CISA ประกาศแจ้งเตือนช่องโหว่ระดับ critical บน VMware ที่ทำให้สามารถโจมตีแบบ RCE ได้

CISA หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่ระดับ critical ใน Cloud Foundation ของ VMware ลงในแคตตาล็อกของช่องโหว่ที่กำลังถูกใช้ในการโจมตี Known Exploited Vulnerabilities (KEV)

VMware Cloud Foundation เป็น hybrid cloud platform ของ VMware สำหรับการใช้งานแอปพลิเคชันขององค์กรในรูปแบบ Private หรือ Public (more…)

Horizon3 ออกตัวอย่างการโจมตี (PoC) ของช่องโหว่ VMware vRealize RCE ระดับ Critical พบมีประเทศไทยด้วย

นักวิจัยด้านความปลอดภัยของ Horizon3 ได้เผยแพร่ Proof-of-Concept (PoC) สำหรับการโจมตีช่องโหว่ VMware vRealize Log Insight ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่ไม่ได้อัปเดตเพื่อปิดช่องโหว่ได้

VMware ได้ออกอัปเดตเพื่อปิดช่องโหว่ด้านความปลอดภัย 4 รายการใน VMware vRealize Log Insight เมื่อสัปดาห์ที่ผ่านมา โดย 2 รายการเป็นช่องโหว่ที่สำคัญ และอนุญาตให้ผู้โจมตีเรียกใช้โค้ดที่เป็นอันตรายบนอุปกรณ์ที่ถูกโจมตีได้ (Remote Code Execution) โดยมีความรุนแรงอยู่ในระดับ Critical (คะแนน CVSS 9.8/10)

CVE-2022-31706 เป็นช่องโหว่ใน directory traversal bug
CVE-2022-31704 เป็นช่องโหว่ broken access control ที่สามารถหลบเลี่ยงการตรวจสอบสิทธิ เพื่อแทรกไฟล์อันตรายในระบบปฏิบัติการของอุปกรณ์ที่มีช่องโหว่
CVE-2022-31710 เป็นช่องโหว่ที่ทำให้เกิด Denial of service (DoS) และ information disclosure บนอุปกรณ์ที่มีช่องโหว่
CVE-2022-31711 เป็นช่องโหว่ที่ทำให้สามารถเข้าถึง Session หรือข้อมูล application ที่มีความสำคัญของอุปกรณ์ที่มีช่องโหว่

จากการตรวจสอบของ Shodan พบว่า มีอินสแตนซ์ 45 รายการที่สามารถเข้าถึงได้บนอินเทอร์เน็ต เนื่องจากอุปกรณ์ VMware vRealize Log Insight ได้รับการออกแบบให้เข้าถึงได้จากภายในเครือข่ายขององค์กรเป็นหลัก รวมถึงยังพบ VMware vRealize Log Insight ที่มีช่องโหว่ จำนวน 5 รายการอยู่ที่ประเทศไทยอีกด้วย

แม้ปัจจุบันไม่มีรายงานการโจมตีที่ใช้ช่องโหว่ VMware vRealize ในการโจมตี แต่ทาง VMware ก็ได้ออกประกาศเตือนให้ผู้ใช้งานเร่งทำการอัปเดตช่องโหว่โดยด่วน เพื่อป้องกันการถูกโจมตี เนื่องจากในปีที่ผ่านมาก็มีการพบช่องโหว่ CVE-2022-22972 ที่ส่งผลกระทบต่อผลิตภัณฑ์ VMware หลายรายการ ซึ่งสามารถหลบเลี่ยงการตรวจสอบสิทธิ์และยกระดับสิทธิเป็นผู้ดูแลระบบในอุปกรณ์ที่มีช่องโหว่เช่นกัน

การป้องกัน :

ดำเนินการอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : bleepingcomputer

นักวิจัยความปลอดภัยเตรียมปล่อยข้อมูลช่องโหว่ VMware vRealize Log RCE exploit

นักวิจัยด้านความปลอดภัยของ Horizon3’s ได้มีการปล่อยรายละเอียดของช่องโหว่ที่มีรูปแบบเกี่ยวเนื่องกัน ที่จะส่งผลกระทบต่อไปเรื่อย ๆ บน VMware vRealize Log Insight ที่ยังไม่ได้ทำการอัปเดต Patch ซึ่งหากสามารถโจมตีได้สำเร็จ จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลด้วยสิทธิ์ของ root ได้ (more…)

VMware ออกแพตช์แก้ไขช่องโหว่ของ vRealize log analysis

เมื่อวันที่ 24 มกราคมที่ผ่านมา VMware ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ของ Insight Log ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ไปยังเครื่องเป้าหมายที่ยังไม่ได้ทำการแพตช์ ซึ่ง vRealize Log Insight (หรืออีกชื่อคือ VMware Aria Operations for Logs) เป็นเครื่องมือสำหรับ Log Management และ Log Analysis ซึ่งช่วยวิเคราะห์ infrastructure และ application log environment ของ VMware (more…)

VMware ออกแพตซ์แก้ไขช่องโหว่ระดับ Critical บน Cloud Foundation Platform

เมื่อวันอังคารที่ 25 ตุลาคมที่ผ่านมา ทาง VMware ได้ออกแพตซ์เพื่อแก้ไขช่องโหว่ของผลิตภัณฑ์ VMware Cloud Foundation ซึ่งถูกพบโดยนักวิจัยด้านความปลอดภัย Sina Kheirkah และ Stevenen Seeley จาก Source Incite

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2021-29144 ซึ่งเป็นช่องโหว่เกี่ยวกับการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการตรวจสอบสิทธิ ผ่านทาง XStream open source library และมี CVSS อยู่ที่ 9.8/10 และช่องโหว่หมายเลข CVE-2022-31678 ซึ่งเป็นช่องโหว่ XML Eternal Entity (XXE) ที่อาจถูกนำไปใช้ทำให้เกิดการปฎิเสธบริการ (DoS) หรือเปิดเผยข้อมูลที่ไม่ได้รับอนุญาต

แนวทางการแก้ไข

แนะนำให้ทำการอัปเดต Patch VMware Cloud Foundation เป็นเวอร์ชั่นที่ได้รับการแก้ไขล่าสุด
ในส่วนของลูกค้าที่ได้ทำการอัปเดตเป็น vCenter Server 8.0 ไปแล้ว จะต้องรอแพตซ์อัปเดตการแก้ไขดังกล่าวไปก่อน

วิธีลดผลกระทบเบื้องต้นหากยังไม่สามารถทำการแพตซ์ได้

ผู้ดูแลระบบเข้าสู่ระบบ SDDC manager บน VMware Cloud Foundation
เมื่อเข้าไปแล้ว ให้ใช้ Hot patch NSX สำหรับ vSphere (NSX-V) ที่จะอัปเกรด XStream เป็น เวอร์ชั่น 1.4.19 เพื่อปิดช่องทางการโจมตี
วิธีการแก้ไขนี้ ผู้ดูแลระบบจะต้องมาทำขั้นตอนเหล่านี้ทุกครั้งที่มีการสร้าง VI workload domain

Ref: https://thehackernews.

ผู้โจมตีจำนวนมากใช้ประโยชน์จากช่องโหว่ของ VMware เพื่อติดตั้ง Crypto Miners และ Ransomware

ช่องโหว่ VMware Workspace ONE Access ที่ปัจจุบันได้รับการแก้ไขไปแล้ว พบว่ากำลังถูกใช้ในการโจมตีเพื่อติดตั้ง cryptocurrency miners และ Ransomware บนเครื่องที่ถูกโจมตี

Cara Lin นักวิจัยของ Fortinet FortiGuard Labs ระบุในรายงานว่า ผู้โจมตีตั้งใจที่จะใช้ทรัพยากรของเหยื่อให้มากที่สุดไม่เพียงแค่ติดตั้ง RAR1Ransom เท่านั้น แต่ยังเพื่อแพร่กระจาย GuardMiner เพื่อทำการขุดเหรียญคริปโตเคอเรนซี

ช่องโหว่นี้มีหมายเลข CVE-2022-22954 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ซึ่งเกิดจาก server-side template injection แม้ว่าช่องโหว่ดังกล่าวจะได้รับการแก้ไขไปแล้วโดย VMware ในเดือนเมษายน พ.ศ. 2565 แต่ก็ยังมีการพยายามโจมตีอยู่อย่างต่อเนื่อง

Fortinet ระบุว่าตรวจพบการโจมตีในเดือนสิงหาคม พ.ศ. 2565 ที่เป็นการพยายามโจมตีเพื่อติดตั้ง Mirai botnet บน Linux รวมถึง RAR1Ransom และ GuardMiner ซึ่งเป็นเวอร์ชันหนึ่งของ XMRig Monero miner

Mirai ถูกออกแบบมาเพื่อเปิดใช้การโจมตีแบบ DoS และ brute-force attacks โดยมุ่งเป้าไปที่อุปกรณ์ประเภท IoT

การแพร่กระจายของ RAR1Ransom และ GuardMiner โดยใช้ PowerShell หรือเชลล์สคริปต์ขึ้นอยู่กับระบบปฏิบัติการ RAR1ransom จะใช้ประโยชน์จาก WinRAR เพื่อล็อคไฟล์โดยการใส่รหัสผ่าน

นอกจากนี้ GuardMiner ยังมีความสามารถในการเผยแพร่ไปยังโฮสต์อื่น ๆ โดยใช้ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในซอฟต์แวร์อื่น ๆ รวมถึงช่องโหว่ใน Apache Struts, Atlassian Confluence และ Spring Cloud Gateway

ที่มา: thehackernews

VMware และ Microsoft เตือนถึงแคมเปญมัลแวร์ Chromeloader ที่กำลังดำเนินการอยู่

VMware และ Microsoft ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ Chromeloader ที่กำลังถูกใช้เพื่อแพร่กระจายมัลแวร์

ChromeLoader เป็น extension ของ Chrome browser ที่เป็นอันตราย ซึ่งจัดอยู่ในประเภท pervasive browser hijacker ที่จะปรับเปลี่ยนการตั้งค่าของเบราว์เซอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้

มัลแวร์สามารถเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้ และดักจับคำค้นหาของผู้ใช้ใน search engines ยอดนิยม ไม่ว่าจะเป็น Google, Yahoo และ Bing โดยโค้ดที่เป็นอันตรายนั้นยังสามารถใช้ PowerShell เพื่อแทรกตัวเองลงในเบราว์เซอร์ และเพิ่ม extension ลงในเบราว์เซอร์ได้ด้วย

ในเดือนพฤษภาคม นักวิจัยจาก Red Canary สังเกตเห็นแคมเปญโฆษณาที่ใช้แพร่กระจายมัลแวร์ ChromeLoader ที่จะทำการดักจับเบราว์เซอร์ของเหยื่อ โดยในสัปดาห์นี้ VMware และ Microsoft ได้ออกมาเตือนถึงแคมเปญมัลแวร์ Chromeloader ที่กำลังถูกใช้ในการโจมตี ซึ่งจะติดตั้ง extension บนเบราว์เซอร์ที่เป็นอันตราย, มัลแวร์ node-WebKit และแรนซัมแวร์

Microsoft มองว่าแคมเปญนี้มาจากผู้โจมตีที่ชื่อว่า DEV-0796 ซึ่งผู้โจมตีนั้นพยายามสร้างรายได้จากการคลิกที่สร้างโดย browser node-webkit หรือ extension บนเบราว์เซอร์ที่เป็นอันตราย ซึ่งจะแอบติดตั้งไว้บนอุปกรณ์ของเหยื่อ

แคมเปญนี้จะเริ่มต้นการโจมตีด้วยไฟล์ ISO ที่จะถูกดาวน์โหลดเมื่อผู้ใช้คลิกโฆษณาที่เป็นอันตรายหรือ YouTube comments เมื่อทำการเปิดไฟล์ ISO เบราว์เซอร์ node-webkit (NW.js) หรือ extension ของเบราว์เซอร์จะถูกติดตั้ง ซึ่งผู้เชี่ยวชาญยังสังเกตเห็นว่าผู้โจมตีใช้ไฟล์ DMG เพื่อกำหนดเป้าหมายบนระบบ macOS อีกด้วย

VMware ได้เผยแพร่รายงานที่ให้รายละเอียดทางเทคนิคเกี่ยวกับ Chromeloader หลายตัวที่บริษัทสังเกตเห็นตั้งแต่เดือนสิงหาคม และล่าสุดเมื่อปลายเดือนสิงหาคม ChromeLoader ถูกใช้เพื่อติดตั้ง ZipBombs ลงบนระบบที่ถูกโจมตี มัลแวร์นี้ถูกใช้เพื่อทำลายระบบของผู้ใช้ด้วยการโหลดข้อมูลที่มากจนเกินไป

ผู้เชี่ยวชาญยังสังเกตเห็นการใช้ ChromeLoader เพื่อดาวน์โหลด Enigma Ransomware ซึ่งส่งออกเป็นไฟล์แนบ HTML ที่พบในไฟล์ ISO โดยเมื่อเปิดไฟล์แนบ ก็จะมีการเปิดเบราว์เซอร์ และเรียกใช้จาวาสคริปต์ที่ฝังอยู่

เทคนิคการโจมตีอื่น ๆ ที่โดดเด่น คือ OpenSubtitles ในเวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ช่วยให้ผู้ใช้ค้นหาคำบรรยายสำหรับภาพยนตร์ และรายการทีวีที่เป็นที่นิยม และ Flbmusic.

หน่วยงานรัฐของประเทศชิลีถูก Ransomware ชนิดใหม่โจมตี เป้าหมายคือ Microsoft Server และ VMware ESXi Server

ทีม Cyber Security Incident Response (CSIRT) ของชิลีได้ออกมารายงานว่าถูกโจมตีด้วยแรนซัมแวร์ ส่งผลกระทบต่อการดำเนินงาน และบริการออนไลน์ของหน่วยงานรัฐบาลในประเทศ

รายละเอียดการโจมตี

การโจมตีเกิดขึ้นในวันพฤหัสบดีที่ 25 สิงหาคม 2565 โดยมีเป้าหมายคือ Microsoft Server และ VMware ESXi Server
บน ESXi Server แรนซัมแวร์เริ่มต้นโดยหยุดการทำงานของระบบที่เป็น VM ทั้งหมด จากนั้นใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส โดยเป้าหมายคือไฟล์ประเภท log files (.log), executable files (.exe), dynamic library files (.dll), swap files (.vswp), virtual disks (. vmdk), snapshot (.vmsn) files, และ virtual machine memory (.vmem) files
เมื่อเข้ารหัสเรียบร้อยแล้ว ไฟล์นามสกุลจะถูกต่อท้ายด้วย ".crypt"
จากนั้นผู้โจมตีได้เสนอช่องทางให้รัฐบาลชิลีเพื่อชำระเงินค่าไถ่ โดยกำหนดเวลาไว้ที่ 3 วัน ก่อนมีการขายข้อมูลสู่ DarkWeb
ส่วนระบบปฏิบัติการ Windows มัลแวร์จะใช้ชื่อว่า SecurityUpdate โดยทำการเพิ่ม Reistry เพื่อให้ตัวมันทำงานทันทีหลังมีการเปิดเครื่อง

จากเหตุการณ์ดังกล่าว CSIRT ไม่ได้ชี้แจงว่าถูกมัลแวร์ชนิดใดโจมตี เพียงระบุว่ามัลแวร์ที่พบครั้งนี้มีฟังก์ชันสำหรับขโมยข้อมูลประจำตัวจากเว็บเบราว์เซอร์, แสดงรายการ Removable devices ที่สามารถเข้ารหัส และหลบเลี่ยงการตรวจจับการป้องกันไวรัสโดยใช้การตั้ง Time Out ในการ Execute File

แต่จากพฤติกรรมของมัลแวร์ พบว่าตรงกับแรนซัมแวร์ 'RedAlert' (หรือที่รู้จักว่า "N13V") ที่เปิดตัวไปเมื่อเดือนกรกฎาคม พ.ศ. 2565 ซึ่งปกติ RedAlert จะใช้ extension ".crypt" ในการโจมตี เป้าหมายหลักๆของแรนซัมแวร์ชนิดนี้คือ Windows และ VMWare ESXi Server ส่วนลักษณะการทำงานก็ตรงกับที่รัฐบาลชิลีพบ คือจะหยุดการทำงานของระบบ VM ทั้งหมดก่อนที่จะเข้ารหัส นอกจากนี้ยังใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส

อย่างไรก็ตามผู้เชี่ยวชาญจาก BleepingComputer ได้ยืนยันจากข้อมูลที่ได้รับว่า Ransomware นี้ไม่มีการสร้างไฟล์เรียกค่าไถ่ขณะเข้ารหัส แต่ใช้การวางไฟล์ก่อนเข้ารหัสแทน คาดว่าเป็นวิธีการหนึ่งที่ใช้ในการปกปิดตัวตนของผู้โจมตี นอกจากนี้ยังใช้วิธีสร้างลิงก์ไปยังเว็บไซต์ที่ไม่ซ้ำกันในเครือข่าย Tor Browser และต้องระบุรหัสผ่านเพื่อเข้าสู่ระบบด้วย

แนวทางการป้องกัน

ตั้งค่า Policy บน Firewall และ Antivirus ให้เหมาะสม
Update Patch VMware และ Microsoft ให้เป็นเวอร์ชันล่าสุด
Backup ข้อมูลอยู่สม่ำเสมอ
สร้าง Awareness ให้กับพนักงาน
จำกัดการเข้าถึงเครือข่าย และกำหนดสิทธิ์การเข้าถึงระบบต่างๆ
ติดตามข่าวสารอย่างสม่ำเสมอ

IOC

ที่มา : bleepingcomputer

VMware ออกแพตช์สำหรับช่องโหว่ใหม่ที่ส่งผลกระทบต่อผลิตภัณฑ์ต่าง ๆ หลายรายการ

ในวันอังคารที่ผ่านมา VMware ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ 10 รายการ ที่ส่งผลกระทบต่อผลิตภัณฑ์ต่าง ๆ ของVMware โดยผู้โจมตีที่ไม่ต้องผ่านการตรวจสอบสิทธิ์

ช่องโหว่มีหมายเลข CVE-2022-31656 ถึง CVE-2022-31665 (คะแนน CVSS: 4.7 - 9.8) ส่งผลกระทบต่อ VMware Workspace ONE Access, Workspace ONE Access Connector, Identity Manager, Identity Manager Connector, vRealize Automation, Cloud Foundation และ vRealize Suite Lifecycle Manager

ช่องโหว่ร้ายแรงที่สุดคือ CVE-2022-31656 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ authentication bypass ที่ส่งผลกระทบต่อ local domain users ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงเครือข่าย และเข้าถึงสิทธิ์ของผู้ดูแลระบบได้

นอกจากนี้ VMware ยังได้แก้ไขช่องโหว่ remote code execution สามช่องโหว่ (CVE-2022-31658, CVE-2022-31659 และ CVE-2022-31665) ที่เกี่ยวข้องกับ JDBC และ SQL injection

นอกจากนี้ยังแก้ไขช่องโหว่ cross-site scripting (XSS) (CVE-2022-31663) ที่ระบุว่าเป็นผลกระทบจากการจัดการรายชื่อผู้ใช้ที่ไม่เหมาะสม ซึ่งอาจนำไปสู่การใช้งานโค้ด JavaScript ที่เป็นอันตราย

รวมไปถึง 3 ช่องโหว่ (CVE-2022-31660, CVE-2022-31661 และ CVE-2022-31664) ที่เกี่ยวกับการยกระดับสิทธิ์ local privilege ที่สามารถทำให้ผู้โจมตียกระดับเป็นสิทธิ์ root ได้, ช่องโหว่ URL Injection ( CVE-2022-31657) และช่องโหว่ path traversal (CVE-2022-31662)

โดยที่หากการโจมตีช่องโหว่ CVE-2022-31657 สามารถทำได้สำเร็จ จะสามารถเปลี่ยนเส้นทางผู้ใช้งานไปยังโดเมนตามที่ต้องการได้ ส่วนช่องโหว่ CVE-2022-31662 ก็ทำให้ผู้โจมตีสามารถเข้าถึงไฟล์โดยไม่ได้รับอนุญาตได้

VMware ระบุว่ายังไม่พบรายงานการโจมตีจากช่องโหว่เหล่านี้เกิดขึ้นจริง แต่แนะนำให้ผู้ใช้งานอัปเดตแพตช์ในทันทีเพื่อลดความเสี่ยงภัยจากคุกคามที่อาจเกิดขึ้น

ที่มา: thehackernews

Linux version of Black Basta ransomware targets VMware ESXi servers

แรนซัมแวร์ Black Basta เวอร์ชัน Linux กำหนดเป้าหมายเซิร์ฟเวอร์ VMware ESXi

Black Basta เป็นแรนซัมแวร์ตัวล่าสุดที่เพิ่มการเข้ารหัส VMware ESXi virtual machine (VMs) ที่ทำงานบนเซิร์ฟเวอร์ Linux ขององค์กร

กลุ่มแรนซัมแวร์ส่วนใหญ่กําลังมุ่งเน้นไปที่การโจมตี ESXi VMs เนื่องจากวิธีการนี้สอดคล้องกับการกําหนดเป้าหมายในลักษณะองค์กร เนื่องจากทำให้สามารถใช้ประโยชน์จากการเข้ารหัสเซิร์ฟเวอร์หลายเครื่องได้เร็วขึ้นด้วยคําสั่งเพียงครั้งเดียว

การเข้ารหัสของแรนซัมแวร์กับ VM นั้นได้ผลเป็นอย่างมาก เนื่องจากหลายบริษัทมีการย้ายระบบไปยัง virtual machine เนื่องจากช่วยให้จัดการอุปกรณ์ได้ง่ายขึ้น และใช้ทรัพยากรอย่างมีประสิทธิภาพมากขึ้น

กลุ่มแรนซัมแวร์ Black Basta มุ่งเป้าไปที่เซิร์ฟเวอร์ ESXi (more…)