มีรายงานพบว่าแฮกเกอร์ได้เริ่มเริ่มทำการสแกนหาเซิร์ฟเวอร์ VMware vCenter ที่ไม่ได้รับการแพตช์ช่องโหว่การอัปโหลดไฟล์ ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2021-22005 เป็นช่องโหว่บน vCenter Server 6.7 และ 7.0 ที่ถูกติดตั้งด้วยค่า Configuration เริ่มต้น

ช่องโหว่ดังกล่าวได้รับการรายงานโดย George Noseevich และ Sergey Gerasimov จาก SolidLab LLC โดยทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายจากระยะไกลได้ โดยไม่ต้องมีการตรวจสอบสิทธิ์ของผู้ใช้งาน และ Interaction ใดๆจากฝั่งผู้ถูกโจมตีอีกด้วย

พบการสแกนหาช่องโหว่ เพียง 1 ชั่วโมงหลังจากที่มีการปล่อยแพตช์อัปเดต

แม้ว่าจะยังไม่มีโค้ดที่ใช้ในการโจมตีถูกปล่อยออกสู่สาธารณะ แต่บริษัท Bad Packets ได้รายงานการพบการสแกนหาช่องโหว่นี้จาก VMware Honeypots ที่บริษัทสร้างขึ้น เพียงแค่ 1 ชั่วโมงหลังจากการออกแพตช์อัปเดตจาก VMware

Bad Packets แจ้งผ่านทาง Twitter เมื่อไม่กี่วันก่อนว่าพวกเค้า พบการสแกนหาช่องโหว่ CVE-2021-22005 จาก IP ต้นทาง 116[.]48.233.234 โดยการสแกนนั้นหาช่องโหว่นั้นใช้ข้อมูลจาก Workaround ที่ทาง VMware แจ้งกับลูกค้าที่ยังไม่สามารถทำการอัปเดตแพตช์ได้ในปัจจุบัน

ตอนนี้มากกว่า 1 พัน vCenter servers ที่มีช่องโหว่ ถูกรายงานไว้อยู่บนเว็บไซต์ Shodan เรียบร้อยแล้ว และนี่ไม่ใช่ครั้งแรกที่ผู้โจมตีมีการรวบรวมข้อมูลของ VMware vCenter servers ที่มีช่องโหว่

ในเดือนกุมภาพันธ์ พบผู้โจมตีมีการสแกนหา vCenter ที่ยังไม่ได้รับการแพตช์เป็นจำนวนมาก หลังจากที่นักวิจัยด้านความปลอดภัยได้เผยแพร่โค้ดที่ใช้สำหรับทดสอบการโจมตีช่องโหว่ (Proof-of-Concept (PoC)) สำหรับช่องโหว่ที่สำคัญอีกรายการหนึ่ง

ในเดือนมิถุนายนก็พบการสแกนเซิร์ฟเวอร์ VMware vCenters servers ที่ยังไม่ได้รับการแพตช์จาก CVE-2021-21985 หลังจากมีการเผยแพร่โค้ดที่ใช้สำหรับโจมตีช่องโหว่เช่นเดียวกัน

VMware ออกมาเตือนผู้ใช้งานถึงความพยายามในการโจมตี

การสแกนอย่างต่อเนื่องเหล่านี้เป็นไปตามคำเตือนที่ออกโดย VMware เมื่อวานนี้ เพื่อเน้นย้ำถึงความสำคัญของการอัปเดตแพตช์เซิร์ฟเวอร์ CVE-2021-22005 โดยเร็วที่สุด

"ช่องโหว่นี้สามารถถูกใช้โดยใครก็ได้ที่สามารถเข้าถึง vCenter servers โดยที่ไม่ต้องสนใจการตั้งค่าการเข้าใช้งานบน vCenter Server เลย" Bob Plankers จาก VMware กล่าว

อย่างไรก็ดีทีมงาน VMware ได้แสดงความกังวลถึงการใช้งานจากกลุ่มแรนซัมแวร์ที่อาจฝังตัวอยู่แล้ว และบังเอิญมีช่องโหว่นี้เผยขึ้นมา ซึ่งคาดว่าอาจมีโค้ดการทดสอบการโจมตีเกิดขึ้นตามมา และนำไปสู่การประยุกต์ใช้โจมตีอย่างรวดเร็ว เพราะด้วยความสำคัญของตัว vCenter เอง

สำหรับใครที่ไม่สามารถแพตช์ได้จริงๆ VMware ได้ออก Workaround และสคริปต์แก้ไขไว้แล้ว และในช่วงนี้ VMware ยังมีแพตช์อื่นอีก 10 กว่ารายการที่แก้ไขช่องโหว่ให้ vCenter อีกด้วย

คำแนะนำ
ควรอัปเดตแพตช์ VMware เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง และผลกระทบที่เกี่ยวข้องกับการโจมตีนี้

ที่มา : bleepingcomputer

VMware ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ใน ESXi และ vCenter
เพื่อแก้ไขช่องโหว่ CVE-2017-16544, CVE-2019-5531, CVE-2019-5532 และ CVE-2019-5534 แนะนำให้ผู้ใช้และผู้ดูแลระบบงานเข้าไปอ่าน VMware Security Advisory VMSA-2019-0013 และให้ทำการอัปเดตเพื่อแก้ไขปัญหาช่องโหว่เหล่านี้

ที่มา us-cert

VMware ได้ออกมาแจ้งเตือนถึงการค้นพบช่องโหว่หลายรายการบน vSphere Data Protection (VDP) และออก VMSA-2017-0010 เพื่อรวมประเด็นปัญหาด้านความมั่นคงปลอดภัยเหล่านี้เอาไว้ด้วยกัน พร้อมตั้งระดับความรุนแรงเป็นระดับสูงสุด

สำหรับปัญหาแรกที่พบนั้นก็คือปัญหา VDP Java Deserialization ที่เปิดให้ผู้โจมตีสามารถทำ Remote Command Execution ได้บน VDP ส่วนอีกปัญหาหนึ่งคือการที่ VDP นั้นมีการเก็บ Credential ของ vCenter Server เอาไว้ ทำให้ผู้โจมตีสามารถเข้าถึง Credential ของ vCenter ได้จาก VDP

ทั้งนี้ VMware แนะนำให้ผู้ใช้งานทำการอัปเดต VDP ไปใช้รุ่น 6.0.5 หรือ 6.1.4 ซึ่งแก้ไขช่องโหว่เหล่านี้ไปเรียบร้อยแล้วแทนรุ่นเดิมที่ใช้งานอยู่

ที่มา: techtalkthai , vmware

VMware ได้ออก Patch ซ้ำสำหรับ vCenter เพื่อแก้ปัญหาที่เคยแก้ไปแล้วในเดือนตุลาคม 2015 ที่ผ่านมาอีกครั้ง หลังพบว่าการแก้ไขปัญหาครั้งนั้นยังคงมีช่องโหว่อยู่

ช่องโหว่เดิมนั้นมีรหัส CVE-2015-2342 ซึ่งเกิดจากบริการ JMX RMI ที่ตั้งค่าเอาไว้ไม่ปลอดภัยจนทำให้เกิด Remote Code Execution (RCE) ได้บนรุ่น 5.5, 5.1 และ 5.0 ซึ่งล่าสุดนี้ VMware ก็ได้ออก Patch เสริมมาอีกในช่วงสุดสัปดาห์ที่ผ่านมาอุดช่องโหว่เดิมเพิ่มเติมอีกดังนี้ https://kb.