เมื่อวันที่ 24 มกราคมที่ผ่านมา VMware ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ของ Insight Log ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ไปยังเครื่องเป้าหมายที่ยังไม่ได้ทำการแพตช์ ซึ่ง vRealize Log Insight (หรืออีกชื่อคือ VMware Aria Operations for Logs) เป็นเครื่องมือสำหรับ Log Management และ Log Analysis ซึ่งช่วยวิเคราะห์ infrastructure และ application log environment ของ VMware
รายละเอียดช่องโหว่
- CVE-20122-31703 เป็นช่องโหว่ที่ผู้โจมตีสามารถใช้วิธี Directory Traversal ในการส่งไฟล์อันตรายเข้าไปยังระบบปฏิบัติการของเป้าหมาย ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้
- CVE-20122-31704 เป็นช่องโหว่ของระบบควบคุมการเข้าถึง ซึ่งหากถูกใช้ในทางที่ผิดจะสามารถส่งไฟล์อันตรายเข้าไปยังระบบปฏิบัติการของเป้าหมาย ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้
ช่องโหว่ทั้งสองมีคะแนน CVSS อยู่ที่ 9.8/10 และสามารถถูกนำไปใช้โดยผู้โจมตีทั่วไปได้ เนื่องจากเป็นเทคนิคการโจมตีที่มีความซับซ้อนต่ำ และไม่ต้องการการดำเนินการใดๆจากผู้ใช้งาน
นอกจากนี้ในแพตช์ล่าสุดของ VMware ได้ทำการแก้ไขช่องโหว่ก่อนหน้านี้คือ CVE-20122-31710 (ช่องโหว่ที่ทำให้เกิด DOS และทำให้ Information disclosure เกิด BUG) และ CVE-2022-31711 (ช่องโหว่ที่ผู้โจมตีสามารถเข้าถึง sensitive session และ application info ได้) และในเดือนธันวาคม 2565 VMware ยังได้ทำการแก้ไขช่องโหว่ของ EHCI controller (CVE-2022-31705) และช่องโหว่ command injection (CVE-20122- 31702)
แนวทางการแก้ไข
- VMware ให้คำแนะนำโดยละเอียดเกี่ยวกับการอัปเกรดเป็น vRealize Log Insight เวอร์ชันล่าสุดที่
hxxps://docs[.]vmware[.]com/en/vRealize-Log-Insight/8[.]10/com[.]vmware[.]log-insight[.]administration.doc/GUID-A6CAC5D7-7BE0-4F62-8A03-80F6C3327E8A[.]html - ส่วนบริษัทที่ยังไม่สามารถทำการแพตช์ได้ทันที สามารถให้ผู้ดูแลระบบเข้าสู่ vRealize Log Insight Node ผ่าน SSH และรันสคริปต์ของ VMware เพื่อป้องกันช่องโหว่ดังกล่าวได้ที่
hxxps://kb[.]vmware[.]com/s/article/90635 - นอกจากนี้ VMware ยังแนะนำให้ตรวจสอบ Log แต่ละ Node ในขณะที่สคริปต์ทำงาน หากสคริปต์ทำงานได้ถูกต้องจะมีข้อความขึ้นว่า "workaround for VMSA-2023-0001 has been successfully implemented."
ที่มา : bleepingcomputer
You must be logged in to post a comment.