Broadcom แจ้งเตือนลูกค้าในวันนี้ (4 มีนาคม 2025) เกี่ยวกับช่องโหว่ Zero-days 3 รายการของ VMware ซึ่งถูกระบุว่ากำลังถูกนำมาใช้ในการโจมตี และได้รับการรายงานจาก Microsoft Threat Intelligence Center

ช่องโหว่ CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226 ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ VMware ESX รวมถึง VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation, และ Telco Cloud Platform

ผู้โจมตีที่มีสิทธิ์เข้าถึงในระดับผู้ดูแลระบบ หรือ root สามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อหลีกเลี่ยงการควบคุมของ sandbox ของ Virtual Machine ได้

บริษัทได้อธิบายในวันนี้ว่า "เหตุการร์นี้เป็นสถานการณ์ที่ผู้โจมตีที่บุกรุก guest OS ของ Virtual Machine และได้รับสิทธิ์การเข้าถึงระดับสูง (ผู้ดูแลระบบ หรือ root) อาจทำให้สามารถเข้าควบคุม hypervisor ได้ โดยมีข้อมูลที่เชื่อได้ว่ากำลังมีการโจมตีโดยใช้ช่องโหว่นี้อยู่จริง ๆ"

Broadcom ระบุว่า CVE-2025-22224 เป็นช่องโหว่ VCMI heap overflow ที่มีความรุนแรงระดับ Critical ซึ่งสามารถทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบใน VM ที่ถูกโจมตี สามารถรันโค้ดใน VMX process ที่ทำงานบนโฮสต์ได้

CVE-2025-22225 เป็นช่องโหว่การเขียนข้อมูลโดยพลการใน ESXi ที่สามารถทำให้ VMX process สามารถเรียกการเขียนคอร์เนลโดยพลการ ซึ่งนำไปสู่การ escape จาก sandbox ได้ ในขณะที่ CVE-2025-22226 ถูกอธิบายว่าเป็นช่องโหว่ในการเปิดเผยข้อมูลของ HGFS ที่ทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถทำให้ข้อมูลรั่วไหลจาก VMX process ได้

ช่องโหว่ของ VMware มักถูกโจมตีโดยกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับแรนซัมแวร์ และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล เนื่องจาก VMware ถูกใช้กันอย่างแพร่หลายในปฏิบัติการรเพื่อเก็บ หรือถ่ายโอนข้อมูลที่สำคัญขององค์กร

ล่าสุด Broadcom ได้ออกคำเตือนในเดือนพฤศจิกายน 2024 ว่า ผู้โจมตีได้มีการใช้ประโยชน์จากช่องโหว่ใน VMware vCenter Server สองรายการที่ได้รับการแก้ไขไปแล้วในเดือนกันยายน 2024 หนึ่งในนั้นสามารถทำให้มีการยกระดับสิทธิ์เป็น root (CVE-2024-38813) ขณะที่อีกช่องโหว่เป็นช่องโหว่ระดับ Critical ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (CVE-2024-38812) ซึ่งถูกพบในระหว่างการแข่งขัน Matrix Cup hacking 2024 ของจีนในปี 2024

ในเดือนมกราคม 2024 Broadcom ยังได้เปิดเผยว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ใน vCenter Server (CVE-2023-34048) เป็นช่องโหว่แบบ zero-day มาตั้งแต่ปลายปี 2021 เป็นอย่างน้อย เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ที่มีช่องโหว่

ที่มา : bleepingcomputer

VMware แจ้งเตือนถึงช่องโหว่ Blind SQL Injection ที่มีความรุนแรงระดับ High โดยมีหมายเลข CVE-2025-22217 (คะแนน CVSS อยู่ที่ 8.6) ใน Avi Load Balancer ซึ่งช่วยให้ผู้โจมตีที่มีสิทธิ์เข้าถึงเครือข่ายสามารถใช้คำสั่งที่เป็นอันตรายโจมตีฐานข้อมูลได้ (more…)

VMware ซึ่งเป็นผู้ให้บริการซอฟต์แวร์คลาวด์คอมพิวติ้ง และ virtualization software ได้เปิดเผยช่องโหว่ระดับ Critical หลายรายการในผลิตภัณฑ์ Aria Operations โดยช่องโหว่ที่อันตรายที่สุดเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root บนระบบที่มีช่องโหว่ได้ (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเกี่ยวกับ ransomware สายพันธุ์ใหม่ที่เรียกว่า Helldown ในรูปแบบ Linux โดยระบุว่ากลุ่มผู้โจมตีกำลังขยายขอบเขตการโจมตีของตนให้กว้างขึ้น (more…)

Broadcom ออกมาแจ้งเตือนว่าพบ Hacker ได้ใช้ช่องโหว่ VMware vCenter Server 2 รายการ ในการโจมตีเป้าหมายอย่างต่อเนื่อง โดยหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical (more…)

Broadcom ออกมาแจ้งเตือนว่าพบ Hacker ได้ใช้ช่องโหว่ VMware vCenter Server 2 รายการ ในการโจมตีเป้าหมายอย่างต่อเนื่อง โดยหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical (more…)

VMware ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ VMware vCenter Server ระดับ Critical ซึ่งยังไม่ได้รับการแก้ไขอย่างถูกต้องในแพตช์แรกเมื่อเดือนกันยายน 2024 (more…)

VMware แจ้งเตือนช่องโหว่ระดับ critical ใน vCenter Server โดยเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) และช่องโหว่ในการยกระดับสิทธิ์ (privilege escalation) (more…)

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยจำนวนมากใน VMware Workstation และ Fusion ที่ผู้โจมตีสามารถนำไปใช้ในการเข้าถึงข้อมูลที่มีความสำคัญได้, ทำให้เกิด Denial-of-Service (DoS) และการเรียกใช้โค้ดภายใต้สถานการณ์บางอย่าง

(more…)

VMware แจ้งเตือนให้ผู้ดูแลระบบทำการลบ authentication plugin ที่ได้ยกเลิกการใช้งานแล้ว ซึ่งมีช่องโหว่ 2 รายการที่สามารถโจมตีแบบ authentication relay และ session hijack attacks ใน Windows domain (more…)