กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil เริ่มมีการใช้งานเครื่องมือเข้ารหัสเวอร์ชั่น Linux โดยพุ่งเป้าโจมตีเครื่องคอมพิวเตอร์แม่ข่ายแบบเสมือนหรือ Virtual Machine (VM) ที่ทำงานอยู่บน VMware ESXi เป็นหลัก ซึ่งเป็นผลมาจากความนิยมในการใช้งาน VM ขององค์กรในยุคปัจจุบันทำให้กลุ่มอาชญากรไซเบอร์เร่งพัฒนาเครื่องมือที่จะใช้ในการโจมตีด้วยการเข้ารหัสข้อมูลของ VM

เมื่อเดือนพฤษภาคมที่ผ่านมา ผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์, Yelisey Boguslavskiy โพสต์ข้อมูลผ่านทวิตเตอร์ว่าพบข้อมูลการประกาศบนเว็บบอร์ดแห่งหนึ่งโดยกลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการยืนยันว่าได้เปิดให้ใช้งานเครื่องมือเข้ารหัสเวอร์ชั่นระบบปฏิบัติการ Linux ซึ่งสามารถใช้โจมตีอุปกรณ์ NAS ได้อีกด้วย

เมื่อวันที่ 28 มิ.ย.64 ที่ผ่านมา กลุ่มนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก MalwareHunterTeam เปิดเผยว่าตรวจพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux เช่นกัน หรือที่รู้จักกันในชื่อ "Sodinokibi" ซึ่งกำลังพุ่งเป้าโจมตีเครื่องแม่ข่ายที่ใช้งาน VMware ESXI

Vitali Kremez ซึ่งเป็นผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์ให้สัมภาษณ์ BleepingComputer หลังจากมีโอกาสได้ทำการวิเคราะห์ไฟล์มัลแวร์พันธ์ุใหม่นี้ว่า มันเป็นไฟล์ ELF ชนิด 64-bit ซึ่งมีการนำรูปแบบการตั้งค่าการใช้งานเหมือนกับไฟล์ Executable ที่พบได้บนระบบปฏิบัติการ Windows และนี่เป็นครั้งแรกที่มีการค้นพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux ในการโจมตีที่เกิดขึ้นจริงนับตั้งแต่มันถูกเปิดให้ใช้งาน

สำหรับขีดความสามารถของมัลแวร์ชนิดนี้ ผู้โจมตีสามารถกำหนดตำแหน่งของไฟล์ที่ต้องการเข้ารหัสได้ รวมทั้งสามารถเปิดการใช้งาน "Silent Mode" ซึ่งใช้สำหรับป้องกันการปิดการทำงานของ "VMs mode" ดังแสดงตามรายละเอียดในคำแนะนำการใช้งาน (Usage Instructions) ของมัลแวร์ ดังนี้

Usage example: elf.

VMware ประกาศแพตช์ด้านความปลอดภัยให้กับช่องโหว่รหัส CVE-2020-3999 ซึ่งเป็นช่องโหว่ DoS ส่งผลกระทบต่อผลิตภัณฑ์ในกลุ่ม ESXi, Workstation, Fusion และ Cloud Foundation

ช่องโหว่ CVE-2020-3999 ถูกค้นพบโดย Lucas Leong และ Murray McAllister โดยผลลัพธ์ของช่องโหว่นั้นทำให้ผู้ใช้งานซึ่งมีสิทธิ์เป็นแค่ผู้ใช้งานทั่วไปในระบบที่สามารถเข้าถึง virtual machine ต่าง ๆ ได้สามารถสร้างเงื่อนไขเพื่อทำให้โปรเซส vmx ของ virtual machine นั้น crash และทำให้เกิดเงื่อนไขของการปฏิเสธการให้บริการ

ผู้ดูแลระบบสามารถตรวจสอบเวอร์ชันของผลิตภัณฑ์ที่ได้รับผลกระทบเพิ่มเติมได้จากหัวข้อ Response Matrix จากลิงค์ในแหล่งที่มาข่าว

ที่มา: vmware

นักวิจัยด้านความปลอดภัยตรวจพบกลุ่มแรนซัมแวร์กำลังใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ VMWare ESXi เพื่อเข้ายึดครองและเข้ารหัสฮาร์ดไดรฟ์ของ Virtual Machine (VM) ที่ถูกใช้งานในองค์กร

ตามรายงานจากนักวิจัยด้านความปลอดภัยที่ให้ข้อมูลกับ ZDNet พบว่ากลุ่มแรมซัมแวร์กำลังใช้ประโยชน์จากช่องโหว่ CVE-2019-5544 และ CVE-2020-3992 ซึ่งเป็นช่องโหว่ในไฮเปอร์ไวเซอร์โซลูชันที่จะอนุญาตให้เครื่อง VM หลาย ๆ เครื่องแชร์ที่เก็บข้อมูลฮาร์ดไดรฟ์เดียวกันผ่าน Service Location Protocol (SLP) ช่องโหว่ดังกล่าวจะทำให้ผู้โจมตีที่อยู่ภายในเครือข่ายเดียวกันสามารถส่งคำขอ SLP ที่เป็นอันตรายไปยังอุปกรณ์ ESXi และเข้าควบคุมได้

ตามรายงานจากนักวิจัยด้านความปลอดภัยระบุอีกว่ากลุ่ม RansomExx ได้เริ่มต้นใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีอินสแตนซ์ ESXi และเข้ารหัสฮาร์ดดิสก์ของเครื่อง VM ที่อยู่ภายในเครือข่าย โดยหลังจากเหตุการณ์ นักวิจัยได้พบข้อมูลการประกาศการโจมตีในลักษณะเดียวกันโดยกลุ่ม Babuk Locker ransomware ในฟอรั่มใต้ดิน

ทั้งนี้ผู้ดูแลระบบ VMWare ESXi ควรรีบอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดโดยด่วนเพื่อป้องกันการตกเป็นเป้าหมายของกลุ่มปฏิบัติการโจมตีด้วยแรมซัมแวร์

ที่มา: zdnet

VMware ออกเเพตซ์การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ 2 รายการที่สำคัญและมีความรุนแรงสูงใน VMware ESXi, Workstation, Fusion และ Cloud Foundation โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดและเพิ่มสิทธิ์ในระบบได้ ทั้งนี้ช่องโหว่ทั้ง 2 รายการถูกค้นพบโดย Xiao Wei และ Tianwen Tang จาก Qihoo 360 Vulcan Team ในวันแรกของการแข่งขัน Tianfu Cup Pwn ในปี 2020 ที่ผ่านมา

ช่องโหว่ CVE-2020-4004 (CVSSv3: 9.3/10) เป็นช่องโหว่ประเภท Use-after-free ที่อยู่ใน XHCI USB controller ของ VMware ESXi, Workstation, และ Fusion โดยช่องโหว่จะช่วยให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบทั่วไปบนเครื่อง Virtual Machine (VM) สามารถรันโค้ดในขณะที่กระบวนการ VMX ของ VM ทำงานบนโฮสต์ ซึ่งเป็นกระบวนการที่ใช้ในการคอนฟิกบนโฮสต์ VM อินสแตนซ์

ช่องโหว่ CVE-2020-4005 (CVSSv3: 8.8/10) เป็นช่องโหว่ประเภทการยกระดับสิทธิ์ใน VMware ESXi โดยช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธิ์ภายใน VMX เท่านั้นสามารถยกระดับสิทธิ์ในระบบได้

ผู้ดูแลระบบควรทำการอัปเดตแพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ ทั้งนี้ช่องโหว่ CVE-2020-4004 ยังมีวิธีการป้องกันอีกวิธีการหนึ่งคือการการลบ XHCI USB controller (USB 3.x) หากไม่ได้ใช้งานออกจากเครื่อง VM ที่อาจตกเป็นเป้าหมาย

ที่มา: bleepingcomputer | theregister

VMware ออกเเพตซ์เเก้ไขช่องโหว่ที่มีระดับความรุนเเรง “Critical” 10 รายการใน VMware Workstation และ Fusion

VMware ได้เปิดเผยถึงช่องโหว่ 10 รายการที่ส่งผลต่อผลิตภัณฑ์ VMware ESXi, Workstation และ Fusion ซึ่งช่องโหว่มีความรุนเเรงระดับ “Critical” โดยช่องโหว่ที่สำคัญมีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-3962 (CVSSv3: 9.3) และ CVE-2020-3969 (CVSSv3: 8.1) เป็นช่องโหว่ที่ส่งผลต่ออุปกรณ์ SVGA ทำให้ผู้โจมตีสามารถเข้าถึงเครื่อง VM ที่ทำการเปิด 3D graphic ใช้งานอยู่ อาจทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อเรียกใช้งานโค้ดบน hypervisor จากเครื่อง VM
ช่องโหว่ CVE-2020-3970 เป็นช่องโหว่ที่ส่งผลกับ VMware ESXi, Workstation และ Fusion ทำให้ผู้โจมตีที่ไม่มีสิทธิ์ในการเข้าถึงเครื่อง VM สามารถทำการ Denial of Service (DoS) โปรเซส vmx บนเครื่อง VM ที่ทำการเปิด 3D graphic ใช้งานอยู่
ช่องโหว่ CVE-2020-3967 เป็นช่องโหว่ที่ส่งผลต่ออุปกรณ์คอนโทรลเลอร์ USB 2.0 สำหรับผลิตภัณฑ์ VMware ESXi, Workstation และ Fusion โดยช่องโหว่จะทำให้ผู้โจมตีที่สามารถเข้าถึงเครื่อง VM ทำการเรียกใช้โค้ดบน hypervisor

ช่องโหว่ดังกล่าวส่งผลกับ VMware ESXi เวอร์ชั่น 6.5, 6.7 และ 7.0, Workstation เวอร์ชั่น 15.X และ Fusion เวอร์ชั่น 11.X ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบควรทำการอัพเดตและติดตั้งแพตซ์ให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่

ที่มา: securityaffairs | vmware