เมื่อวันจันทร์ที่ผ่านมา (28 เมษายน 2025) CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงสองรายการ ที่ส่งผลกระทบต่อ Broadcom Brocade Fabric OS และ Commvault Web Server ลงในบัญชีรายการ Known Exploited Vulnerabilities (KEV) โดยอ้างอิงจากหลักฐานว่ากำลังถูกใช้ในการโจมตีจริงในโลกไซเบอร์

ช่องโหว่ดังกล่าวมีรายละเอียดดังนี้ :

CVE-2025-1976 (คะแนน CVSS: 8.6) - ช่องโหว่ code injection ที่ส่งผลกระทบต่อ Broadcom Brocade Fabric OS ซึ่งสามารถทำให้ผู้ใช้งานในระดับ local ที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการด้วยสิทธิ์ root อย่างเต็มรูปแบบได้
CVE-2025-3928 (คะแนน CVSS: 8.7) - ช่องโหว่ unspecified flaw ใน Commvault Web Server ที่อนุญาตให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนแล้ว สามารถสร้าง และเรียกใช้ web shell ได้

เมื่อเดือนกุมภาพันธ์ 2025 ที่ผ่านมา Commvault ระบุว่า "การโจมตีช่องโหว่นี้จำเป็นต้องใช้ข้อมูล Credentials ของผู้ใช้งานที่ผ่านการยืนยันตัวตนภายในสภาพแวดล้อมซอฟต์แวร์ของ Commvault"

ช่องโหว่นี้ส่งผลกระทบต่อ Commvault Web Server ในเวอร์ชั่นของ Windows และ Linux ดังต่อไปนี้ :

11.36.0 - 11.36.45 (แก้ไขแล้วในเวอร์ชั่น 11.36.46)
11.32.0 - 11.32.88 (แก้ไขแล้วในเวอร์ชั่น 11.32.89)
11.28.0 - 11.28.140 (แก้ไขแล้วในเวอร์ชั่น 11.28.141)
11.20.0 - 11.20.216 (แก้ไขแล้วในเวอร์ชั่น 11.20.217)

สำหรับช่องโหว่ CVE-2025-1976 นั้น ทาง Broadcom ระบุว่า เป็นช่องโหว่ในการตรวจสอบ IP Address ซึ่งอาจทำให้ผู้ใช้งานในระดับ local ที่มีสิทธิ์ผู้ดูแลระบบ สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการด้วยสิทธิ์ root บน Fabric OS เวอร์ชั่น 9.1.0 ถึง 9.1.1d6 โดยช่องโหว่นี้ได้รับการแก้ไขไปแล้วในเวอร์ชั่น 9.1.1d7

วันที่ 17 เมษายน 2025 ทาง Broadcom ระบุว่า "ช่องโหว่นี้สามารถทำให้ผู้ใช้งานเรียกใช้คำสั่งที่มีอยู่บน Fabric OS หรืออาจใช้เพื่อแก้ไข Fabric OS เอง รวมถึงการเพิ่ม subroutines ของตนเองได้"

"แม้ว่าการโจมตีนี้จะต้องมีการเข้าถึงระบบอย่างถูกต้อง จนไปถึงสิทธิ์ผู้ดูแลระบบก่อน แต่พบว่าช่องโหว่นี้กำลังถูกนำไปใช้ในการโจมตีจริงในโลกไซเบอร์แล้ว"

ปัจจุบันยังไม่มีรายละเอียดที่เกี่ยวกับวิธีการที่ช่องโหว่ทั้งสองนี้ถูกนำไปใช้โจมตีในโลกไซเบอร์ ทั้งขนาดของการโจมตี และผู้ที่อยู่เบื้องหลังการโจมตีเหล่านี้

หน่วยงานในสังกัด Federal Civilian Executive Branch (FCEB) ต้องติดตั้งแพตช์สำหรับ Commvault Web Server ภายในวันที่ 17 พฤษภาคม 2025 และสำหรับ Broadcom Brocade Fabric OS ภายในวันที่ 19 พฤษภาคม 2025 ตามลำดับ เพื่อแก้ไขช่องโหว่ดังกล่าว

ที่มา : thehackernews

Broadcom ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การข้ามการยืนยันตัวตน ที่มีความรุนแรงระดับ High ใน VMware Tools for Windows

VMware Tools เป็นชุด drivers และ utilities ที่ออกแบบมาเพื่อปรับปรุงประสิทธิภาพ กราฟิก และการทำงานร่วมกัน สำหรับระบบปฏิบัติการที่ทำงานใน VMware virtual machines

โดยช่องโหว่นี้ (CVE-2025-22230) เกิดจากช่องโหว่ improper access control และถูกรายงานโดย Sergey Bliznyuk จากบริษัท Positive Technologies (บริษัทความปลอดภัยทางไซเบอร์ของรัสเซียที่ถูกคว่ำบาตร และถูกกล่าวหาว่าขาย hacking tools)

โดยช่องโหว่นี้ทำให้ผู้โจมตีที่เข้าถึงระบบได้ในระดับ Local ด้วยสิทธิ์ระดับต่ำก็สามารถใช้ช่องโหว่นี้ในการโจมตีได้ ด้วยการโจมตีที่มีความซับซ้อนต่ำ และไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้เพื่อยกระดับสิทธิ์เป็นสิทธิ์สูงบน VM ที่มีช่องโหว่

VMware ระบุใน Security Advisory ที่เผยแพร่เมื่อวันอังคารที่ 25 มีนาคมว่า "ผู้ไม่หวังดีที่มีสิทธิ์ระดับต่ำบน Windows Guest VM อาจสามารถดำเนินการบางอย่างที่ต้องใช้สิทธิ์ระดับสูงภายใน VM นั้นได้"

เมื่อต้นเดือนที่ผ่านมา Broadcom ยังได้แก้ไขช่องโหว่ zero days ของ VMware จำนวน 3 รายการ (CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226) ซึ่งถูกระบุว่า กำลังถูกใช้ในการโจมตีจริง และได้รับรายงานจาก Microsoft Threat Intelligence Center

ตามที่บริษัทได้อธิบายไว้ในขณะนั้น ผู้โจมตีที่มีสิทธิ์ระดับ Administrator หรือ Root สามารถใช้ช่องโหว่เหล่านี้ เพื่อ escape ออกจาก sandbox ของ virtual machine ได้

หลังจากมีการออกแพตช์แก้ไขไม่กี่วัน แพลตฟอร์มการตรวจสอบภัยคุกคาม Shadowserver พบว่า มีเซิร์ฟเวอร์ VMware ESXi ที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ตมากกว่า 37,000 เครื่องที่มีความเสี่ยงต่อการถูกโจมตีจาก CVE-2025-22224

โดยกลุ่มแรนซัมแวร์ และแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ มักมุ่งเป้าโจมตีช่องโหว่ของ VMware เนื่องจากผลิตภัณฑ์ของ VMware ถูกใช้กันอย่างแพร่หลายในองค์กรต่าง ๆ สำหรับจัดเก็บ หรือถ่ายโอนข้อมูลสำคัญของบริษัท

ตัวอย่างเช่น ในเดือนพฤศจิกายน Broadcom ได้เตือนว่าผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ VMware vCenter Server สองรายการ ได้แก่ ช่องโหว่การยกระดับสิทธิ์เป็น Root (CVE-2024-38813) และช่องโหว่ระดับ Critical ที่ทำให้สามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (CVE-2024-38812) ซึ่งช่องโหว่ดังกล่าวถูกค้นพบระหว่างการแข่งขันโจมตี Matrix Cup 2024 ของประเทศจีน

ในเดือนมกราคม 2024 Broadcom ยังเปิดเผยอีกว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนได้ใช้ช่องโหว่ zero-day ระดับ Critical ของ vCenter Server (CVE-2023-34048) ตั้งแต่ปลายปี 2021 เพื่อติดตั้ง Backdoor "VirtualPita" และ "VirtualPie" บนระบบ ESXi ที่มีช่องโหว่

ที่มา : bleepingcomputer.

Broadcom แจ้งเตือนลูกค้าในวันนี้ (4 มีนาคม 2025) เกี่ยวกับช่องโหว่ Zero-days 3 รายการของ VMware ซึ่งถูกระบุว่ากำลังถูกนำมาใช้ในการโจมตี และได้รับการรายงานจาก Microsoft Threat Intelligence Center

ช่องโหว่ CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226 ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ VMware ESX รวมถึง VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation, และ Telco Cloud Platform

ผู้โจมตีที่มีสิทธิ์เข้าถึงในระดับผู้ดูแลระบบ หรือ root สามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อหลีกเลี่ยงการควบคุมของ sandbox ของ Virtual Machine ได้

บริษัทได้อธิบายในวันนี้ว่า "เหตุการร์นี้เป็นสถานการณ์ที่ผู้โจมตีที่บุกรุก guest OS ของ Virtual Machine และได้รับสิทธิ์การเข้าถึงระดับสูง (ผู้ดูแลระบบ หรือ root) อาจทำให้สามารถเข้าควบคุม hypervisor ได้ โดยมีข้อมูลที่เชื่อได้ว่ากำลังมีการโจมตีโดยใช้ช่องโหว่นี้อยู่จริง ๆ"

Broadcom ระบุว่า CVE-2025-22224 เป็นช่องโหว่ VCMI heap overflow ที่มีความรุนแรงระดับ Critical ซึ่งสามารถทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบใน VM ที่ถูกโจมตี สามารถรันโค้ดใน VMX process ที่ทำงานบนโฮสต์ได้

CVE-2025-22225 เป็นช่องโหว่การเขียนข้อมูลโดยพลการใน ESXi ที่สามารถทำให้ VMX process สามารถเรียกการเขียนคอร์เนลโดยพลการ ซึ่งนำไปสู่การ escape จาก sandbox ได้ ในขณะที่ CVE-2025-22226 ถูกอธิบายว่าเป็นช่องโหว่ในการเปิดเผยข้อมูลของ HGFS ที่ทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถทำให้ข้อมูลรั่วไหลจาก VMX process ได้

ช่องโหว่ของ VMware มักถูกโจมตีโดยกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับแรนซัมแวร์ และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล เนื่องจาก VMware ถูกใช้กันอย่างแพร่หลายในปฏิบัติการรเพื่อเก็บ หรือถ่ายโอนข้อมูลที่สำคัญขององค์กร

ล่าสุด Broadcom ได้ออกคำเตือนในเดือนพฤศจิกายน 2024 ว่า ผู้โจมตีได้มีการใช้ประโยชน์จากช่องโหว่ใน VMware vCenter Server สองรายการที่ได้รับการแก้ไขไปแล้วในเดือนกันยายน 2024 หนึ่งในนั้นสามารถทำให้มีการยกระดับสิทธิ์เป็น root (CVE-2024-38813) ขณะที่อีกช่องโหว่เป็นช่องโหว่ระดับ Critical ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (CVE-2024-38812) ซึ่งถูกพบในระหว่างการแข่งขัน Matrix Cup hacking 2024 ของจีนในปี 2024

ในเดือนมกราคม 2024 Broadcom ยังได้เปิดเผยว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ใน vCenter Server (CVE-2023-34048) เป็นช่องโหว่แบบ zero-day มาตั้งแต่ปลายปี 2021 เป็นอย่างน้อย เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ที่มีช่องโหว่

ที่มา : bleepingcomputer

ช่องโหว่ Kr00k กระทบอุปกรณ์จำนวนมาก

ช่องโหว่การเข้ารหัส Wi-Fi ใหม่มีผลต่ออุปกรณ์กว่าพันล้านเครื่อง นักวิจัยด้านความปลอดภัยด้านไซเบอร์ได้ค้นพบช่องโหว่ฮาร์ดแวร์ใหม่ที่มีความรุนแรงสูงซึ่งอยู่ในชิป Wi-Fi ที่ใช้กันอย่างแพร่หลายที่ผลิตโดย Broadcom และ Cypress เห็นได้ชัดว่ามีผลต่ออุปกรณ์กว่าพันล้านเครื่องรวมถึง smartphones, tablets, laptops, routers เเละอุปกรณ์ IoTมันถูกขนานนามว่า 'Kr00k' เเละได้รับรหัส CVE-2019-15126 ข้อบกพร่องนี้อาจทำให้ผู้โจมตีที่อยู่ใกล้เคียง ดักจับ และถอดรหัสแพ็คเก็ตที่ส่งผ่านทางเครือข่ายไร้สายได้โดยช่องโหว่ของอุปกรณ์
ผู้โจมตีไม่จำเป็นต้องเชื่อมต่อไปยังเครือข่ายไร้สายของเหยื่อ โดยสามารถใช้ได้กับ protocol ทั้ง WPA2-Personal และ WPA2-Enterprise ที่ใช้การเข้ารหัสแบบ AES-CCMP
ข้อบกพร่องของ Kr00k นั้นค่อนข้างเกี่ยวข้องกับการโจมตี KRACK ซึ่งเป็นเทคนิคที่ทำให้ผู้โจมตีแฮกรหัสผ่าน Wi-Fi ได้ง่ายขึ้น โดยใช้โปรโตคอลเครือข่าย WPA2 ที่ใช้กันอย่างแพร่หลาย
สิ่งที่ควรทราบเกี่ยวกับ Kr00k

ช่องโหว่ Kr00k ไม่ได้อยู่ในโปรโตคอลการเข้ารหัส Wi-Fi แต่อยู่ในวิธีที่ชิป Wi-Fi นำวิธีการเข้ารหัสนั้นมาประยุกต์ใช้
ช่องโหว่ Kr00k ไม่ใช่ช่องโหว่ที่ผู้โจมตีสามารถเชื่อมต่อกับเครือข่าย Wi-Fi และโจมตีแบบ man-in-the-middle
ช่องโหว่ Kr00k ทำให้ให้ผู้โจมตีทราบรหัสผ่าน Wi-Fi ของคุณ และการเปลี่ยนมันไม่ได้ช่วยให้คุณแก้ไขปัญหาได้
ช่องโหว่ Kr00k ไม่ส่งผลกระทบต่ออุปกรณ์สมัยใหม่ที่ใช้โปรโตคอล WPA3 (มาตรฐานความปลอดภัย Wi-Fi ล่าสุด)
ช่องโหว่ Kr00k ไม่กระทบการเข้ารหัส TLS เมื่อเข้าชมเว็บไซต์ที่ใช้ HTTP
ช่องโหว่ Kr00k ลดระดับความปลอดภัยของคุณไปอีกขั้นหนึ่ง โดยผู้โจมตีจะสามารถดักจับข้อมูลได้หากมีการใช้งาน network traffic ที่ไม่ได้มีการเข้ารหัสใน layer ต่อไป เช่น เข้าชมเว็บที่ไม่ได้ใช้ HTTPS
การโจมตีตั้งอยู่บนพื้นฐานที่ว่าเมื่ออุปกรณ์ถูกตัดการเชื่อมต่อจากเครือข่าย wireless ชิป Wi-Fi จะล้าง session key ในหน่วยความจำและตั้งค่าเป็นศูนย์ แต่ข้อผิดพลาดเกิดเมื่อชิปจะส่งเฟรมข้อมูลทั้งหมดที่เหลืออยู่ในบัฟเฟอร์โดยไม่ได้ตั้งใจด้วยคีย์เข้ารหัสที่เป็นศูนย์ทั้งหมดแม้หลังจากการยกเลิกการเชื่อมต่อเเล้ว ดังนั้นผู้โจมตีในบริเวณใกล้เคียงกับอุปกรณ์ที่มีช่องโหว่สามารถใช้ข้อบกพร่องนี้
นักวิจัย ESET รายงานปัญหานี้ ไปยังผู้ผลิตชิป Broadcom เเละ Cypress ที่ได้รับผลกระทบแล้วตั้งแต่เมื่อปีที่แล้วรวมถึงผู้ผลิตอุปกรณ์หลายรายที่ได้รับผลกระทบ ซึ่งผู้ผลิตเหล่านี้ต้องรับผิดชอบออกซอฟต์แวร์หรือเฟิร์มแวร์เพื่อแก้ไขช่องโหว่นี้

ที่มา : thehackernews