เมื่อวันพฤหัสบดีที่ผ่านมา CISA ได้แจ้งเตือนหน่วยงานรัฐบาลสหรัฐฯ ให้รักษาความปลอดภัยระบบของตนจากการโจมตีที่ใช้ประโยชน์จากช่องโหว่ระดับความรุนแรงสูงในซอฟต์แวร์ VMware Aria Operations และ VMware Tools ของ Broadcom

ช่องโหว่นี้มีหมายเลข CVE-2025-41244 และเพิ่งได้รับการอัปเดตแพตช์เมื่อหนึ่งเดือนที่แล้ว โดยทำให้ผู้โจมตีในระดับ local ที่มีสิทธิ์ระดับทั่วไป สามารถเข้าถึงเครื่อง virtual machine (VM) ที่มี VMware Tools และบริหารจัดการโดย Aria Operations พร้อมเปิดใช้งาน SDMP ให้สามารถยกระดับสิทธิ์ของตนเองเป็น root บน VM เครื่องนั้นได้

CISA ได้เพิ่มช่องโหว่นี้เข้าไปในบัญชี Known Exploited Vulnerabilities ซึ่งเป็นรายการช่องโหว่ด้านความปลอดภัยที่หน่วยงานฯ ระบุว่ากำลังถูกใช้ในการโจมตีจริง หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) มีเวลาสามสัปดาห์ หรือจนถึงวันที่ 20 พฤศจิกายน ในการอัปเดตแพตช์ระบบของตนเพื่อป้องกันการโจมตีที่กำลังดำเนินอยู่ ตามที่กำหนดไว้ในคำสั่งปฏิบัติการที่มีผลผูกพัน (BOD) 22-01 ซึ่งออกเมื่อเดือนพฤศจิกายน 2021

แม้ว่าคำสั่ง BOD 22-01 จะมีผลบังคับใช้เฉพาะกับหน่วยงานรัฐบาลกลาง แต่ CISA ก็ได้เตือนให้ทุกองค์กรจัดลำดับความสำคัญในการแพตช์ช่องโหว่นี้โดยเร็วที่สุด

CISA เตือนว่า "ช่องโหว่ประเภทนี้มักถูกใช้เป็นช่องทางการโจมตีของผู้ไม่หวังดี และก่อให้เกิดความเสี่ยงอย่างมากต่อหน่วยงานรัฐบาลกลาง" "ขอให้ใช้มาตรการลดผลกระทบ ตามคำแนะนำของผู้ผลิต ปฏิบัติตามคำแนะนำ BOD 22-01 ที่เกี่ยวข้องสำหรับบริการคลาวด์ หรือยุติการใช้งานผลิตภัณฑ์หากไม่มีมาตรการลดผลกระทบ"

ถูกนำไปใช้ในการโจมตีตั้งแต่เดือนตุลาคมที่ผ่านมา

Broadcom พบว่า CVE-2025-41244 ถูกใช้ประโยชน์ในการโจมตีจริงแล้วในวันนี้ ซึ่งเป็นเวลาหนึ่งเดือนหลังจากที่ Maxime Thiebaut จาก NVISO บริษัทความปลอดภัยทางไซเบอร์ของยุโรป รายงานว่า UNC5174 ซึ่งเป็นกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลจีน ได้ใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีมาตั้งแต่กลางเดือนตุลาคม 2024

ในขณะนั้น Thiebaut ยังได้เผยแพร่ PoC code ซึ่งแสดงให้เห็นว่า CVE-2025-41244 สามารถถูกใช้ในการโจมตีเพื่อยกระดับสิทธิ์บนระบบที่ใช้ VMware Aria Operations (ใน credential-based mode) และ VMware Tools (ใน credential-less mode) ที่มีช่องโหว่ได้อย่างไร ซึ่งท้ายที่สุดทำให้ผู้โจมตีสามารถสั่งรันโค้ดในระดับ root บน VM ได้

นักวิเคราะห์ความปลอดภัยของ Google Mandiant ซึ่งระบุว่า UNC5174 ได้รับการสนับสนุนจากกระทรวงความมั่นคงแห่งรัฐ (MSS) ของจีน สังเกตเห็นกลุ่มผู้โจมตีนี้ขายสิทธิ์การเข้าถึงเครือข่ายของผู้รับเหมาด้านกลาโหมของสหรัฐฯ หน่วยงานรัฐบาลของสหราชอาณาจักร และสถาบันต่าง ๆ ในเอเชีย ในช่วงปลายปี 2023 หลังจากการโจมตีที่ใช้ประโยชน์จากช่องโหว่ F5 BIG-IP remote code execution (CVE-2023-46747)

ในเดือนกุมภาพันธ์ 2024 UNC5174 ยังได้ใช้ประโยชน์จากช่องโหว่ ConnectWise ScreenConnect (CVE-2024-1709) เพื่อเจาะระบบสถาบันหลายร้อยแห่งในสหรัฐฯ และแคนาดา และในเดือนพฤษภาคม ก็มีความเชื่อมโยงกับการโจมตีที่ใช้ช่องโหว่ NetWeaver สำหรับการอัปโหลดไฟล์โดยไม่ผ่านการยืนยันตัวตน (CVE-2025-31324) ซึ่งช่วยให้ผู้โจมตีสามารถสั่งรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ NetWeaver Visual Composer ที่ยังไม่ได้อัปเดตแพตช์

ตั้งแต่ต้นปีที่ผ่านมา Broadcom ได้แก้ไขช่องโหว่ zero-day ของ VMware อื่น ๆ ที่ถูกโจมตีอย่างต่อเนื่อง อีก 3 รายการ (CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226) ที่ถูกรายงานโดย Microsoft Threat Intelligence Center และได้ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูงของ VMware NSX อีก 2 รายการ (CVE-2025-41251 และ CVE-2025-41252) ที่รายงานโดยสำนักงานความมั่นคงแห่งชาติของสหรัฐฯ (NSA)

 

ที่มา : bleepingcomputer.

Broadcom ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ ความรุนแรงระดับ High ในซอฟต์แวร์ VMware Aria Operations และ VMware Tools ซึ่งถูกใช้ในการโจมตีแบบ Zero-day มาตั้งแต่เดือนตุลาคม 2024

แม้ว่า Broadcom จะไม่ได้ระบุว่าช่องโหว่นี้ (CVE-2025-41244) ถูกนำไปใช้ในการโจมตีจริงแล้ว แต่ก็ได้กล่าวขอบคุณ Maxime Thiebaut นักวิจัยด้านภัยคุกคามจาก NVISO ที่รายงานช่องโหว่นี้เมื่อเดือนพฤษภาคม (more…)

VMware ได้แก้ไขช่องโหว่ Zero-Day 4 รายการใน VMware ESXi, Workstation, Fusion และ Tools ที่ถูกใช้โจมตีระหว่างการแข่งขัน Pwn2Own Berlin 2025 hacking contest ในเดือนพฤษภาคม 2025

(more…)

Broadcom แจ้งเตือนลูกค้าในวันนี้ (4 มีนาคม 2025) เกี่ยวกับช่องโหว่ Zero-days 3 รายการของ VMware ซึ่งถูกระบุว่ากำลังถูกนำมาใช้ในการโจมตี และได้รับการรายงานจาก Microsoft Threat Intelligence Center

ช่องโหว่ CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226 ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ VMware ESX รวมถึง VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation, และ Telco Cloud Platform

ผู้โจมตีที่มีสิทธิ์เข้าถึงในระดับผู้ดูแลระบบ หรือ root สามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อหลีกเลี่ยงการควบคุมของ sandbox ของ Virtual Machine ได้

บริษัทได้อธิบายในวันนี้ว่า "เหตุการร์นี้เป็นสถานการณ์ที่ผู้โจมตีที่บุกรุก guest OS ของ Virtual Machine และได้รับสิทธิ์การเข้าถึงระดับสูง (ผู้ดูแลระบบ หรือ root) อาจทำให้สามารถเข้าควบคุม hypervisor ได้ โดยมีข้อมูลที่เชื่อได้ว่ากำลังมีการโจมตีโดยใช้ช่องโหว่นี้อยู่จริง ๆ"

Broadcom ระบุว่า CVE-2025-22224 เป็นช่องโหว่ VCMI heap overflow ที่มีความรุนแรงระดับ Critical ซึ่งสามารถทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบใน VM ที่ถูกโจมตี สามารถรันโค้ดใน VMX process ที่ทำงานบนโฮสต์ได้

CVE-2025-22225 เป็นช่องโหว่การเขียนข้อมูลโดยพลการใน ESXi ที่สามารถทำให้ VMX process สามารถเรียกการเขียนคอร์เนลโดยพลการ ซึ่งนำไปสู่การ escape จาก sandbox ได้ ในขณะที่ CVE-2025-22226 ถูกอธิบายว่าเป็นช่องโหว่ในการเปิดเผยข้อมูลของ HGFS ที่ทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถทำให้ข้อมูลรั่วไหลจาก VMX process ได้

ช่องโหว่ของ VMware มักถูกโจมตีโดยกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับแรนซัมแวร์ และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล เนื่องจาก VMware ถูกใช้กันอย่างแพร่หลายในปฏิบัติการรเพื่อเก็บ หรือถ่ายโอนข้อมูลที่สำคัญขององค์กร

ล่าสุด Broadcom ได้ออกคำเตือนในเดือนพฤศจิกายน 2024 ว่า ผู้โจมตีได้มีการใช้ประโยชน์จากช่องโหว่ใน VMware vCenter Server สองรายการที่ได้รับการแก้ไขไปแล้วในเดือนกันยายน 2024 หนึ่งในนั้นสามารถทำให้มีการยกระดับสิทธิ์เป็น root (CVE-2024-38813) ขณะที่อีกช่องโหว่เป็นช่องโหว่ระดับ Critical ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (CVE-2024-38812) ซึ่งถูกพบในระหว่างการแข่งขัน Matrix Cup hacking 2024 ของจีนในปี 2024

ในเดือนมกราคม 2024 Broadcom ยังได้เปิดเผยว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ใน vCenter Server (CVE-2023-34048) เป็นช่องโหว่แบบ zero-day มาตั้งแต่ปลายปี 2021 เป็นอย่างน้อย เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ที่มีช่องโหว่

ที่มา : bleepingcomputer

VMware แจ้งเตือนถึงช่องโหว่ Blind SQL Injection ที่มีความรุนแรงระดับ High โดยมีหมายเลข CVE-2025-22217 (คะแนน CVSS อยู่ที่ 8.6) ใน Avi Load Balancer ซึ่งช่วยให้ผู้โจมตีที่มีสิทธิ์เข้าถึงเครือข่ายสามารถใช้คำสั่งที่เป็นอันตรายโจมตีฐานข้อมูลได้ (more…)

VMware ซึ่งเป็นผู้ให้บริการซอฟต์แวร์คลาวด์คอมพิวติ้ง และ virtualization software ได้เปิดเผยช่องโหว่ระดับ Critical หลายรายการในผลิตภัณฑ์ Aria Operations โดยช่องโหว่ที่อันตรายที่สุดเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root บนระบบที่มีช่องโหว่ได้ (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเกี่ยวกับ ransomware สายพันธุ์ใหม่ที่เรียกว่า Helldown ในรูปแบบ Linux โดยระบุว่ากลุ่มผู้โจมตีกำลังขยายขอบเขตการโจมตีของตนให้กว้างขึ้น (more…)

Broadcom ออกมาแจ้งเตือนว่าพบ Hacker ได้ใช้ช่องโหว่ VMware vCenter Server 2 รายการ ในการโจมตีเป้าหมายอย่างต่อเนื่อง โดยหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical (more…)

Broadcom ออกมาแจ้งเตือนว่าพบ Hacker ได้ใช้ช่องโหว่ VMware vCenter Server 2 รายการ ในการโจมตีเป้าหมายอย่างต่อเนื่อง โดยหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical (more…)

VMware ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ VMware vCenter Server ระดับ Critical ซึ่งยังไม่ได้รับการแก้ไขอย่างถูกต้องในแพตช์แรกเมื่อเดือนกันยายน 2024 (more…)