เมื่อวันพฤหัสบดีที่ผ่านมา CISA ได้แจ้งเตือนหน่วยงานรัฐบาลสหรัฐฯ ให้รักษาความปลอดภัยระบบของตนจากการโจมตีที่ใช้ประโยชน์จากช่องโหว่ระดับความรุนแรงสูงในซอฟต์แวร์ VMware Aria Operations และ VMware Tools ของ Broadcom

ช่องโหว่นี้มีหมายเลข CVE-2025-41244 และเพิ่งได้รับการอัปเดตแพตช์เมื่อหนึ่งเดือนที่แล้ว โดยทำให้ผู้โจมตีในระดับ local ที่มีสิทธิ์ระดับทั่วไป สามารถเข้าถึงเครื่อง virtual machine (VM) ที่มี VMware Tools และบริหารจัดการโดย Aria Operations พร้อมเปิดใช้งาน SDMP ให้สามารถยกระดับสิทธิ์ของตนเองเป็น root บน VM เครื่องนั้นได้

CISA ได้เพิ่มช่องโหว่นี้เข้าไปในบัญชี Known Exploited Vulnerabilities ซึ่งเป็นรายการช่องโหว่ด้านความปลอดภัยที่หน่วยงานฯ ระบุว่ากำลังถูกใช้ในการโจมตีจริง หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) มีเวลาสามสัปดาห์ หรือจนถึงวันที่ 20 พฤศจิกายน ในการอัปเดตแพตช์ระบบของตนเพื่อป้องกันการโจมตีที่กำลังดำเนินอยู่ ตามที่กำหนดไว้ในคำสั่งปฏิบัติการที่มีผลผูกพัน (BOD) 22-01 ซึ่งออกเมื่อเดือนพฤศจิกายน 2021

แม้ว่าคำสั่ง BOD 22-01 จะมีผลบังคับใช้เฉพาะกับหน่วยงานรัฐบาลกลาง แต่ CISA ก็ได้เตือนให้ทุกองค์กรจัดลำดับความสำคัญในการแพตช์ช่องโหว่นี้โดยเร็วที่สุด

CISA เตือนว่า "ช่องโหว่ประเภทนี้มักถูกใช้เป็นช่องทางการโจมตีของผู้ไม่หวังดี และก่อให้เกิดความเสี่ยงอย่างมากต่อหน่วยงานรัฐบาลกลาง" "ขอให้ใช้มาตรการลดผลกระทบ ตามคำแนะนำของผู้ผลิต ปฏิบัติตามคำแนะนำ BOD 22-01 ที่เกี่ยวข้องสำหรับบริการคลาวด์ หรือยุติการใช้งานผลิตภัณฑ์หากไม่มีมาตรการลดผลกระทบ"

ถูกนำไปใช้ในการโจมตีตั้งแต่เดือนตุลาคมที่ผ่านมา

Broadcom พบว่า CVE-2025-41244 ถูกใช้ประโยชน์ในการโจมตีจริงแล้วในวันนี้ ซึ่งเป็นเวลาหนึ่งเดือนหลังจากที่ Maxime Thiebaut จาก NVISO บริษัทความปลอดภัยทางไซเบอร์ของยุโรป รายงานว่า UNC5174 ซึ่งเป็นกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลจีน ได้ใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีมาตั้งแต่กลางเดือนตุลาคม 2024

ในขณะนั้น Thiebaut ยังได้เผยแพร่ PoC code ซึ่งแสดงให้เห็นว่า CVE-2025-41244 สามารถถูกใช้ในการโจมตีเพื่อยกระดับสิทธิ์บนระบบที่ใช้ VMware Aria Operations (ใน credential-based mode) และ VMware Tools (ใน credential-less mode) ที่มีช่องโหว่ได้อย่างไร ซึ่งท้ายที่สุดทำให้ผู้โจมตีสามารถสั่งรันโค้ดในระดับ root บน VM ได้

นักวิเคราะห์ความปลอดภัยของ Google Mandiant ซึ่งระบุว่า UNC5174 ได้รับการสนับสนุนจากกระทรวงความมั่นคงแห่งรัฐ (MSS) ของจีน สังเกตเห็นกลุ่มผู้โจมตีนี้ขายสิทธิ์การเข้าถึงเครือข่ายของผู้รับเหมาด้านกลาโหมของสหรัฐฯ หน่วยงานรัฐบาลของสหราชอาณาจักร และสถาบันต่าง ๆ ในเอเชีย ในช่วงปลายปี 2023 หลังจากการโจมตีที่ใช้ประโยชน์จากช่องโหว่ F5 BIG-IP remote code execution (CVE-2023-46747)

ในเดือนกุมภาพันธ์ 2024 UNC5174 ยังได้ใช้ประโยชน์จากช่องโหว่ ConnectWise ScreenConnect (CVE-2024-1709) เพื่อเจาะระบบสถาบันหลายร้อยแห่งในสหรัฐฯ และแคนาดา และในเดือนพฤษภาคม ก็มีความเชื่อมโยงกับการโจมตีที่ใช้ช่องโหว่ NetWeaver สำหรับการอัปโหลดไฟล์โดยไม่ผ่านการยืนยันตัวตน (CVE-2025-31324) ซึ่งช่วยให้ผู้โจมตีสามารถสั่งรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ NetWeaver Visual Composer ที่ยังไม่ได้อัปเดตแพตช์

ตั้งแต่ต้นปีที่ผ่านมา Broadcom ได้แก้ไขช่องโหว่ zero-day ของ VMware อื่น ๆ ที่ถูกโจมตีอย่างต่อเนื่อง อีก 3 รายการ (CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226) ที่ถูกรายงานโดย Microsoft Threat Intelligence Center และได้ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูงของ VMware NSX อีก 2 รายการ (CVE-2025-41251 และ CVE-2025-41252) ที่รายงานโดยสำนักงานความมั่นคงแห่งชาติของสหรัฐฯ (NSA)

 

ที่มา : bleepingcomputer.

Broadcom ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การข้ามการยืนยันตัวตน ที่มีความรุนแรงระดับ High ใน VMware Tools for Windows

VMware Tools เป็นชุด drivers และ utilities ที่ออกแบบมาเพื่อปรับปรุงประสิทธิภาพ กราฟิก และการทำงานร่วมกัน สำหรับระบบปฏิบัติการที่ทำงานใน VMware virtual machines

โดยช่องโหว่นี้ (CVE-2025-22230) เกิดจากช่องโหว่ improper access control และถูกรายงานโดย Sergey Bliznyuk จากบริษัท Positive Technologies (บริษัทความปลอดภัยทางไซเบอร์ของรัสเซียที่ถูกคว่ำบาตร และถูกกล่าวหาว่าขาย hacking tools)

โดยช่องโหว่นี้ทำให้ผู้โจมตีที่เข้าถึงระบบได้ในระดับ Local ด้วยสิทธิ์ระดับต่ำก็สามารถใช้ช่องโหว่นี้ในการโจมตีได้ ด้วยการโจมตีที่มีความซับซ้อนต่ำ และไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้เพื่อยกระดับสิทธิ์เป็นสิทธิ์สูงบน VM ที่มีช่องโหว่

VMware ระบุใน Security Advisory ที่เผยแพร่เมื่อวันอังคารที่ 25 มีนาคมว่า "ผู้ไม่หวังดีที่มีสิทธิ์ระดับต่ำบน Windows Guest VM อาจสามารถดำเนินการบางอย่างที่ต้องใช้สิทธิ์ระดับสูงภายใน VM นั้นได้"

เมื่อต้นเดือนที่ผ่านมา Broadcom ยังได้แก้ไขช่องโหว่ zero days ของ VMware จำนวน 3 รายการ (CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226) ซึ่งถูกระบุว่า กำลังถูกใช้ในการโจมตีจริง และได้รับรายงานจาก Microsoft Threat Intelligence Center

ตามที่บริษัทได้อธิบายไว้ในขณะนั้น ผู้โจมตีที่มีสิทธิ์ระดับ Administrator หรือ Root สามารถใช้ช่องโหว่เหล่านี้ เพื่อ escape ออกจาก sandbox ของ virtual machine ได้

หลังจากมีการออกแพตช์แก้ไขไม่กี่วัน แพลตฟอร์มการตรวจสอบภัยคุกคาม Shadowserver พบว่า มีเซิร์ฟเวอร์ VMware ESXi ที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ตมากกว่า 37,000 เครื่องที่มีความเสี่ยงต่อการถูกโจมตีจาก CVE-2025-22224

โดยกลุ่มแรนซัมแวร์ และแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ มักมุ่งเป้าโจมตีช่องโหว่ของ VMware เนื่องจากผลิตภัณฑ์ของ VMware ถูกใช้กันอย่างแพร่หลายในองค์กรต่าง ๆ สำหรับจัดเก็บ หรือถ่ายโอนข้อมูลสำคัญของบริษัท

ตัวอย่างเช่น ในเดือนพฤศจิกายน Broadcom ได้เตือนว่าผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ VMware vCenter Server สองรายการ ได้แก่ ช่องโหว่การยกระดับสิทธิ์เป็น Root (CVE-2024-38813) และช่องโหว่ระดับ Critical ที่ทำให้สามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (CVE-2024-38812) ซึ่งช่องโหว่ดังกล่าวถูกค้นพบระหว่างการแข่งขันโจมตี Matrix Cup 2024 ของประเทศจีน

ในเดือนมกราคม 2024 Broadcom ยังเปิดเผยอีกว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนได้ใช้ช่องโหว่ zero-day ระดับ Critical ของ vCenter Server (CVE-2023-34048) ตั้งแต่ปลายปี 2021 เพื่อติดตั้ง Backdoor "VirtualPita" และ "VirtualPie" บนระบบ ESXi ที่มีช่องโหว่

ที่มา : bleepingcomputer.