เมื่อสองสัปดาห์ก่อน VMware ออกคำแนะนำด้านความปลอดภัย เพื่อเตือนผู้ใช้งานถึงช่องโหว่ Remote Code Execution (RCE) ระดับ Critical ที่มีหมายเลข CVE-2023-20887 ซึ่งได้รับการอัปเดตแพตซ์แก้ไขไปแล้วก่อนหน้านี้ เนื่องจากผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีอยู่ในปัจจุบัน
ก่อนหน้านี้ GreyNoise บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ออกคําเตือนหลายครั้ง โดยคําเตือนครั้งแรกเกิดขึ้นหนึ่งสัปดาห์หลังจากที่ VMware ออกแพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยเมื่อวันที่ 15 มิถุนายน และเพียงสองวันก่อนที่ Sina Kheirkah นักวิจัยด้านความปลอดภัยได้เปิดเผยรายงานเกียวกับรายละเอียดทางเทคนิค และ proof-of-concept ของช่องโหว่
โดยช่องโหว่นี้ส่งผลกระทบต่อ VMware Aria Operations for Networks (เดิมชื่อ vRealize Network Insight) ซึ่งเป็นเครื่องมือวิเคราะห์เครือข่ายที่ช่วยให้ผู้ดูแลระบบเพิ่มประสิทธิภาพการทำงานของเครือข่าย หรือจัดการการปรับใช้ VMware และ Kubernetes
โดยผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่ในการทำ command injection ในการโจมตีได้โดยไม่ต้องมีการตอบโต้จากผู้ใช้งาน
Kheirkhah อธิบายในการวิเคราะห์สาเหตุของช่องโหว่ด้านความปลอดภัยว่า VMWare Aria Operations for Networks (vRealize Network Insight) มีความเสี่ยงที่จะถูกแทรกคำสั่ง เมื่อรับอินพุตของผู้ใช้งานผ่านอินเทอร์เฟซ Apache Thrift RPC
โดยช่องโหว่นี้ช่วยให้ผู้โจมตีจากภายนอกที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คําสั่งต่าง ๆ บนระบบด้วยสิทธิ์ Root ได้
ยังไม่มีวิธีการแก้ไขปัญหาชั่วคราวสำหรับช่องโหว่ CVE-2023-20887 ดังนั้นผู้ดูแลระบบจะต้องอัปเดตแพตซ์ VMware Aria Operations Networks 6.x ทั้งหมด เพื่อให้แน่ใจว่าจะไม่ถูกโจมตีจากช่องโหว่ดังกล่าว
รายการแพตช์ความปลอดภัยทั้งหมด สำหรับเวอร์ชัน Aria Operations for Networks ที่พบช่องโหว่ทั้งหมดอยู่ในเว็บไซต์ VMware's Customer Connect
ที่มา : bleepingcomputer
You must be logged in to post a comment.