VMware แก้ไขช่องโหว่ RCE ระดับ Critical ของ vCenter Server

VMware ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ VMware vCenter Server ระดับ Critical ซึ่งยังไม่ได้รับการแก้ไขอย่างถูกต้องในแพตช์แรกเมื่อเดือนกันยายน 2024

CVE-2024-38812 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ heap overflow ใน DCE/RPC protocol ของ vCenter ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลจาก network packet ที่ถูกสร้างขึ้นเป็นพิเศษ โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน ซึ่งส่งผลกระทบต่อ vCenter Server และผลิตภัณฑ์ใด ๆ ที่มีความเกี่ยวข้องกับช่องโหว่ เช่น vSphere และ Cloud Foundation

ช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัยด้านความปลอดภัยของ TZL ที่ได้นำช่องโหว่ไปใช้ในระหว่างการแข่งขัน Matrix Cup hacking ของจีนในปี 2024 นอกจากนี้ นักวิจัยยังเปิดเผยช่องโหว่ CVE-2024-38813 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ที่มีความรุนแรงสูงซึ่งส่งผลกระทบต่อ VMware vCenter ด้วยเช่นกัน

VMware โดย Broadcom ได้แนะนำให้ผู้ใช้งานทำการอัปเดตเป็น vCenter 7.0.3, 8.0.2 และ 8.0.3 เพื่อแก้ไขช่องโหว่ ทั้งนี้เวอร์ชันผลิตภัณฑ์ที่หมดอายุ end-of-support ไปแล้วเช่น vSphere 6.5 และ 6.7 ที่ได้รับผลกระทบจะไม่ได้รับการอัปเดตด้านความปลอดภัย

VMware ระบุว่า สำหรับช่องโหว่ทั้ง 2 รายการ CVE-2024-38812, CVE-2024-38813 ยังไม่มีวิธีการลดผลกระทบ จึงแนะนำให้ผู้ใช้ที่ได้รับผลกระทบทำการอัปเดตเวอร์ชันล่าสุดโดยเร็วที่สุด เนื่องจาก Hacker มักมุ่งเป้าหมายการโจมตีไปยังช่องโหว่ของ VMware vCenter เพื่อยกระดับสิทธิ์ หรือเข้าถึงเครื่อง virtual machines

ต้นปี 2024 ทาง Mandiant เปิดเผยว่ากลุ่ม Hacker จากจีนในชื่อ UNC3886 ได้ใช้ช่องโหว่ CVE-2023-34048 ซึ่งเป็นช่องโหว่ zero-day ระดับ critical ใน vCenter Server โจมตีไปยังเป้าหมายเพื่อเข้าถึง VMware ESXi virtual machines ด้วย backdoor

ที่มา : bleepingcomputer