เซิร์ฟเวอร์ VMware ESXi ที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ตกว่า 37,000 เครื่อง ที่เสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2025-22224 ความรุนแรงระดับ Critical โดยเป็นช่องโหว่ Out-of-Bounds Write ซึ่งกำลังถูกใช้ในการโจมตีอย่างต่อเนื่องอยู่ในปัจจุบัน
การเปิดเผยช่องโหว่นี้ถูกรายงานโดยแพลตฟอร์มติดตามภัยคุกคาม The Shadowserver Foundation โดยเมื่อวันที่ 5 มีนาคม 2025 Shadowserver พบว่ามีเซิร์ฟเวอร์ที่มีช่องโหว่ประมาณ 41,500 เครื่อง
ล่าสุด วันที่ 6 มีนาคม 2025 ShadowServer รายงานว่าจำนวนเซิร์ฟเวอร์ที่ยังมีช่องโหว่ลดลงเหลือ 37,000 เครื่อง ซึ่งหมายความว่า 4,500 อุปกรณ์ได้รับการอัปเดตแพตช์แก้ไขไปแล้วเมื่อวานนี้
ช่องโหว่ CVE-2025-22224 ความรุนแรงระดับ Critical เป็นช่องโหว่ประเภท VCMI heap overflow ที่ช่วยให้ผู้โจมตีที่อยู่ในระดับ local และมีสิทธิ์ระดับผู้ดูแลระบบ (Administrator) บน VM Guest สามารถ escape จาก Sandbox และรันโค้ดได้ตามที่ต้องการบน Host ด้วยสิทธิ์ VMX Process
Broadcom ได้แจ้งเตือนลูกค้าเกี่ยวกับช่องโหว่นี้ พร้อมกับอีกสองช่องโหว่ ได้แก่ CVE-2025-22225 และ CVE-2025-22226 เมื่อวันอังคารที่ 4 มีนาคม 2025 โดยระบุว่าช่องโหว่ทั้งสามรายการกำลังถูกใช้ในการโจมตีแบบ Zero-Day
ช่องโหว่เหล่านี้ถูกค้นพบโดย Microsoft Threat Intelligence Center ซึ่งตรวจพบว่ามีการโจมตีแบบ Zero-Day มาเป็นระยะเวลาหนึ่งแล้ว แต่ยังไม่มีการเปิดเผยข้อมูลเกี่ยวกับแหล่งที่มาของการโจมตี และเป้าหมายที่ได้รับผลกระทบ
หน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้กำหนดเส้นตายให้หน่วยงานรัฐบาลกลาง และองค์กรระดับรัฐ ดำเนินการอัปเดต หรือใช้มาตรการลดผลกระทบภายในวันที่ 25 มีนาคม 2025 หากไม่ดำเนินการอาจจะต้องหยุดใช้ผลิตภัณฑ์ดังกล่าว
The Shadowserver Foundation รายงานว่าประเทศที่มีเซิร์ฟเวอร์ที่ยังมีช่องโหว่มากที่สุด ได้แก่ จีน (4,400 เครื่อง), ฝรั่งเศส (4,100 เครื่อง), สหรัฐอเมริกา (3,800 เครื่อง), เยอรมนี (2,800 เครื่อง), อิหร่าน (2,800 เครื่อง) และบราซิล (2,200 เครื่อง)
อย่างไรก็ตาม เนื่องจากมีการใช้ VMware ESXi กันอย่างแพร่หลาย เนื่องจากเป็น hypervisor ยอดนิยมที่ใช้ในองค์กรสำหรับการใช้งาน Virtual Machine ส่งผลให้การโจมตีครั้งนี้มีผลกระทบในระดับโลก
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเวอร์ชันของ ESXi ที่แก้ไขช่องโหว่ CVE-2025-22224 ผู้ใช้ควรตรวจสอบ Bulletin ของ Broadcom อย่างไรก็ตาม ขณะนี้ยังไม่มีวิธีแก้ไขปัญหาชั่วคราว (Workaround) สำหรับช่องโหว่นี้
นอกจากนี้ Broadcom ยังได้เผยแพร่ หน้าคำถามที่พบบ่อย (FAQ) เพื่อให้ผู้ใช้สามารถเข้าถึงคำแนะนำเพิ่มเติมเกี่ยวกับมาตรการที่ควรดำเนินการ และรายละเอียดผลกระทบเพิ่มเติม
ที่มา : bleepingcomputer
You must be logged in to post a comment.