ransomware โดยที่เป้าหมายการโจมตีเป็นกลุ่มของผู้ใช้งาน VMware ESXi และใช้ระบบปฏิบัติการ Linux

    Akira Ransomware ถูกพบครั้งแรกเมื่อเดือน มีนาคม 2023 โดยเป็นกลุ่มเป้าหมายที่ใช้ระบบปฏิบัติการ Windows ในธุรกิจอุตสาหกรรมต่าง ๆ รวมถึงวงการการศึกษา การเงิน อสังหาริมทรัพย์ การผลิต และการให้คำปรึกษา โดยที่ผู้ไม่ประสงค์ดีก็ยังคงใช้รูปแบบการโจมตีด้วยการขโมย ข้อมูลจากเครือข่ายที่มีช่องโหว่ และเข้าทำการล็อกไฟล์บนเครื่องเป้าหมายและทำการเรียกค่าไถ่ เป็นมูลค่าถึง ล้านดอลลาร์

    มิถุนายน 2023 Akira กลับมาอีกครั้ง โดยถูกตรวจสอบพบโดย ผู้เชี่ยวชาญด้านความปลอดภัยและวิเคราะห์ Malwar Rivitna การตรวจสอบทดสอบด้วยการวิเคราะห์ตัวเข้ารหัสบน Linux ซึ่งมีการตรวจพบเป็นลักษณะของไฟล์ที่มีชื่อว่า 'Esxi_Build_Esxi6' ตัวอย่างเช่น หนึ่งใน ไฟล์ซอร์สโค้ดของโปรเจ็กต์คือ  /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h ซึ่งเป็นการกำหนดมาเพื่อเป้าหมายที่เป็น VMware ESXi โดยเฉพาะ

    ในช่วงที่ผ่านมา กลุ่มผู้ไม่ประสงค์ดีได้มีการโจมตีไปทางฝั่งเครื่อง VMware บ้างแล้วเนื่องจากกลุ่มผู้ใช้งานในองค์กร ส่วนมาก หันไปใช้เครื่องเสมือนเพราะใช้งานง่ายและกำหนดค่ามีประสิทธิภาพมากกว่าการใช้เครื่องจริง แต่การใช้งาน Akira Ransomware ด้วยการที่พึ่งถูกพัฒนามาไม่นาน เลยทำให้ยังไม่น่ากลัวมากนัก แต่รูปแบบพื้นฐานของการโจมตีนั้นเป็นเพียง

การเข้ายึดได้นั้นคือ

• -p --encryption_path (targeted file/folder paths)
• -s --share_file (targeted network drive path)
• - n --encryption_percent (percentage of encryption)
• --fork (create a child process for encryption)

    ผู้เชี่ยวชาญของ Cyble ได้ออกมาพูดถึง Akira Ransomware บน Linux ว่ามีตัวเข้ารหัส RSA สาธารณะและใช้ประโยชน์จากอัลกอริธึมคีย์สมมาตรหลายตัวสำหรับการเข้ารหัสไฟล์ รวมถึง AES, CAMELLIA, IDEA-CB และ DES

    คีย์สมมาตรใช้เพื่อเข้ารหัสไฟล์ของเหยื่อ จากนั้นจึงเข้ารหัสด้วยคีย์สาธารณะ RSA วิธีนี้จะป้องกันการเข้าถึงคีย์ถอดรหัส เว้นแต่คุณจะมีคีย์ถอดรหัสส่วนตัว RSA ที่ผู้โจมตีถือครองไว้เท่านั้น

    ไฟล์ที่เข้ารหัสซึ่งถูกเปลี่ยนชื่อให้มี  นามสกุล .akira  และบันทึกค่าไถ่แบบฮาร์ดโค้ดชื่อ  akira_readme.txt  จะถูกสร้างขึ้นในแต่ละโฟลเดอร์บนอุปกรณ์ที่เข้ารหัส

    และหลังจากที่ Akira Ransomware บน Linux ออกมานั้น ยังไม่มีแนวทางในการป้องกันหรือ ยังไม่พบ ตัวถอดรหัส ใด ๆ

Ref : bleepingcomputer

VMware แจ้งเตือนช่องโหว่ระดับ Critical ใน vRealize ที่กำลังถูกใช้ในการโจมตี

    เมื่อสองสัปดาห์ก่อน VMware ออกคำแนะนำด้านความปลอดภัย เพื่อเตือนผู้ใช้งาน VMware ถึงช่องโหว่ Remote Code Execution (RCE) ระดับ Critical ที่มีหมายเลข CVE-2023-20887 ซึ่งได้รับการอัปเดตแพตซ์แก้ไขไปแล้วก่อนหน้านี้ เนื่องจากผู้ไม่ประสงค์ดีกำลังใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีอยู่ในปัจจุบัน

    ก่อนหน้านี้ GreyNoise บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ออกคําเตือนหลายครั้ง โดยคําเตือนครั้งแรกเกิดขึ้นหนึ่งสัปดาห์หลังจาก VMware ออกแพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยเมื่อ วันที่ 15 มิถุนายน และเพียงสองวันก่อนที่ Sina Kheirkah นักวิจัยด้านความปลอดภัยได้เปิดเผยรายงานเกียวกับรายละเอียดทางเทคนิค และ proof-of-concept ของช่องโหว่ โดยช่องโหว่นี้ส่งผลกระทบต่อ VMware Aria Operations for Networks (เดิมชื่อ vRealize Network Insight) ซึ่งเป็นเครื่องมือวิเคราะห์เครือข่าย

ที่ช่วยให้ผู้ดูแลระบบเพิ่มประสิทธิภาพการทำงานของเครือข่าย หรือจัดการการปรับใช้ VMware และ Kubernetes

    โดยผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่ในการทำ command injection ในการโจมตีได้โดยไม่ต้องมีการตอบโต้ จากผู้ใช้งาน

Kheirkhah อธิบายในการวิเคราะห์สาเหตุของช่องโหว่ด้านความปลอดภัยว่า VMWare Aria Operations for Networks (vRealize Network Insight) มีความเสี่ยงที่จะถูกแทรกคำสั่ง เมื่อรับอินพุตของผู้ใช้งานผ่านอินเทอร์เฟซ Apache Thrift RPC โดยช่องโหว่นี้ช่วยให้ผู้ไม่ประสงค์ดีจากภายนอกที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คําสั่งต่าง ๆ บนระบบด้วยสิทธิ์ Root ได้

ยังไม่มีวิธีการแก้ไขปัญหาชั่วคราวสำหรับช่องโหว่ CVE-2023-20887 ดังนั้นผู้ดูแลระบบจะต้องอัปเดตแพตซ์ VMware Aria Operations Networks 6.x ทั้งหมด เพื่อให้แน่ใจว่าจะไม่ถูกโจมตีจากช่องโหว่ดังกล่าว รายการแพตช์ความปลอดภัยทั้งหมด สำหรับเวอร์ชัน Aria Operations for Networks ที่พบช่องโหว่ทั้งหมดอยู่ในเว็บไซต์ VMware's Customer Connect website

Ref : bleepingcomputer

ผู้ไม่ประสงค์ดีชาวจีนใช้ประโยชน์จากช่องโหว่ VMware Zero-Day เพื่อเข้าถึงระบบ Windows และ Linux

    กลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ UNC3886 ถูกพบว่ากำลังใช้ช่องโหว่ zero-day ใน VMware ESXi เพื่อเข้าถึงระบบ Windows และ Linux โดย Mandiant ระบุว่า ช่องโหว่นี้สามารถ bypass การตรวจสอบของ VMware Tools Authentication ได้ และจากการตรวจสอบช่องโหว่หมายเลข CVE-2023-20867 (คะแนน CVSS : 3.9) ที่ทำให้สามารถเรียกใช้คําสั่งที่มีสิทธิ์สูงผ่าน Windows, Linux และ PhotonOS (vCenter) guest VMs โดยไม่ต้องผ่านการยืนยันตัวตนจาก ESXi และไม่มี Log เกิดขึ้นบนเครื่อง guest VMs

    UNC3886 ถูกพบครั้งแรกโดยบริษัทข่าวกรองด้านภัยคุกคามของ Google ในเดือนกันยายน 2022 ว่าเป็นกลุ่มผู้โจมตีที่มุ่งเป้าไปที่ VMware ESXi และเซิร์ฟเวอร์ vCenter โดยใช้ backdoor ชื่อ VIRTUALPITA และ VIRTUALPIE ก่อนหน้านี้ในเดือนมีนาคม พบว่ากลุ่มผู้ไม่ประสงค์ดีดังกล่าวมีความเชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่ที่มีระดับความรุนแรงปานกลางในระบบปฏิบัติการของ Fortinet FortiOS เพื่อติดตั้งมัลแวร์บนเครือข่าย โดยกลุ่มดังกล่าวถูกระบุว่าเป็นกลุ่มที่มีความเชี่ยวชาญสูง และเป็นกลุ่มที่มีเป้าหมายการโจมตีไปที่องค์กรด้านเทคโนโลยี และองค์กรโทรคมนาคมในสหรัฐอเมริกา ญี่ปุ่น และภูมิภาคเอเชียแปซิฟิก

    นักวิจัยของ Mandiant ระบุว่ากลุ่มดังกล่าวสามารถเข้าถึงการวิจัย และการสนับสนุนเพื่อทำความเข้าใจเทคโนโลยีพื้นฐานของอุปกรณ์ที่เป็นเป้าหมาย เนื่องจากรูปแบบของเครื่องมือที่ใช้โจมตีช่องโหว่บน firewall และ virtualization software ที่ไม่รองรับโซลูชัน EDR ข้อมูลส่วนหนึ่งของการโจมตี ESXi พบว่า มีการพยายามรวบรวมข้อมูล credential จากเซิร์ฟเวอร์ vCenter และใช้ช่องโหว่ CVE-2023-20867 เพื่อรันคําสั่ง และถ่ายโอนไฟล์จาก guest VMs บน ESXi ของเหยื่อ

    จุดที่น่าสังเกตของกลุ่ม UNC3886 คือ การใช้ซ็อกเก็ต Virtual Machine Communication Interface (VMCI) สำหรับการโจมตีต่อไปยังระบบอื่น ๆ ในเครือข่าย รวมถึงความพยายามในการแฝงตัวบนระบบ ดังนั้นจึงทำให้ผู้โจมตีสามารถแอบสร้างช่องทางเชื่อมต่อระหว่างโฮสต์ ESXi และ guest VMs ได้

    นักวิจัยของ Mandiant ระบุว่า ช่องทางการเชื่อมต่อระหว่าง guest และโฮสต์ จะทำหน้าที่เป็น client หรือเซิร์ฟเวอร์ ซึ่งจะช่วยให้ผู้โจมตีสามารถเข้าถึงโฮสต์ ESXi แบบ backdoor ได้ ซึ่งก็จะทำให้ผู้โจมตีได้รับสิทธิ์ และสามารถเข้าถึงเครื่อง guest ต่าง ๆ ได้

    การโจมตีดังกล่าวเกิดขึ้นภายหลังจากที่ Sina Kheirkhah นักวิจัยจาก Summoning Team ได้เปิดเผยช่องโหว่ที่แตกต่างกัน 3 รายการใน VMware Aria Operations for Networks (CVE-2023-20887, CVE-2023-20888 และ CVE-2023-20889) ที่อาจส่งผลให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

Ref : thehackernews

Cisco และ VMware ออกมาเตือนถึง 3 ช่องโหว่ที่มีความรุนแรง

    VMware ได้ออกการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สามประการใน Aria Operations สำหรับเครือข่าย ซึ่งอาจส่งผลให้มีการเปิดเผยข้อมูลและการเรียกใช้ Remote Code Execution

    ช่องโหว่ที่สำคัญที่สุดจากทั้งสามนี้คือช่องโหว่ Command Inject คือ CVE-2023-20887 มีคะแนน CVSS อยู่ที่ 9.8 ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงเครือข่ายด้วยการเรียกใช้ Remote Code Execution ได้ 

    ช่องโหว่ที่สอง คือ CVE-2023-20888 ที่มีคะแนน CVSS อยู่ที่ 9.1 จากคะแนนสูงสุด 10 คะแนนจากระบบการให้คะแนน CVSS VMware เผยว่า ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงเครือข่ายไปยัง VMware Aria Operations for Networks และบทบาท ‘Member’ ที่ถูกต้องอาจสามารถดำเนินการโจมตีแบบ deserialization attack ที่ส่งผลให้มีการเรียกใช้ Remote Code Execution

 ช่องโหว่ด้านความปลอดภัยที่สามคือข้อผิดพลาดในการเปิดเผยข้อมูลที่มีความรุนแรงสูง (CVE-2023-20889, คะแนน CVSS: 8.8) ที่อนุญาตให้ผู้ไม่ประสงค์ดีที่มีสิทธิ์เข้าถึงเครือข่ายและสามารถดำเนินการโจมตีด้วยการแทรกคำสั่ง และเข้าถึงข้อมูลที่สำคัญได้ โดยช่องโหว่สามประการซึ่งส่งผลต่อ VMware Aria Operations Networks เวอร์ชัน 6.x ได้รับการแก้ไขในเวอร์ชันต่อไปนี้: 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 และ 6.10 ไม่มีวิธีแก้ไขปัญหาชั่วคราวที่ช่วยได้

    การแจ้งเตือนเกิดขึ้นในขณะที่ Cisco ดำเนินการแก้ไขช่องโหว่ที่สำคัญในซีรีส์ Expression Series และเซิร์ฟเวอร์สื่อสารผ่านวิดีโอ TelePresence (VCS) ที่สามารถอนุญาตให้ผู้ไม่ประสงค์ดีที่ได้รับการรับรอง

ความถูกต้องด้วยข้อมูลประจำตัวระดับผู้ดูแลระบบแบบอ่านอย่างเดียวเพื่อยกระดับสิทธิ์ให้กับผู้ดูแลระบบ

ด้วยข้อมูลประจำตัวแบบ Read-Write

    ช่องโหว่ที่มีความรุนแรงสูงในผลิตภัณฑ์เดียวกัน คือ CVE-2023-20192 ที่มีคะแนน CVSS อยู่ที่ 8.4 ที่อาจอนุญาตให้ผู้ไม่ประสงค์ดีเฉพาะที่ตรวจสอบสิทธิ์ดำเนินการคำสั่งและปรับเปลี่ยนพารามิเตอร์การกำหนดค่าระบบได้

    วิธีแก้ปัญหาเบื้องต้นสำหรับ CVE-2023-20192 Cisco ขอแนะนำให้ลูกค้าปิดใช้งานการเข้าถึง CLI สำหรับผู้ใช้แบบอ่านอย่างเดียว ทั้งสองปัญหาได้รับการแก้ไขใน VCS เวอร์ชัน 14.2.1 และ 14.3.0 ตามลำดับแม้ว่าจะไม่มีหลักฐานว่าช่องโหว่ใด ๆ ที่กล่าวมาข้างต้นถูกใช้ในทางที่ผิด

    แต่ข้อแนะนำให้ทำการแก้ไขช่องโหว่โดยเร็วที่สุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ คำแนะนำยังติดตามการค้นพบช่องโหว่ด้านความปลอดภัย 3 รายการใน RenderDocได้แก่ CVE-2023-33863, CVE-2023-33864 และ CVE-2023-33865 ซึ่งเป็นดีบักเกอร์กราฟิกแบบโอเพ่นซอร์ส อาจทำให้ได้รับสิทธิ์ขั้นสูงและ รันรหัสโดยพลการได้

Ref : thehackernews

VMware ออกแพตช์แก้ไขช่องโหว่ของ vRealize ที่ทำให้ผู้โจมตีรันคำสั่งด้วยสิทธิ root ได้

    VMware ออกแพตช์แก้ไขช่องโหว่ของ vRealize Log Insight ซึ่งทำให้ผู้โจมตีเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ไปยังเครื่องเป้าหมายที่ยังไม่ได้ทำการแพตช์ได้ vRealize Log Insight หรือปัจจุบันรู้จักกันในชื่อ VMware Aria Operations for Logs เป็นเครื่องมือ log analysis ที่ช่วยวิเคราะห์ application และ infrastructure log environment

รายละเอียดช่องโหว่

• CVE-2023-20864 (คะแนน CVSS: 9.8/10 ระดับความรุนแรงสูง) เป็นช่องโหว่ deserialization ที่สามารถเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ด้วยสิทธิระดับสูง (Root) ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์
• CVE-2023-20865 (คะแนน CVSS: 7.2/10 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่แทรกคำสั่งของระบบปฏิบัติการ (OS) ใน VMware Aria Operations for Logs ด้วยสิทธิระดับสูง (Root) ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์
• VMware ระบุว่า ยังไม่มีรายงานการโจมตีจากทั้งสองช่องโหว่นี้แต่อย่างใด โดยช่องโหว่ CVE-2023-20864 นั้นจะมีผลกับ VMware Aria Operations for Logs 8.10.2 เท่านั้น

คำแนะนำ

    ปัจจุบันทาง VMware ได้มีการปล่อย Patch อัปเดตสำหรับ VMware Aria Operations for Logs 8.12 ออกมาแล้ว แนะนำให้ผู้ใช้งานทำการ Update โดยเร็วที่สุด

Ref : bleepingcomputer

ESXiArgs Ransomware ตัวใหม่ ปรากฏขึ้นหลังจาก CISA เปิดตัวเครื่องมือถอดรหัส ESXiArgs

  หลังจากสำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ CISA เปิดตัวเครื่องมือถอดรหัสเพื่อกู้คืนข้อมูล สำหรับเหยื่อที่ได้รับผลกระทบจากการโจมตีของ ESXiArgs Ransomware ก็มีการตรวจพบ ESXiArgs Ransomware ตัวใหม่อีก ชนิดหนึ่งโดยรายงานจากผู้ดูแลระบบในฟอรัมออนไลน์พบว่าไฟล์ที่มีขนาดใหญ่กว่า 128MB จะมีการเข้ารหัสข้อมูลแบบ 50% ทำให้กระบวนการกู้คืนมีความลำบากยิ่งขึ้นรวมถึงการลบที่อยู่ Bitcoin ออกจากบันทึกเรียกค่าไถ่ เพื่อให้เหยื่อติดต่อพวกเขาบน Tox แทน เพื่อรับข้อมูลสำหรับการชำระค่าไถ่เนื่องจากกลุ่ม Hacker รู้ว่าตนเองกำลังถูกติดตามอยู่ รวมถึงวิธีการโจมตีที่ใช้นั้นสามารถป้องกันได้อย่างง่ายดาย จึงได้มีการปรับปรุงรูปแบบการโจมตี

    Ransomwere แพลตฟอร์มรวบรวมข้อมูลสถิติได้เปิดเผยว่าจากการสำรวจในวันที่ 9 กุมภาพันธ์ 2566 พบว่ามี VMware ESXi มากถึง 1,252 เครื่องที่ติด ESXiArgs Ransomware เวอร์ชันใหม่ โดย 1,168 เครื่องเป็นเครื่องที่เคยโดนโจมตีมาก่อน โดยตั้งแต่เริ่มมีการระบาดของRansomware ดังกล่าวในต้นเดือนกุมภาพันธ์ พบ VMware ESXi กว่า 3,800 เครื่องถูกโจมตี

    นอกจากนี้ Rapid7 บริษัทด้านความปลอดภัยทางไซเบอร์ ยังได้พบ VMware ESXi กว่า 18,581 เครื่องที่เข้าถึงได้จากอินเทอร์เน็ตที่มีช่องโหว่ CVE-2021-21974 และยังพบว่ากลุ่ม RansomExx2 ได้กำหนดเป้าหมายการโจมตีไปยังเซิร์ฟเวอร์ VMware ESXi ที่มีความเสี่ยงเหล่านี้อีกด้วยโดยเครื่องมือในการเข้ารหัสข้อมูลของ ESXiArgs Ransomware เช่น Cheerscrypt และ PrideLocker มีพื้นฐานมาจาก Babuk locker ที่ได้มีการเผยแพร่ซอร์สโค้ดในเดือนกันยายน 2021 แต่ก็มีสิ่งที่ทำให้ ESXiArgs แตกต่างจาก Ransomware กลุ่มอื่น

    นั่นคือการที่ ESXiArgs ไม่ได้มีการสร้างเว็บไซต์ที่เผยแพร่ข้อมูลการโจมตี และข้อมูลของเหยื่อ ซึ่งบ่งชี้ได้ว่า ESXiArgs Ransomware นั้นไม่ได้เป็นลักษณะ ransomware-as-a-service (RaaS) โดย ESXiArgs จะทำการเรียกค่าไถ่ที่มากกว่าสองบิตคอยน์ (47,000 ดอลลาร์สหรัฐ) และเหยื่อจะมีเวลา 3 วันในการจ่ายเงินค่าไถ่

    VMware ระบุว่า แม้ว่าในตอนแรกจะสงสัยว่าการบุกรุกนั้นเกี่ยวข้องกับช่องโหว่ OpenSLP VMware ESXi (CVE-2021-21974) ซึ่งได้มีการออกแพตซ์อัปเดตเพื่อปิดช่องโหว่แล้ว แต่จนถึงปัจจุบันยังไม่พบหลักฐานบ่งชี้ว่ามีการใช้ช่องโหว่ดังกล่าวเพื่อแพร่กระจาย Ransomware ทำให้มีความเป็นไปได้ที่กลุ่ม Hackers อาจใช้ช่องโหว่อื่น ๆ ที่ได้รับการเปิดเผยออกมาหลายรายการใน VMware ESXi เพื่อโจมตีเป้าหมาย รวมไปถึงปัจจุบันยังไม่สามารถระบุได้ว่าการโจมตีของ ESXiArgs Ransomware มาจาก Hackers กลุ่มไหนกันแน่

    ดังนั้นสิ่งที่ผู้ดูแลระบบควรทำคือเร่งดำเนินการอัปเดตเพื่อป้องกันช่องโหว่โดยเร็วที่สุด เพื่อป้องกันการตกเป็นเป้าหมายในการโจมตี

thehackernews

CISA ประกาศเตือนช่องโหว่ใหม่ใน Veeam Backup and Replication ที่กำลังถูกใช้ในการโจมตี

    Cybersecurity and Infrastructure Security Agency (CISA) หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ได้ออกประกาศเตือน 2 ช่องโหว่ใหม่ใน Veeam Backup and Replication โดยมีหมายเลข CVE-2022-26500 และ CVE-2022-26501 ซึ่งกำลังถูกกลุ่ม ผู้ไม่ประสงค์ดี นำมาใช้ในการโจมตีอยู่ในปัจจุบัน

    Veeam Backup and Replication คือซอฟต์แวร์สำรอง และกู้คืนข้อมูลในระบบเสมือน (Virtualization) ที่ทำงานบน Virtual Machine (VM) เช่น VMWare หรือ Microsoft Hyper-V

ผลกระทบ

    โดยช่องโหว่ CVE-2022-26500 และ CVE-2022-26501 กระทบโดยตรงต่อการตั้งค่า “Veeam Distribution Service (TCP 9380 by default)” ส่งผลให้ ผู้ไม่ประสงค์ดี สามารถเข้าถึงเครื่องเป้าหมายจากระยะไกล และสั่งการอัปโหลด หรือเรียกใช้งานคำสั่งที่เป็นอันตรายได้ (Remote Code Execution RCE)

• CVE-2022-26500 ได้คะแนน CVSS v3 ที่ 8.8 (ระดับความรุนแรงสูง)
• CVE-2022-26501 ได้คะแนน CVSS v3 ที่ 9.8 (ระดับความรุนแรงสูงมาก)

    Nikita Petrov นักวิจัยด้านความปลอดภัยของบริษัท Positive Technologies บริษัทด้านความปลอดภัยทางไซเบอร์ของรัสเซีย เป็นผู้ค้นพบ และรายงานช่องโหว่นี้ รวมไปถึง CloudSEK บริษัทด้านความปลอดภัยทางไซเบอร์ ยังได้พบว่าช่องโหว่นี้ได้ถูกรวมอยู่ในกลุ่มเครื่องมือของผู้โจมตีที่ใช้ในการเข้าถึง และสั่งการเป้าหมายจากระยะไกล (RCE) เมื่อ ผู้ไม่ประสงค์ดี สามารถเข้าถึงระบบของเหยื่อได้แล้ว จะนำไปสู่ขั้นตอนในการโจมตีเหยื่อในรูปแบบต่าง ๆ เช่น การติดตั้ง Ransomware, การโจรกรรมข้อมูล, การทำ denial-of-service(DoS) แนะนำให้ผู้ดูแลระบบทำการอัปเดตทันที

veeam

Version ที่ได้รับผลกระทบ

• Veeam Backup & Replication Version 9.5 10 และ 11

การแก้ไข

• ทำการอัปเดท Veeam Backup & Replication เป็น Version 11a (รุ่น 11.0.1.1261 P20220302) และ 10a (รุ่น 0.1.4854 P20220304)
• หากยังไม่สามารถทำการอัปเดตได้ในขณะนี้ แนะนำให้ปิดการใช้งาน Veeam Distribution Veeam Distribution Service ไปก่อนจนกว่าจะได้รับการอัปเดต

Ref: thehackernews

Over 45,000 VMware ESXi servers just reached end-of-life

 Ref: Bleepingcomputer

VMware ESXi กว่า 45,000 เครื่อง จะถูกห้ามใช้งานหลังจาก EOL

    เครื่อง Server VMware ESXi กว่า 45,000 เครื่องที่เป็นของทาง Lansweeper ที่ EOL โดยที่ WMware จะถอดการให้บริการออกจากระบบทันทีและจะไม่สนับสนุนในการอัพเดททั้ง Software และ ระบบ Security อีก เว้นแต่ว่าผู้ใช้งานที่ทำการซื้อสัญญาการสนับสนุน

   Lansweeper ทีมพัฒนา asset management and discovery software ได้ออกมาเตือนถึงการยกเลิกให้บริการแบบ Opensource ทันทีสำหรับผู้ใช้งานบนผลิตภัณฑ์ของทางทีมอยู่นั้น หลังจากวันที่ 15 ตุลาคม พ.ศ. 2565 บน VMware ESXi 6.5 และ VMware ESXi 6.7 สิ้นสุดอายุการใช้งานและจะได้รับการสนับสนุนด้านเทคนิคเท่านั้นแต่จะไม่ได้รับการอัปเดตด้านความปลอดภัยอาจจะทำให้ซอฟต์แวร์มีความเสี่ยงต่อช่องโหว่และจากทางทีมพัฒนาทำการคำนวนผู้ใช้งานมีจำนวนถึง 6,000 กว่าราย และพบServer VMware ESXi ที่ติดตั้งแล้ว 79,000 เครื่องจากผลการสำรวจของ Lansweeper เป็นเรื่องน่าตกใจอย่างยิ่งเพราะนอกจาก 57% ที่เข้าสู่ช่วงที่มีความเสี่ยงสูงแล้ว ยังมีการติดตั้งอีก 15.8% ที่ทำงานแม้กระทั่ง Version ที่เก่ากว่า ตั้งแต่ 3.5.0 ถึง 5.5.0 ซึ่งถึงกำหนด EOL เมื่อไม่นานมานี้

สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวันที่ EOL ของผลิตภัณฑ์ซอฟต์แวร์ VMware ทั้งหมดสามารถตรวจสอบได้ที่ lifecyclevmware

  เมื่อผลิตภัณฑ์ถึงกำหนดวันที่หมดอายุ ผลิตภัณฑ์จะหยุดรับการอัปเดตความปลอดภัยตามปกติ ซึ่งหมายความว่าผู้ดูแลระบบควรวางแผนล่วงหน้าและอัปเกรดการปรับใช้ทั้งหมดเป็นรุ่นที่ใหม่กว่า แม้ไม่น่าจะเป็นไปได้ที่ VMware จะยังคงออก Patch ความปลอดภัยที่สำคัญสำหรับ Version เก่าเหล่านี้ แต่ก็ไม่รับประกันและอาจจะไม่ปล่อย Patch สำหรับช่องโหว่ใหม่ทั้งหมดที่ถูกค้นพบอย่างแน่นอน

    เมื่อเซิร์ฟเวอร์ ESXi ที่ไม่ได้รับการสนับสนุนทำงานต่อไปเป็นเวลานานโดยไม่มี Patch  เซิร์ฟเวอร์ดังกล่าวจะสะสมช่องโหว่ด้านความปลอดภัยจำนวนมากจนผู้ไม่ประสงค์ดีมีหลายวิธีในการเจาะข้อมูลการโจมตีเซิร์ฟเวอร์อาจทำให้การดำเนินธุรกิจหยุดชะงักอย่างรุนแรงและเป็นวงกว้าง 

    ซึ่งเป็นเหตุให้ Ransomware Gang มุ่งเป้าไปที่การกำหนดเป้าหมาย เช่นตัวอย่างในปีนี้ ESXi VM ตกเป็นเป้าหมายของ Black Basta , RedAlert , GwisinLocker , Hive และ Ransomware Gang ของ Cheers

ไม่นานมานี้ Mandiant ค้นพบว่าผู้ไม่ประสงค์ดีพบ  วิธีการใหม่ ในการ  สร้างความคงอยู่ของไฮเปอร์ไวเซอร์ VMware ESXi ที่ช่วยให้พวกเขาสามารถควบคุมเซิร์ฟเวอร์และโฮสต์ VM โดยไม่ถูกตรวจจับ

    จากทั้งหมดที่กล่าวมา ESXi ได้รับความสนใจอย่างมากจากผู้คุกคาม ดังนั้นการใช้ซอฟต์แวร์ Version ที่ล้าสมัยและมีช่องโหว่ย่อมเป็นความคิดที่แย่มากอย่างไม่ต้องสงสัย

VMware and Microsoft are warning of a widespread Chromeloader malware campaign that distributes several malware families

 

VMware และ Microsoft เตือนถึงมัลแวร์ Chromeloader ที่ถูกใช้งานในการโจมตี

    VMware และ Microsoft ออกมาแจ้งเตือนถึงการโจมตีด้วย Malware Chromeloader เป็น extension ของ Chrome browser ที่เป็นอันตราย ซึ่งจัดอยู่ในประเภท pervasive browser hijacker ที่จะปรับเปลี่ยนการตั้งค่าของเบราว์เซอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้ และดักจับคำค้นหาของผู้ใช้ใน search engines ยอดนิยม ไม่ว่าจะเป็น Google, Yahoo และ Bing โดยโค้ดที่เป็นอันตรายนั้นยังสามารถใช้ PowerShell เพื่อแทรกตัวเองลงในเบราว์เซอร์ และเพิ่ม extension ลงในเบราว์เซอร์ได้
    นักวิจัยจาก Red Canary สังเกตเห็นโฆษณาที่ใช้เป็นช่องทางในการส่งMalware ChromeLoader ที่จะทำการดักจับเบราว์เซอร์ของเหยื่อ โดยในสัปดาห์นี้ VMware และ Microsoft ได้ออกมาเตือนซึ่งจะติดตั้ง node-WebKit และ RansomwareMicrosoft มองว่าการโจมตีนี้มาจากผู้ไม่ประสงค์ดีใช้ชื่อชื่อว่า DEV-0796 พยายามสร้างรายได้จากการคลิกที่สร้างโดย browser node-webkit หรือ extension บนเบราว์เซอร์ที่เป็นอันตราย ซึ่งจะแอบติดตั้งไว้บนอุปกรณ์ของเหยื่อ

    การโจมตีนี้จะเริ่มต้นการโจมตีด้วยไฟล์ ISO ที่จะถูกดาวน์โหลดเมื่อผู้ใช้คลิกโฆษณาที่เป็นอันตรายหรือ YouTube comments เมื่อทำการเปิดไฟล์ ISO เบราว์เซอร์ node-webkit (NW.js) หรือ extension ของเบราว์เซอร์จะถูกติดตั้ง

ซึ่งผู้เชี่ยวชาญยังสังเกตเห็นว่าผู้โจมตีใช้ไฟล์ DMG เพื่อกำหนดเป้าหมายบนระบบ macOS อีกด้วย

VMware ได้เผยแพร่รายงานที่ให้รายละเอียดทางเทคนิคเกี่ยวกับ Chromeloader หลายตัวที่สังเกตเห็นตั้งแต่เดือนสิงหาคม และล่าสุดเมื่อปลายเดือนสิงหาคม ChromeLoader ถูกใช้เพื่อติดตั้ง ZipBombs ลงบนระบบที่ถูกโจมตี

    Malware นี้ถูกใช้เพื่อทำลายระบบด้วยการโหลดข้อมูลที่มากจนเกินไป ผู้เชี่ยวชาญยังสังเกตเห็นการใช้ ChromeLoader ดาวน์โหลด Enigma Ransomware ซึ่งส่งออกเป็นไฟล์แนบ HTML ที่พบในไฟล์ ISO โดยเมื่อเปิดไฟล์แนบ ก็จะมีการเปิดเบราว์เซอร์ และเรียกใช้จาวาสคริปต์ที่ฝังอยู่

  เทคนิคการโจมตีอื่น ๆ ที่โดดเด่น คือ OpenSubtitles ในเวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ช่วยให้ผู้ใช้ค้นหาคำบรรยายสำหรับภาพยนตร์ และรายการทีวีที่เป็นที่นิยม และ Flbmusic.exe เวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ใช้สำหรับการเล่นเพลงข้ามแพลตฟอร์ม Adware เป็นหนึ่งในการโจมตีที่พบบ่อยที่สุด โดยในการโจมตีนี้ได้ถูกพัฒนาไปอย่างมากในช่วงไม่กี่เดือนที่ผ่านมาโดยใช้ประโยชน์จาก powershell.exe และมีแนวโน้มที่จะนำไปสู่การโจมตีที่ซับซ้อนมากขึ้น

VMware and Microsoft are warning of a widespread Chromeloader malware campaign that distributes several malware families