VMware ประกาศแจ้งเตือนผู้ใช้งาน เนื่องจากปัจจุบัน Exploit Code ของช่องโหว่ RCE ระดับ Critical ใน VMware Aria Operations for Logs analysis tool ถูกปล่อยออกมาแล้ว
ช่องโหว่ (CVE-2023-20864) เป็นช่องโหว่ deserialization ที่ได้รับการอัปเดตแพตช์ไปแล้วในเดือนเมษายน ซึ่งทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ได้
โดยหากสามารถโจมตีได้สำเร็จ ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ Root ได้ โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน โดยปัจจุบัน VMware ยืนยันว่ามีการเผยแพร่โค้ดการโจมตี (Exploit Code) สำหรับช่องโหว่ CVE-2023-20864 ออกมาแล้ว
ในเดือนเมษายนที่ผ่านมา VMware ยังได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Command Injection ที่มีระดับความรุนแรงน้อยกว่า (CVE-2023-20865) ซึ่งทำให้ผู้โจมตีที่มีสิทธิ์ของผู้ดูแลระบบ สามารถเรียกใช้งานโค้ดที่เป็นอันตรายด้วยสิทธิ์ Root บนอุปกรณ์ที่มีช่องโหว่เช่นเดียวกัน
ช่องโหว่ทั้งสองได้รับการแก้ไขไปแล้วด้วยการอัปเดตแพตซ์ VMware Aria Operations for Logs เวอร์ชัน 8.12 ซึ่งปัจจุบันยังไม่มีหลักฐานที่แสดงให้เห็นว่ามีการโจมตีโดยใช้ช่องโหว่ดังกล่าว
ช่องโหว่ของ VMware Aria Operations ที่กำลังถูกใช้ในการโจมตี
เมื่อเร็ว ๆ นี้ VMware ได้ออกการแจ้งเตือนอีกครั้งเกี่ยวกับช่องโหว่ระดับ Critical หมายเลข CVE-2023-20887 ที่ได้รับการแพตช์แล้วใน VMware Aria Operations for Networks (เดิมคือ vRealize Network Insight) ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดที่เป็นอันตรายด้วยสิทธิ์ Root ที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน
นอกจากนี้ CISA ยังเพิ่มช่องโหว่ดังกล่าวเข้าไปในรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี และสั่งให้หน่วยงานของรัฐบาลกลางสหรัฐฯ รีบอัปเดตแพตซ์ภายในวันที่ 13 กรกฎาคม ถึงแม้ว่าจำนวนอินสแตนซ์ VMware vRealize ที่เข้าถึงได้จากอินเทอร์เน็ตจะค่อนข้างต่ำก็ตาม แต่ผู้โจมตีก็มักใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในอุปกรณ์ภายในเครือข่าย เพื่อโจมตีต่อไปยังระบบต่าง ๆ ของเหยื่อ
คำแนะนำ
- แนะนำให้อัปเดตแพตช์ VMware Aria Operations ให้เป็นเวอร์ชันล่าสุดทันที เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.