VMware แก้ไขช่องโหว่ RCE ระดับ Critical บน vCenter ควรอัปเดตโดยด่วน

VMware แจ้งเตือนช่องโหว่ระดับ critical ใน vCenter Server โดยเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) และช่องโหว่ในการยกระดับสิทธิ์ (privilege escalation) (more…)

VMware ออกแพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Workstation และ Fusion

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยจำนวนมากใน VMware Workstation และ Fusion ที่ผู้โจมตีสามารถนำไปใช้ในการเข้าถึงข้อมูลที่มีความสำคัญได้, ทำให้เกิด Denial-of-Service (DoS) และการเรียกใช้โค้ดภายใต้สถานการณ์บางอย่าง

(more…)

VMware แจ้งเตือนให้ผู้ดูแลระบบลบ Auth Plug-In ที่มีช่องโหว่ ซึ่งได้เลิกใช้งานไปแล้ว

VMware แจ้งเตือนให้ผู้ดูแลระบบทำการลบ authentication plugin ที่ได้ยกเลิกการใช้งานแล้ว ซึ่งมีช่องโหว่ 2 รายการที่สามารถโจมตีแบบ authentication relay และ session hijack attacks ใน Windows domain (more…)

VMware แก้ไขช่องโหว่ auth bypass ระดับ Critical บน Cloud Director หลังจากการออกแพตซ์อัปเดตล่าสุด

VMware ได้แก้ไขช่องโหว่ authentication bypass ความรุนแรงระดับ Critical ในอุปกรณ์ Cloud Director หลังจากการออกแพตซ์อัปเดตเมื่อวันที่ 14 พฤศจิกายน 2023 (more…)

PoC ของช่องโหว่ SSH auth bypass ระดับ critical ใน VMware ถูกปล่อยออกมาแล้ว

ชุดสาธิตการโจมตีช่องโหว่ Proof-of-Concept (PoC) ของช่องโหว่ VMware SSH auth bypass ในเครื่องมือวิเคราะห์ Aria Operations for Networks ของ VMware (เดิมชื่อ vRealize Network Insight) ซึ่งมีความรุนแรงระดับ critical ได้ถูกเผยแพร่ออกมาแล้ว

CVE-2023-34039 หรือช่องโหว่ VMware SSH auth bypass (คะแนน CVSS 9.8 ความรุนแรงระดับ critical ) เป็นช่องโหว่การหลีกเลี่ยงการยืนยันตัวตนผ่าน SSH และทำให้สามารถโจมตีได้จากภายนอก ถูกพบโดยนักวิเคราะห์ความปลอดภัยที่ ProjectDiscovery Research ซึ่งส่งผลกระทบต่อ Aria Operations for Networks เวอร์ชัน 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10 โดยต่อมาได้รับการแก้ไขแล้วโดย VMware ในเวอร์ชัน 6.11 (more…)

Hacker เกาหลีเหนือ อยู่เบื้องหลังแคมเปญการโจมตี VMConnect PyPI

พบ Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ เป็นผู้อยู่เบื้องหลังแคมเปญการโจมตี VMConnect PyPI ที่เลียนแบบ VMware vSphere connector module vConnector โดยได้อัปโหลดไปยัง PyPI (Python Package Index) repository packages

โดย VMConnect PyPI ที่เป็นอันตรายได้ถูกอัปโหลดในเดือนสิงหาคม 2023 ซึ่งได้มุ่งเป้าหมายการโจมตีไปยังผู้เชี่ยวชาญด้านไอที ที่กำลังมองหาเครื่องมือ virtualization tool ซึ่งก่อนที่ Package ดังกล่าวจะถูกลบออกไป พบว่ามีการดาวน์โหลด 237 ครั้ง และมีการดาวน์โหลดแพ็กเกจอีก 2 แพ็กเกจที่มีโค้ดเดียวกันซึ่งเผยแพร่ด้วยชื่อ 'ethter' มีการดาวน์โหลด 253 ครั้ง และ 'quantiumbase' มีการดาวน์โหลด 216 ครั้ง (more…)

ช่องโหว่ระดับ critical ใน VMware Aria สามารถ bypass SSH authentication ได้

พบช่องโหว่ระดับ critical ใน VMware Aria Operations for Networks (เดิมเรียกว่า vRealize Network Insight) ซึ่งอาจทำให้ผู้โจมตีจากภายนอกสามารถ bypass SSH authentication และเข้าถึง private endpoints ได้

VMware Aria เป็นชุดโปรแกรมสำหรับการจัดการ และตรวจสอบ virtualized environments และ hybrid clouds, IT Automation, การจัดการ log, การสร้างข้อมูลวิเคราะห์, Network visibility, การรักษาความปลอดภัย และจัดสรรการวางแผนการใช้ทรัพยากร และการจัดการขอบเขตการทำงานทั้งหมด

เมื่อวันอังคารที่ผ่านมา VMware ได้เผยแพร่คำเตือนด้านความปลอดภัยเกี่ยวกับช่องโหว่ที่ส่งผลกระทบต่อ Aria เวอร์ชัน 6.x ทั้งหมด

ช่องโหว่ดังกล่าวถูกพบโดยนักวิเคราะห์จาก ProjectDiscovery Research ซึ่งมีหมายเลข CVE-2023-34039 และได้รับ CVSS v3: 9.8 ซึ่งถือว่าเป็นช่องโหว่ระดับ "critical"

"การแจ้งเตือนจาก VMware เกี่ยวกับช่องโหว่นั้นระบุว่า Aria Operations for Networks มีช่องโหว่ในการ Authentication Bypass เนื่องจากขาดการสร้าง Unique cryptographic key"

ผู้โจมตีที่เข้าถึงเครือข่ายไปยัง Aria Operations for Networks อาจสามารถ bypass SSH authentication เพื่อเข้าถึง Aria Operations for Networks CLI ได้

การใช้ประโยชน์จากช่องโหว่ CVE-2023-34039 อาจส่งผลให้เกิดการถูกขโมยข้อมูล, การแก้ไขข้อมูลผ่าน command line interface ของบริการ และอาจส่งผลให้เกิดความขัดข้องในระบบเครือข่าย, การแก้ไขการกำหนดค่า, การติดตั้งมัลแวร์ และการโจมตีต่อไปยังระบบอื่น ๆ ภายในเครือข่าย ขึ้นอยู่กับการกำหนดค่าไว้บนระบบ

VMware ยังไม่ได้ให้คำแนะนำ หรือการแก้ไขปัญหาชั่วคราวในกรณีที่ยังไม่สามารถอัปเดตได้ ดังนั้นวิธีการเดียวในการแก้ไขช่องโหว่ คือการอัปเกรดเป็นเวอร์ชัน 6.11 หรือใช้แพตช์ KB94152 บนเวอร์ชันก่อนหน้านี้

ช่องโหว่ที่สองที่มีความรุนแรงระดับ high (CVSS v3: 7.2) ได้รับการแก้ไขโดยแพตช์เดียวกันคือ CVE-2023-20890 ซึ่งเป็นช่องโหว่เกี่ยวกับการเขียนไฟล์ที่ไม่เกี่ยวข้อง อาจทำให้ผู้โจมตีที่มีสิทธิ์ administrative สามารถสั่งรันโค้ดจากระยะไกลได้

เนื่องจากซอฟต์แวร์นี้มักถูกใช้ในองค์กรขนาดใหญ่ แฮ็กเกอร์จึงอาจใช้ประโยชน์จากช่องโหว่นี้ทำให้ส่งผลกระทบต่อระบบได้

ในเดือนมิถุนายน 2023 VMware ได้แจ้งเตือนผู้ใช้งานเกี่ยวกับการใช้ประโยชน์จากช่องโหว่ CVE-2023-20887 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลกระทบต่อ Aria Operations for Networks

มีการ Scan และค้นหาช่องโหว่ภายในหนึ่งสัปดาห์ หลังจากที่ VMware ออกอัปเดตแพตซ์ความปลอดภัย และเพียงสองวันหลังจากที่มีการเผยแพร่ PoC (proof of concept) ออกมา

ที่มา : bleepingcomputer

พบ VMware vConnector package บน PyPI มุ่งเป้าหมายไปยังผู้เชี่ยวชาญด้านไอที

พบแพ็คเกจที่เป็นอันตรายซึ่งเลียนแบบ VMware vSphere connector module ‘vConnector’ ถูกอัปโหลดบน Python Package Index (PyPI) ภายใต้ชื่อ 'VMConnect' โดยกำหนดเป้าหมายไปยังผู้เชี่ยวชาญทางด้านไอที

VMware vSphere เป็นชุดเครื่องมือ virtualization tools และ vConnector เป็นโมดูล Python ที่เชื่อมต่อระหว่างนักพัฒนา และผู้ดูแลระบบ ซึ่งมีการดาวน์โหลดไปแล้วประมาณ 40,000 ครั้งในช่วง 1 เดือนที่ผ่านมาบน PyPI (more…)

VMware ออกแพตซ์แก้ไขช่องโหว่ที่เปิดเผยข้อมูล Credentials ของผู้ดูแลระบบ CF API บน Audit Logs

VMware ออกแพตซ์แก้ไขช่องโหว่ที่ถูกนำไปใช้ในการเปิดเผยข้อมูลบน VMware Tanzu Application Service for VMs (TAS for VMs) และ Isolation Segment โดยเกิดจากการถูกขโมยข้อมูล Credentials ซึ่งมีการเปิดเผยผ่านทาง Audit Logs

TAS (Tanzu Application Service) เป็นแพลตฟอร์มที่พัฒนาโดย VMware ซึ่งช่วยให้องค์กรสามารถจัดการแอปพลิเคชันได้โดยอัตโนมัติทั่วทั้งภายในองค์กร รวมทั้งระบบคลาวด์สาธารณะ และระบบคลาวด์ส่วนตัว เช่น vSphere, AWS, Azure, GCP, OpenStack

โดยช่องโหว่มีหมายเลข CVE-2023-20891 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูล Credentials ของผู้ดูแลระบบ Cloud Foundry (CF) API บนระบบที่มีช่องโหว่ได้อย่างง่ายดาย ส่งผลให้ผู้โจมตีสามารถใช้ข้อมูล Credentials ที่ได้มาเพื่อติดตั้งโปรแกรมที่เป็นอันตรายได้

โดยบริษัทแนะนำให้ผู้ใช้งาน TAS ทั้งหมดที่ได้รับผลกระทบจากช่องโหว่ CVE-2023-20891 ให้ทำการเปลี่ยนแปลงข้อมูล Credentials ของผู้ดูแลระบบ CF API เพื่อให้แน่ใจว่าผู้โจมตีไม่สามารถใช้รหัสผ่านที่อาจรั่วไหลได้

VMware ให้คำแนะนำโดยละเอียดเกี่ยวกับการเปลี่ยนบัญชีผู้ใช้งาน Cloud Foundry และการรับรองความถูกต้องของผู้ดูแลระบบ (UAA) ใน VMware tanzu support hub

ที่มา : bleepingcomputer

VMware แจ้งเตือนการโจมตีช่องโหว่ RCE ระดับ Critical ใน vRealize

VMware ประกาศแจ้งเตือนผู้ใช้งาน เนื่องจากปัจจุบัน Exploit Code ของช่องโหว่ RCE ระดับ Critical ใน VMware Aria Operations for Logs analysis tool ถูกปล่อยออกมาแล้ว

ช่องโหว่ (CVE-2023-20864) เป็นช่องโหว่ deserialization ที่ได้รับการอัปเดตแพตช์ไปแล้วในเดือนเมษายน ซึ่งทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ได้

โดยหากสามารถโจมตีได้สำเร็จ ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ Root ได้ โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน โดยปัจจุบัน VMware ยืนยันว่ามีการเผยแพร่โค้ดการโจมตี (Exploit Code) สำหรับช่องโหว่ CVE-2023-20864 ออกมาแล้ว

ในเดือนเมษายนที่ผ่านมา VMware ยังได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Command Injection ที่มีระดับความรุนแรงน้อยกว่า (CVE-2023-20865) ซึ่งทำให้ผู้โจมตีที่มีสิทธิ์ของผู้ดูแลระบบ สามารถเรียกใช้งานโค้ดที่เป็นอันตรายด้วยสิทธิ์ Root บนอุปกรณ์ที่มีช่องโหว่เช่นเดียวกัน

ช่องโหว่ทั้งสองได้รับการแก้ไขไปแล้วด้วยการอัปเดตแพตซ์ VMware Aria Operations for Logs เวอร์ชัน 8.12 ซึ่งปัจจุบันยังไม่มีหลักฐานที่แสดงให้เห็นว่ามีการโจมตีโดยใช้ช่องโหว่ดังกล่าว

ช่องโหว่ของ VMware Aria Operations ที่กำลังถูกใช้ในการโจมตี

เมื่อเร็ว ๆ นี้ VMware ได้ออกการแจ้งเตือนอีกครั้งเกี่ยวกับช่องโหว่ระดับ Critical หมายเลข CVE-2023-20887 ที่ได้รับการแพตช์แล้วใน VMware Aria Operations for Networks (เดิมคือ vRealize Network Insight) ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดที่เป็นอันตรายด้วยสิทธิ์ Root ที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

นอกจากนี้ CISA ยังเพิ่มช่องโหว่ดังกล่าวเข้าไปในรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี และสั่งให้หน่วยงานของรัฐบาลกลางสหรัฐฯ รีบอัปเดตแพตซ์ภายในวันที่ 13 กรกฎาคม ถึงแม้ว่าจำนวนอินสแตนซ์ VMware vRealize ที่เข้าถึงได้จากอินเทอร์เน็ตจะค่อนข้างต่ำก็ตาม แต่ผู้โจมตีก็มักใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในอุปกรณ์ภายในเครือข่าย เพื่อโจมตีต่อไปยังระบบต่าง ๆ ของเหยื่อ

คำแนะนำ

แนะนำให้อัปเดตแพตช์ VMware Aria Operations ให้เป็นเวอร์ชันล่าสุดทันที เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น

ที่มา : bleepingcomputer