กลุ่มผู้โจมตีได้ดำเนินการแพร่กระจายโปรแกรม KeePass เวอร์ชันที่ถูกฝังมัลแวร์ (Trojanized versions) มาแล้วอย่างน้อย 8 เดือน โดยมีเป้าหมายเพื่อติดตั้ง Cobalt Strike beacons, โจรกรรมข้อมูล Credentials และในท้ายที่สุดคือการติดตั้งแรนซัมแวร์ลงในระบบเครือข่ายที่เข้าถึงได้

ทีมข่าวกรองภัยภัยคุกคาม (Threat Intelligence) จาก WithSecure ได้ตรวจพบแคมเปญนี้ระหว่างการสืบสวนการโจมตีด้วยแรนซัมแวร์ โดยพบว่าการโจมตีเริ่มต้นจากโปรแกรมติดตั้ง KeePass ที่ถูกฝังมัลแวร์ผ่านการโฆษณาจาก Bing (Search Engine) ที่นำผู้ใช้งานไปยังเว็บไซต์ปลอม

เนื่องจาก KeePass เป็นซอฟท์แวร์แบบ Open-Source ผู้โจมตีจึงสามารถแก้ไข Source code และสร้างเวอร์ชันที่ฝังมัลแวร์เอาไว้ได้ ชื่อว่า KeeLoader ซึ่งมีฟังก์ชันการใช้งานตามรูปแบบปกติของโปรแกรมจัดการรหัสผ่าน แต่จะมี Cobalt Strike beacon ที่คอยดึงข้อมูลรหัสผ่านจากฐานข้อมูลในรูปแบบข้อความ (Cleartext) ก่อนจะส่งผ่านออกมาทาง Beacon

WithSecure ระบุว่า Cobalt Strike beacon ที่ถูกใช้ในแคมเปญนี้มีลักษณะรูปแบบการโจมตีเฉพาะ (Watermark) ที่เชื่อมโยงกับกลุ่ม Initial Access Broker (IAB) ที่เชื่อกันว่ามีความเกี่ยวข้องกับการโจมตีของกลุ่มแรนซัมแวร์ Black Basta ในอดีต

Cobalt Strike watermark คือรหัสเฉพาะที่ฝังอยู่ใน Beacon เพื่อตรวจสอบการสร้าง Payload

รายงานจาก WithSecure ระบุว่า "Watermark นี้จะถูกระบุในบริบทของ Beacons และ โดนเมนที่เกี่ยวข้องกับกลุ่มแรนซัมแวร์ Black Basta อยู่บ่อยครั้ง โดยมีความเป็นไปได้ว่าถูกใช้โดยกลุ่มผู้โจมตีในลักษณะ IAB ที่มีความร่วมมือใกล้ชิดกับกลุ่ม Black Basta"

"ถึงแม้ว่ายังไม่เคยพบเหตุการณ์ความเสียหาย (แรนซัมแวร์ หรืออื่น ๆ) ที่ใช้งาน Cobalt Strike beacon watermark นี้ ก็ไม่ได้หมายความว่าเหตุการณ์ดังกล่าวจะยังไม่เคยเกิดขึ้น"

นักวิจัยได้ค้นพบว่ามี KeeLoader หลายเวอร์ชันถูก signed ด้วย ceritficate ที่ถูกต้อง (Signed with Legitimate Certificates) และถูกเผยแพร่ผ่านโดเมนปลอมที่อาศัยช่องโหว่จากการพิมพ์ผิดบางตัวอักษร (Typo-Squatting) เช่น keeppaswrd[.]com, keegass[.]com และ KeePass[.]me

BleepingComputer ได้มีการยืนยันแล้วว่า เว็บไซต์ปลอม keeppaswrd[.]com ยังคงเปิดให้บริการดาวน์โหลดโปรแกรมติดตั้ง KeePass ที่ฝังมัลแวร์ไว้จนถึงปัจจุบัน อ้างอิง [VirusTotal]

โปรแกรม KeePass ปลอมนี้ ไม่ได้ถูกฝังเพียงมัลแวร์ Cobalt Strike beacons เท่านั้น แต่ยังติดตั้งโปรแกรมโจรกรรมรหัสผ่าน ซึ่งทำให้ผู้โจมตีสามารถโจรกรรมข้อมูล Credentials ที่ถูกกรอกเข้าสู่โปรแกรมได้อีกด้วย

จาก Report ของ WithSecure ยังระบุอีกว่า "KeeLoader ไม่ได้ถูกดัดแปลงให้ทำหน้าที่เป็นโปรแกรมตัวกลางสำหรับดาวน์โหลดมัลแวร์ (Malware Loader) เท่านั้น แต่ยังมีความสามารถในการโจรกรรม นำข้อมูลออกจากฐานของมูลของ KeePass ได้ด้วย"

"ซึ่งเมื่อผู้ใช้งานดำเนินการเข้าถึงฐานข้อมูลบน KeePass ข้อมูลชื่อบัญชี, ชื่อผู้ใช้งาน, รหัสผ่าน, เว็บไซต์ และข้อความที่บันทึกไว้ (Comment) จะถูกบันทึกออกมาเป็นไฟล์รูปแบบ CSV ซึ่งจะถูกเก็บไว้ชั่วคราวที่ %localappdata% นามสกุล .kp โดยมีตัวเลขที่สุ่มขึ้นในช่วงของ 100-999 กำกับไว้"

ในท้ายที่สุดแล้วนั้น จากการสืบสวนสอบสวนโดย WithSecure พบว่า แรนซัมแวร์สามารถเข้ารหัสเซิร์ฟเวอร์ VMware ESXi ของบริษัทได้

และจากข้อมูลการสืบสวนสอบสวนเพิ่มเติมในแคมเปญ ยังพบว่ามีการสร้างโครงสร้างพื้นฐานขนาดใหญ่ (Extensive Infrastructure) เพื่อใช้ในการปลอมแปลง และแพร่กระจายโปรแกรมที่ฝังมัลแวร์เหล่านี้ ผ่านเครื่องมือต่าง ๆ รวมทั้งหน้าเว็บไซต์ฟิชชิ่ง (Phishing) ที่ออกแบบมาเพื่อโจรกรรมข้อมูล Credentials อีกด้วย

ซึ่งหนึ่งในโดเมนที่ถูกใช้งานคือ anys[.]com ที่ถูกใช้เป็นโฮสต์สำหรับโดเมนย่อย (Subdomains) ในการปลอมเป็นเว็บไซต์ของบริษัทหรือบริการที่น่าเชื่อถือต่าง ๆ เช่น WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank และ DEX Screener

โดยแต่ละโดเมนย่อยนั้นจะถูกใช้เพื่อแพร่กระจายมัลแวร์หลากหลายชนิด หรือเพื่อโจรกรรมข้อมูล Credentials จากเหยื่อ

WithSecure ได้ระบุว่า กิจกรรมนี้มีความเชื่อมโยงกับกลุ่มผู้โจมตี UNC4696 ซึ่งเคยถูกระบุว่ามีส่วนเกี่ยวข้องกับการโจมตีผ่านหลายแคมเปญ Nitrogen Loader มาก่อน และแคมเปญของ Nitrogen ก็ยังมีความเชื่อมโยงกับกลุ่มแรนซัมแวร์ BlackCat/ALPHV อีกด้วย

คำแนะนำ

ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ที่เป็นทางการ หรือแหล่งที่น่าเชื่อถือเท่านั้น โดยเฉพาะอย่างยิ่งซอฟต์แวร์ที่เกี่ยวข้องกับข้อมูลที่มีความสำคัญ เช่น Password Manager
หลีกเลี่ยงการคลิกลิงก์จากโฆษณา ถึงแม้ว่าโฆษณาดูเหมือนจะแสดง URL ที่ถูกต้องก็ตาม เนื่องจากผู้โจมตีสามารถหลบเลี่ยงนโยบายของแพลตฟอร์มโฆษณา และเปลี่ยนปลายทาง (Redirect) ไปยังเว็บไซต์ปลอมได้

 

ที่มา: bleepingcomputer.

ปัจจุบันกลุ่ม Ransomware กำลังมีการปรับโครงสร้างใหม่ โดยกลุ่ม Ransomware ในชื่อ DragonForce กำลังจัดตั้งกลุ่ม operations ย่อยต่าง ๆ ภายใต้โครงสร้างของกลุ่ม DragonForce Ransomware

DragonForce ได้เชิญชวนให้กลุ่ม Hacker และกลุ่ม Ransomware ต่าง ๆ มาร่วมเป็นพันธมิตร ทำให้สามารถดำเนินการในรูปแบบ Ransomware-as-a-service (RaaS) โดยที่ไม่จำเป็นต้องรับภาระทางด้านต้นทุนในการโจมตี และการบำรุงรักษาโครงสร้างพื้นฐาน (more…)

พบการโจมตีของ ransomware-as-a-service (RaaS) ตัวใหม่ที่ชื่อ VanHelsing โดยกำหนดเป้าหมายไปที่ระบบ Windows, Linux, BSD, ARM และ ESXi

โดย VanHelsing ได้รับการโปรโมตบนแพลตฟอร์มใต้ดินของอาชญากรรมไซเบอร์เป็นครั้งแรกเมื่อวันที่ 7 มีนาคม 2025 โดยเปิดให้ผู้โจมตีที่มีประสบการณ์เข้าร่วมฟรี ในขณะที่ผู้โจมตีที่มีประสบการณ์น้อยกว่าต้องวางเงินมัดจำ 5,000 ดอลลาร์

การทำงานของแรนซัมแวร์ตัวใหม่นี้ถูกรายงานครั้งแรกโดย CYFIRMA เมื่อสัปดาห์ที่แล้ว ในขณะที่ Check Point Research ได้เผยแพร่การวิเคราะห์เชิงลึกเพิ่มเติมเมื่อวันที่ 23 มีนาคม 2025

ภายในแรนซัมแวร์ VanHelsing

นักวิเคราะห์จาก Check Point รายงานว่า VanHelsing เป็นโครงการอาชญากรรมไซเบอร์จากรัสเซียที่ห้ามไม่ให้โจมตีระบบภายในประเทศ CIS (Commonwealth of Independent States)

โดยในส่วนของกลุ่มพันธมิตรที่นำ ransomware-as-a-service (RaaS) ไปใช้ จะได้รับอนุญาตให้เก็บเงินค่าไถ่ได้ 80% ในขณะที่ผู้ดำเนินการจะได้รับส่วนแบ่ง 20% และการชำระเงินจะถูกจัดการผ่าน escrow system ในรูปแบบอัตโนมัติที่ใช้ two blockchain confirmations เพื่อความปลอดภัย

กลุ่มพันธมิตรที่ได้รับการยอมรับจะได้รับสิทธิ์ในการเข้าถึง panel ที่มีการทำงานในรูปแบบอัตโนมัติ และยังได้รับการสนับสนุนโดยตรงจากทีมพัฒนา

ไฟล์ที่ถูกขโมยจากเครือข่ายของเหยื่อจะถูกจัดเก็บไว้บน VanHelsing operation servers ซึ่งทีมพัฒนาหลักอ้างว่าพวกเขาทำการทดสอบการเจาะระบบเป็นประจำเพื่อให้แน่ใจถึงความปลอดภัยระดับสูง และความน่าเชื่อถือของระบบ

ปัจจุบัน extortion portal ของ VanHelsing บน Dark Web ซึ่งระบุว่ามีเป้าหมาย 3 ราย โดยสองรายอยู่ในสหรัฐอเมริกา และอีกหนึ่งรายในฝรั่งเศส โดยหนึ่งในเป้าหมายคือ เมืองในรัฐเท็กซัส ส่วนอีกสองรายคือ บริษัทเทคโนโลยี

ตัวอย่างข้อมูลที่กลุ่มแรนซัมแวร์ขู่จะปล่อยไฟล์ที่ขโมยมาในไม่กี่วันข้างหน้าหากไม่เป็นไปตามข้อเรียกร้องในการเรียกค่าไถ่ ซึ่งจากการตรวจสอบของ Check Point การเรียกค่าไถ่อยู่ที่ 500,000 ดอลลาร์

Stealth mode

แรนซัมแวร์ VanHelsing เขียนด้วยภาษา C++ และมีหลักฐานที่แสดงให้เห็นว่ามีการโจมตีครั้งแรกเมื่อ 16 มีนาคม 2025

VanHelsing ใช้อัลกอริธึม ChaCha20 สำหรับการเข้ารหัสไฟล์ โดยสร้าง 32-byte (256-bit) symmetric key และ 12-byte nonce สำหรับแต่ละไฟล์

จากนั้นค่านี้จะถูกเข้ารหัสด้วย Curve25519 public key ที่ฝังไว้ และในส่วนของคู่ encrypted key/nonce จะถูกเก็บไว้ในไฟล์ที่ถูกเข้ารหัส

VanHelsing เข้ารหัสไฟล์ที่มีขนาดใหญ่กว่า 1GB เพียงบางส่วน แต่จะดำเนินการเข้ารหัสทั้งหมดในไฟล์ที่มีขนาดเล็กกว่า

มัลแวร์นี้รองรับการปรับแต่ง CLI ที่หลากหลายเพื่อปรับแต่งการโจมตีให้สอดคล้องกับแต่ละเป้าหมาย เช่น การโจมตีไดรฟ์ และโฟลเดอร์เฉพาะ, การจำกัดขอบเขตของการเข้ารหัส, การแพร่กระจายผ่าน SMB, การ skipping การลบ Shadow Copies และการเปิดใช้งาน two-phase stealth mode

ในโหมดการเข้ารหัสแบบปกติ VanHelsing จะทำการตรวจสอบไฟล์ และโฟลเดอร์ รวมถึงทำการเข้ารหัสเนื้อหาของไฟล์ และทำการเปลี่ยนชื่อไฟล์ที่เข้ารหัสโดยการเพิ่มนามสกุล ".vanhelsing"

โดย Stealth mode แรนซัมแวร์จะแยกการเข้ารหัสออกจากการเปลี่ยนชื่อไฟล์ ซึ่งมีแนวโน้มที่จะทำให้เกิดการแจ้งเตือนน้อยลง เนื่องจากรูปแบบ I/O ของไฟล์เลียนแบบพฤติกรรมปกติของระบบ

แม้ว่า security tools จะตอบสนองในช่วงเริ่มต้นของขั้นตอนการเปลี่ยนชื่อ แต่ในครั้งถัดไป ชุดข้อมูลที่ถูกโจมตีทั้งหมดจะถูกเข้ารหัสไปแล้ว

แม้ว่า VanHelsing จะดูเหมือนเป็นแรนซัมแวร์ที่มีความซับซ้อน และพัฒนาอย่างรวดเร็ว แต่ Check Point ก็สังเกตเห็นช่องโหว่บางอย่างที่แสดงให้เห็นถึงความไม่สมบูรณ์ของโค้ด

ช่องโหว่อาทิ เช่น ข้อมูลไม่ตรงกันของนามสกุลไฟล์, ช่องโหว่ใน logic ของรายการที่มีการยกเว้น ซึ่งอาจทำให้เกิดการเข้ารหัสซ้ำ และบางคำสั่งที่ยังไม่ได้ implement

แม้ว่าจะมีช่องโหว่เหล่านี้เกิดขึ้น แต่ VanHelsing ยังคงเป็นภัยคุกคามที่น่ากังวล และดูเหมือนว่าจะเริ่มได้รับความสนใจในเร็ว ๆ นี้

ที่มา : bleepingcomputer.

พบกลุ่ม Ransomware ที่กำลังมุ่งเป้าหมายการโจมตีไปยัง Hypervisors ของ ESXi โดยใช้ SSH tunneling เพื่อเข้าถึง และแฝงตัวในระบบของเป้าหมายได้โดยไม่ถูกตรวจจับ (more…)

แรนซัมแวร์ Black Basta เวอร์ชัน Linux กำหนดเป้าหมายเซิร์ฟเวอร์ VMware ESXi

Black Basta เป็นแรนซัมแวร์ตัวล่าสุดที่เพิ่มการเข้ารหัส VMware ESXi virtual machine (VMs) ที่ทำงานบนเซิร์ฟเวอร์ Linux ขององค์กร

กลุ่มแรนซัมแวร์ส่วนใหญ่กําลังมุ่งเน้นไปที่การโจมตี ESXi VMs เนื่องจากวิธีการนี้สอดคล้องกับการกําหนดเป้าหมายในลักษณะองค์กร เนื่องจากทำให้สามารถใช้ประโยชน์จากการเข้ารหัสเซิร์ฟเวอร์หลายเครื่องได้เร็วขึ้นด้วยคําสั่งเพียงครั้งเดียว

การเข้ารหัสของแรนซัมแวร์กับ VM นั้นได้ผลเป็นอย่างมาก เนื่องจากหลายบริษัทมีการย้ายระบบไปยัง virtual machine เนื่องจากช่วยให้จัดการอุปกรณ์ได้ง่ายขึ้น และใช้ทรัพยากรอย่างมีประสิทธิภาพมากขึ้น

กลุ่มแรนซัมแวร์ Black Basta มุ่งเป้าไปที่เซิร์ฟเวอร์ ESXi (more…)

Ransomware BlackMatter เวอร์ชัน Linux มุ่งเป้าโจมตีไปยัง VMWare ESXi

กลุ่ม BlackMatter ได้เข้าร่วมกลุ่มปฏิบัติการแรนซัมแวร์เพื่อพัฒนาตัวเข้ารหัสเวอร์ชัน Linux ที่กำหนดเป้าหมายไปยัง VMWare ESXi
องค์กรมีการเปลี่ยนไปใช้ Virtual Machine สำหรับเซิร์ฟเวอร์ของตนมากขึ้นเรื่อยๆ เพื่อการจัดการทรัพยากรที่ดีขึ้นและการกู้คืนระบบจากความเสียหาย เนื่องจาก VMware ESXi เป็นแพลตฟอร์ม Virtual Machine ที่ได้รับความนิยมมากที่สุด ทำให้ Ransomware ส่วนใหญ่เริ่มพัฒนาตัวเข้ารหัสที่มุ่งเป้าโจมตีไปที่ Virtual Machine กันมากขึ้น

BlackMatter มุ่งเป้าไปที่ VMware ESXi
เมื่อวันที่ 4 สิงหาคมที่ผ่านมา นักวิจัยด้านความปลอดภัย MalwareHunterTeam พบตัวเข้ารหัส Linux ELF64 [VirusTotal] ของกลุ่มแรนซัมแวร์ BlackMatter ที่กำหนดเป้าหมายเซิร์ฟเวอร์ไปยัง VMware ESXi โดยเฉพาะ โดยดูจากฟังก์ชันของการทำงาน

BlackMatter เป็นปฏิบัติการแรนซัมแวร์ที่ค่อนข้างใหม่ ซึ่งเริ่มต้นเมื่อเดือนที่แล้ว และเชื่อว่าเป็นการรีแบรนด์ของ DarkSide หลังจากที่นักวิจัยพบตัวอย่าง ก็พบว่าการทำงานเข้ารหัสที่ใช้โดย Ransomware นั้นเป็นแบบเดียวกับที่ใช้ใน DarkSide

DarkSide ปิดตัวลงหลังจากโจมตี และปิดระบบท่อส่งน้ำมันโคโลเนียล จึงทำให้ถูกกดดัน และไล่ล่าอย่างหนักจากการบังคับใช้กฎหมายระหว่างประเทศ และรัฐบาลสหรัฐฯ

จากตัวอย่างตัวเข้ารหัส Linux ของ BlackMatter ที่ BleepingComputer ได้รับมา เป็นที่ชัดเจนว่าได้รับการออกแบบมาโดยเฉพาะเพื่อกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ VMWare ESXi

Vitali Kremez ผู้เชี่ยวชาญของบริษัท Intel ซึ่งได้ลองทดสอบด้วยการ Reverse Engineering ได้ให้ข้อมูลกับทาง BleepingComputer ว่าผู้โจมตีได้สร้างไลบรารี 'esxi_utils' ที่ใช้ในการดำเนินการต่างๆ บนเซิร์ฟเวอร์ VMware ESXiรูปที่ 1.1 ตัวอย่าง แต่ละฟังก์ชัน

รูปที่ 1.2 ตัวอย่าง ฟังก์ชัน stop_firewall()

ในขณะที่ฟังก์ชัน stop_vm() จะดำเนินการคำสั่ง esxcli ต่อไปนี้ รูปที่ 1.3 ตัวอย่าง ฟังก์ชัน stop_vm()

Ransomware ทั้งหมดที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ ESXi พยายามปิดเครื่องเสมือนก่อนที่จะเข้ารหัสไดรฟ์ เพื่อป้องกันข้อมูลเสียหายขณะเข้ารหัส

เมื่อ VM ทั้งหมดถูกปิด มันจะเข้ารหัสไฟล์ที่ตรงกับนามสกุลไฟล์เฉพาะตามการกำหนดค่าที่มาพร้อมกับ Ransomware

การกำหนดเป้าหมายเซิร์ฟเวอร์ ESXi นั้นมีประสิทธิภาพมากเมื่อทำการโจมตีโดยใช้ Ransomware เนื่องจากช่วยให้ผู้คุกคามสามารถเข้ารหัสเซิร์ฟเวอร์จำนวนมากพร้อมกันด้วยคำสั่งเดียว

เมื่อมีธุรกิจจำนวนมากที่ย้ายไปยังแพลตฟอร์มประเภทนี้สำหรับเซิร์ฟเวอร์ เราจะยังคงเห็นนักพัฒนาแรนซัมแวร์มุ่งเน้นไปที่เครื่อง Windows เป็นหลัก แต่ยังสร้างตัวเข้ารหัสเวอร์ชัน Linux โดยเฉพาะซึ่งมุ่งเป้าไปยัง ESXi

Emsisoft CTO Fabian Wosar บอกกับ BleepingComputer ว่าปฏิบัติการ Ransomware อื่นๆ เช่น REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle ได้สร้างตัวเข้ารหัสเวอร์ชัน Linux เพื่อจุดประสงค์นี้เช่นกัน

ที่มา : Bleepingcomputer

VMware ออกประกาศเมื่อกลางอาทิตย์ที่ผ่านมาเกี่ยวกับแพตช์ใหม่แก้ไขแพตช์ที่ไม่สมบูรณ์ของช่องโหว่ CVE-2020-3992 ซึ่งเป็นช่องโหว่ use-after-free ในเซอร์วิส OpenSLP ของ ESXi ซึ่งส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายได้โดยไม่ต้องพิสูจน์ตัวตน อย่างไรก็ตามการโจมตีช่องโหว่นี้ก็มีเงื่อนไขที่แฮกเกอร์จะต้องอยู่ใน management network และต้องเข้าถึงพอร์ต 427 ของ ESXi เพื่อทำการโจมตี

ช่องโหว่ดังกล่าวถูกค้นพบในเดือนกรกฎาคมที่ผ่านมาและได้ถูกแพตช์ไปแล้วในรอบแพตช์เดือนตุลาคม อย่างไรก็ตาม VMware ตรวจพบว่าแพตช์ดังกล่าวนั้นไม่สมบูรณ์ซึ่งอาจทำให้ความเสี่ยงที่จะถูกโจมตียังมีอยู่ VMware จึงได้มีการออกแพตช์ใหม่ให้แก่ ESXi 6.5, 6.7 และ 7.0 โดยสำหรับ VMware Cloud Foundation แพตช์กำลังอยู่ในช่วงดำเนินการเผยแพร่

นอกเหนือจากแพตช์แก้ของช่องโหว่ CVE-2020-3992 แล้ว ในประกาศของ VMware รหัส VMSA-2020-0023.1 นั้น ยังมีอีกช่องโหว่อีก 5 ช่องโหว่ที่มีการถูกแพตช์ด้วย ดูรายละเอียดเพิ่มเติมได้จาก : vmware

ที่มา: securityweek

VMware ออกเเพตซ์แก้ไขช่องโหว่ระดับ Critical จำนวน 6 รายการในผลิตภัณฑ์ ESXi, Workstation, Fusion และ NSX-T

VMware ได้ประกาศออกเเพตซ์แก้ไขช่องโหว่ระดับ Critical จำนวน 6 ช่องโหว่ในผลิตภัณฑ์ ESXi, Workstation, Fusion และ NSX-T โดยจาก 6 ช่องโหว่นี้ มีช่องโหว่ที่น่าสนใจคือ

ช่องโหว่ CVE-2020-3992 (CVSSv3: 9.8/10) เป็นช่องโหว่ประเภท use-after-free ที่ส่งผลกระทบต่อบริการ OpenSLP ใน ESXi โดยช่องโหว่นี้จะสามารถอนุญาตให้ผู้โจมตีจากระยะไกลเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต ทั้งนี้ผู้โจมตีที่จะสามารถใช้ประโยชน์ช่องโหว่นี้ได้ต้องอยู่ในเครือข่ายการจัดการและต้องสามารถเข้าถึงพอร์ต 427 บนเครื่อง ESXi ได้จึงจะสามารถช้ประโยชน์จากช่องโหว่ได้
ช่องโหว่ CVE-2020-3993 (CVSSv3: 7.5/10) เป็นช่องโหว่ที่เกิดจากการที่โฮสต์ KVM อนุญาตให้ดาวน์โหลดและติดตั้งแพ็กเกจจาก NSX manager ด้วยข้อบกพร่องนี้อาจทำให้ผู้โจมตีสามารถทำการ Man-in-the-middle attack (MitM) เพื่อโจมตี Transport Node
ช่องโหว่ CVE-2020-3994 (CVSSv3: 7.5/10) เป็นช่องโหว่ที่ทำให้สามารถ hijack เซสชัน vCenter Server ในฟังก์ชันของการอัปเดต
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อทำการเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : securityaffairs | vmware

VMware ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ใน ESXi และ vCenter
เพื่อแก้ไขช่องโหว่ CVE-2017-16544, CVE-2019-5531, CVE-2019-5532 และ CVE-2019-5534 แนะนำให้ผู้ใช้และผู้ดูแลระบบงานเข้าไปอ่าน VMware Security Advisory VMSA-2019-0013 และให้ทำการอัปเดตเพื่อแก้ไขปัญหาช่องโหว่เหล่านี้

ที่มา us-cert

ผู้ใช้ที่ใช้งาน VMware ได้แก่ ESXi, vCenter Server, Fusion และ Workstation แนะนำให้ทำการอัพเดทเพื่อปรับปรุง และแก้ไขปัญหาช่องโหว่ต่างๆที่พบ
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ Out-of-bounds ที่เกิดจากการเขียนข้อมูล ส่งผลกระทบกับ ESXi, desktop hypervisors Workstation และ Fusion ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาที่มีอยู่ในอุปกรณ์ SVGA เพื่อรันโค้ดบนเครื่องโฮสต์ได้ ช่องโหว่ CVE-2017-4924 นี้ถูกค้นพบโดยนักวิจัย Nico Golde และ Ralf-Philipp Weinmann จาก Comsecuris UG ซึ่งกระทบต่อเวอร์ชัน 6.5 ของ ESXi และไม่ส่งผลต่อเวอร์ชัน 6.0 และ 5.5 นอกจากนี้ยังมีผลกระทบต่อเวอร์ชัน 12.x ของ Workstation และเวอร์ชัน 8.x ของ Fusion และถูกจัดเป็นช่องโหว่ระดับรุนแรง(Critical) เนื่องจากผู้โจมตีสามารถใช้ช่องโหว่ในการสั่งรันโค้ด และทำให้เครื่องเกิดการ Crash ได้
ช่องโหว่ระดับความรุนแรงปานกลางมีผลกระทบต่อเวอร์ชัน 6.5, 6.0 และ 5.5 ของ ESXi, เวอร์ชัน 12.x ของ Workstation และ 8.x ของ Fusion ซึ่งควรถูกแพทช์เพื่อปิดช่องโหว่ เนื่องจากยังไม่มีวิธีใดที่สามารถหลีกเลี่ยงช่องโหว่ดังกล่าวได้ และช่องโหว่สุดท้ายที่ VMware เตือนเมื่อวันศุกร์มีผลต่อ vCenter Server ซึ่งเป็นแพลตฟอร์มที่ออกแบบมาเพื่อช่วยผู้ใช้ในการจัดการ vSphere ผู้โจมตีที่มีสิทธิ์ของผู้ใช้เป็น VC สามารถรัน JavaScript ที่เป็นอันตรายและใช้ช่องโหว่ cross-site scripting ใน HTML5. ช่องโหว่นี้มีผลกระทบต่อ vCenter Server เวอร์ชั่น 6.5 ที่เป็น Windows เท่านั้น โดยผู้ใช้ควรอัพเดตเป็นเวอร์ชัน 6.5 U1

ที่มา : threatpost