Broadcom ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ ความรุนแรงระดับ High ในซอฟต์แวร์ VMware Aria Operations และ VMware Tools ซึ่งถูกใช้ในการโจมตีแบบ Zero-day มาตั้งแต่เดือนตุลาคม 2024
แม้ว่า Broadcom จะไม่ได้ระบุว่าช่องโหว่นี้ (CVE-2025-41244) ถูกนำไปใช้ในการโจมตีจริงแล้ว แต่ก็ได้กล่าวขอบคุณ Maxime Thiebaut นักวิจัยด้านภัยคุกคามจาก NVISO ที่รายงานช่องโหว่นี้เมื่อเดือนพฤษภาคม
อย่างไรก็ตาม เมื่อวานนี้ บริษัทด้านความปลอดภัยทางไซเบอร์จากยุโรปได้เปิดเผยว่า ช่องโหว่นี้ถูกนำไปใช้ในการโจมตีจริงครั้งแรกมาตั้งแต่ช่วงกลางเดือนตุลาคม 2024 และเชื่อมโยงการโจมตีดังกล่าวกับกลุ่ม UNC5174 ซึ่งเป็นกลุ่มที่รัฐบาลจีนให้การสนับสนุน
Thiebaut อธิบายว่า "ในการโจมตีช่องโหว่นี้ ผู้โจมตีที่อยู่ในระดับ local ที่ไม่มีสิทธิ์ สามารถวางไฟล์ไบนารีที่เป็นอันตราย ที่ตรงกับรูปแบบของ Regular Expression paths ได้ ซึ่ง location ที่ถูกใช้ในการโจมตีจริงโดย UNC5174 คือ /tmp/httpd"
"เพื่อให้ VMware service เจอไฟล์ไบนารีที่เป็นอันตรายนี้ ไฟล์ดังกล่าวจะต้องถูกเรียกใช้โดยผู้ใช้ที่ไม่มีสิทธิ์ (เช่น ต้องปรากฏใน process tree) และต้องเปิด Listening Socket (แบบสุ่ม) อย่างน้อยหนึ่ง socket"
นอกจากนี้ NVISO ยังได้เผยแพร่ Proof-of-Concept ของช่องโหว่ที่แสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ CVE-2025-41244 เพื่อยกระดับสิทธิ์บนระบบที่ใช้ซอฟต์แวร์ VMware Aria Operations ที่มีช่องโหว่ได้ (ในโหมดที่ต้องใช้ Credential) และ VMware Tools (ในโหมดที่ไม่ต้องใช้ Credential) ซึ่งท้ายที่สุดแล้วจะทำให้สามารถเรียกใช้โค้ดในระดับ Root บน VM ได้
UNC5174 คือใคร?
นักวิเคราะห์ความปลอดภัยของ Google Mandiant ซึ่งเชื่อว่า UNC5174 ทำงานให้กับกระทรวงความมั่นคงแห่งรัฐของจีน (MSS) ได้สังเกตว่า กลุ่มนี้ได้ทำการขายสิทธิ์การเข้าถึงเครือข่ายของผู้รับเหมาด้านกลาโหมของสหรัฐฯ, หน่วยงานรัฐบาลของสหราชอาณาจักร และสถาบันในเอเชียในช่วงปลายปี 2023 หลังจากการโจมตีที่ใช้ประโยชน์จากช่องโหว่ F5 BIG-IP CVE-2023-46747 สำหรับการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล
ในเดือนกุมภาพันธ์ 2024 กลุ่มนี้ยังใช้ประโยชน์จากช่องโหว่ ConnectWise ScreenConnect CVE-2024-1709 เพื่อเจาะระบบสถาบันหลายร้อยแห่งในสหรัฐฯ และแคนาดา
เมื่อต้นปีที่ผ่านมาในเดือนพฤษภาคม UNC5174 ยังถูกเชื่อมโยงกับการโจมตีในวงกว้าง โดยใช้ประโยชน์จากช่องโหว่ CVE-2025-31324 การอัปโหลดไฟล์โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ NetWeaver Visual Composer ที่มีช่องโหว่ได้
กลุ่มผู้โจมตีชาวจีนกลุ่มอื่น (เช่น Chaya_004, UNC5221 และ CL-STA-0048) ก็เข้าร่วมการโจมตีครั้งนี้ด้วย โดยทำการฝัง Backdoor ใน Instance ของ SAP NetWeaver กว่า 580 รายการ รวมถึงโครงสร้างพื้นฐานที่สำคัญในสหราชอาณาจักร และสหรัฐอเมริกา
ที่มา : bleepingcomputer
You must be logged in to post a comment.