VMware ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ VMware vCenter Server ระดับ Critical ซึ่งยังไม่ได้รับการแก้ไขอย่างถูกต้องในแพตช์แรกเมื่อเดือนกันยายน 2024 (more…)
VMware แก้ไขช่องโหว่ RCE ระดับ Critical ของ vCenter Server
Broadcom แก้ไขช่องโหว่ RCE ระดับ Critical ใน VMware vCenter Server
Broadcom ได้แก้ไขช่องโหว่ระดับ Critical ใน VMware vCenter Server ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบน server ที่มีช่องโหว่ผ่านทาง network packet ได้
vCenter Server เป็น central management hub สำหรับ vSphere ของ VMware ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ และตรวจสอบ virtualized infrastructure ได้
CVE-2024-38812 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ heap overflow ในการใช้งาน DCE/RPC protocol ของ vCenter โดยการส่ง network packet ที่ถูกสร้างขึ้นมาเป็นพิเศษ ทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล โดยส่งผลกระทบต่อผลิตภัณฑ์ที่มี vCenter รวมถึง VMware vSphere และ VMware Cloud Foundation ช่องโหว่ถูกค้นพบโดย นักวิจัยด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน Hack รายการ Matrix Cup 2024 ของจีน
ปัจจุบันทาง VMware ได้ออกอัปเดตผ่าน vCenter Server update แล้ว จึงแนะนำให้ผู้ดูแลทำการอัปเดตโดยด่วน
ยังไม่พบการโจมตีช่องโหว่ CVE-2024-38812
Broadcom ระบุว่า ยังไม่พบหลักฐานว่าช่องโหว่ CVE-2023-34048 ได้ถูกนำไปใช้ในการโจมตีในปัจจุบัน
แต่ทั้งนี้ผู้ดูแลระบบที่ไม่สามารถทำการอัปเดตด้านความปลอดภัยได้ทันที ควรควบคุมการเข้าถึง network perimeter ไปยัง vSphere management interfaces อย่างเข้มงวด รวมถึง storage และ network components เนื่องจากยังไม่มีแนวทางแก้ไขเบื้องต้นอย่างเป็นทางการสำหรับช่องโหว่นี้
รวมถึง VMware ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ privilege escalation ความรุนแรงระดับ High (CVE-2024-38813) ที่ทำให้ Hacker สามารถใช้ในการโจมตีเพื่อรับสิทธิ์ root บน server ที่มีช่องโหว่ผ่าน network packet ที่ถูสร้างขึ้นมาเป็นพิเศษ
ในเดือนมิถุนายน 2024 ได้มีการแก้ไขช่องโหว่ vCenter Server remote code execution ในลักษณะคล้ายกัน (CVE-2024-37079) ซึ่งสามารถถูกใช้โจมตีผ่าน network packet ที่ถูกสร้างขึ้นมาเป็นพิเศษได้
ในเดือนมกราคม 2024 Broadcom ได้เปิดเผยว่ากลุ่ม Hacker ชาวจีนได้ใช้ช่องโหว่ vCenter Server (CVE-2023-34048) ในการโจมตีแบบ zero-day มาตั้งแต่ช่วงปลายปี 2021 เป็นอย่างน้อย
กลุ่ม Hacker ชาวจีน (ถูกติดตามโดยบริษัทด้านความปลอดภัย Mandiant ในชื่อ UNC3886) ใช้ช่องโหว่นี้เพื่อเจาะ vCenter server ที่มีช่องโหว่เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ผ่านทาง vSphere Installation Bundles (VIB) ที่สร้างขึ้น
ที่มา : bleepingcomputer.
เตือนภัยช่องโหว่ร้ายแรงใน VMware vCenter Server มี POC และการสแกนหาเครื่องที่มีช่องโหว่แล้ว
เมื่อวันที่ 23 กุมภาพันธ์ 2021 ที่ผ่านมา VMware ออกแพตช์ให้กับ VMware vCenter Server (vCenter Server) เพื่อแก้ไขช่องโหว่ร้ายแรง CVE-2021-21972 ซึ่งทำให้ผู้โจมตีสามารถส่งคำสั่งอันตรายมาจากระยะไกลผ่านพอร์ต Hโดยที่ไม่ต้องยืนยันตัวตนเพื่อทำการรันบนระบบปฏิบัติการณ์ของเครื่องที่มี vCenter Server ได้
โดยหลังจากการประกาศแพตช์ช่องโหว่ดังกล่าวเพียงวันเดียวก็มีการเผยแพร่ POC ของช่องโหว่ดังกล่าวทันที ทำให้เกิดการสแกนหาเครื่องที่มีช่องโหว่ตามมา ซึ่งจากการค้นหาผ่าน shodan.
VMware Releases Security Updates for Multiple Products
VMware ออกเเพตซ์แก้ไขช่องโหว่ระดับ Critical จำนวน 6 รายการในผลิตภัณฑ์ ESXi, Workstation, Fusion และ NSX-T
VMware ได้ประกาศออกเเพตซ์แก้ไขช่องโหว่ระดับ Critical จำนวน 6 ช่องโหว่ในผลิตภัณฑ์ ESXi, Workstation, Fusion และ NSX-T โดยจาก 6 ช่องโหว่นี้ มีช่องโหว่ที่น่าสนใจคือ
ช่องโหว่ CVE-2020-3992 (CVSSv3: 9.8/10) เป็นช่องโหว่ประเภท use-after-free ที่ส่งผลกระทบต่อบริการ OpenSLP ใน ESXi โดยช่องโหว่นี้จะสามารถอนุญาตให้ผู้โจมตีจากระยะไกลเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต ทั้งนี้ผู้โจมตีที่จะสามารถใช้ประโยชน์ช่องโหว่นี้ได้ต้องอยู่ในเครือข่ายการจัดการและต้องสามารถเข้าถึงพอร์ต 427 บนเครื่อง ESXi ได้จึงจะสามารถช้ประโยชน์จากช่องโหว่ได้
ช่องโหว่ CVE-2020-3993 (CVSSv3: 7.5/10) เป็นช่องโหว่ที่เกิดจากการที่โฮสต์ KVM อนุญาตให้ดาวน์โหลดและติดตั้งแพ็กเกจจาก NSX manager ด้วยข้อบกพร่องนี้อาจทำให้ผู้โจมตีสามารถทำการ Man-in-the-middle attack (MitM) เพื่อโจมตี Transport Node
ช่องโหว่ CVE-2020-3994 (CVSSv3: 7.5/10) เป็นช่องโหว่ที่ทำให้สามารถ hijack เซสชัน vCenter Server ในฟังก์ชันของการอัปเดต
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อทำการเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ
ที่มา : securityaffairs | vmware
ช่องโหว่ CVE-2020-3952 ระดับ ‘Critical’ อาจทำให้ผู้โจมตีแฮกเข้าถึงข้อมูลการตั้งค่า VMware vCenter Server ได้
VMware ได้เปิดเผยถึงช่องโหว่ CVE-2020-3952 ที่เป็นช่องโหว่บนเซอร์วิส VMware Directory Service (vmdir) ซึ่งทำให้สามารถถูกโจมตี vCenter Server หรือบริการอื่นๆ ที่ใช้เซอร์วิส vmdir สำหรับการตรวจสอบความถูกต้อง
ช่องโหว่ CVE-2020-3952 (CVSSv3: 10) เป็นปัญหาจากเซอร์วิส vmdir บน VMware vCenter Server ที่เป็นส่วนหนึ่งของ Embedded หรือ Platform Services Controller (PSC) ไม่สามารถเข้าถึงการควบคุมได้อย่างถูกต้องภายใต้เงื่อนไขบางประการ
ผู้โจมตีที่สามารถเข้าถึงเครือข่ายและใช้ช่องโหว่บนเซอร์วิส vmdir อาจจะสามารถได้รับข้อมูลที่ละเอียดอ่อนเพื่อใช้แทรกแซงและโจมตี vCenter Server หรือบริการอื่นๆ ที่ใช้ vmdir ในการตรวจสอบข้อมูลความถูกต้อง
รุ่นที่ได้รับผลกระทบ
รุ่นที่ได้รับผลกระทบนั้นอยู่ใน vCenter Server เวอร์ชัน 6.7 ก่อนเวอร์ชัน 6.7u3f บน Windows และ Virtual Appliance ที่ได้ทำการอัปเดตจากรุ่นก่อนหน้านี้เช่น 6.0 หรือ 6.5 การติดตั้ง vCenter Server เวอร์ชัน 6.7 ใหม่ทั้งหมดตั้งเเต่ต้นจะไม่ได้รับผลกระทบ
การเเก้ไข
VMware เปิดให้แก้ไขช่องโหว่ดังกล่าวแล้วใน vCenter Server เวอร์ชัน 6.7u3f แนะนำผู้ใช้งานควรรีบอัพเดตแพตช์
ที่มา: threatpost
VMWARE PATCHES BUG THAT ALLOWS GUEST TO EXECUTE CODE ON HOST
ผู้ใช้ที่ใช้งาน VMware ได้แก่ ESXi, vCenter Server, Fusion และ Workstation แนะนำให้ทำการอัพเดทเพื่อปรับปรุง และแก้ไขปัญหาช่องโหว่ต่างๆที่พบ
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ Out-of-bounds ที่เกิดจากการเขียนข้อมูล ส่งผลกระทบกับ ESXi, desktop hypervisors Workstation และ Fusion ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาที่มีอยู่ในอุปกรณ์ SVGA เพื่อรันโค้ดบนเครื่องโฮสต์ได้ ช่องโหว่ CVE-2017-4924 นี้ถูกค้นพบโดยนักวิจัย Nico Golde และ Ralf-Philipp Weinmann จาก Comsecuris UG ซึ่งกระทบต่อเวอร์ชัน 6.5 ของ ESXi และไม่ส่งผลต่อเวอร์ชัน 6.0 และ 5.5 นอกจากนี้ยังมีผลกระทบต่อเวอร์ชัน 12.x ของ Workstation และเวอร์ชัน 8.x ของ Fusion และถูกจัดเป็นช่องโหว่ระดับรุนแรง(Critical) เนื่องจากผู้โจมตีสามารถใช้ช่องโหว่ในการสั่งรันโค้ด และทำให้เครื่องเกิดการ Crash ได้
ช่องโหว่ระดับความรุนแรงปานกลางมีผลกระทบต่อเวอร์ชัน 6.5, 6.0 และ 5.5 ของ ESXi, เวอร์ชัน 12.x ของ Workstation และ 8.x ของ Fusion ซึ่งควรถูกแพทช์เพื่อปิดช่องโหว่ เนื่องจากยังไม่มีวิธีใดที่สามารถหลีกเลี่ยงช่องโหว่ดังกล่าวได้ และช่องโหว่สุดท้ายที่ VMware เตือนเมื่อวันศุกร์มีผลต่อ vCenter Server ซึ่งเป็นแพลตฟอร์มที่ออกแบบมาเพื่อช่วยผู้ใช้ในการจัดการ vSphere ผู้โจมตีที่มีสิทธิ์ของผู้ใช้เป็น VC สามารถรัน JavaScript ที่เป็นอันตรายและใช้ช่องโหว่ cross-site scripting ใน HTML5. ช่องโหว่นี้มีผลกระทบต่อ vCenter Server เวอร์ชั่น 6.5 ที่เป็น Windows เท่านั้น โดยผู้ใช้ควรอัพเดตเป็นเวอร์ชัน 6.5 U1
ที่มา : threatpost