เมื่อสองสัปดาห์ก่อน VMware ออกคำแนะนำด้านความปลอดภัย เพื่อเตือนผู้ใช้งานถึงช่องโหว่ Remote Code Execution (RCE) ระดับ Critical ที่มีหมายเลข CVE-2023-20887 ซึ่งได้รับการอัปเดตแพตซ์แก้ไขไปแล้วก่อนหน้านี้ เนื่องจากผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีอยู่ในปัจจุบัน (more…)

วันนี้ (7 มิถุนายน 2023) VMware ออกแพตช์เพื่อแก้ไขช่องโหว่ระดับ High และ Critical ใน VMware Aria Operations for Networks ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญจากภายนอกได้

ก่อนหน้านี้ vRealize Network Insight (vRNI) เป็นเครื่องมือที่ใช้ในการตรวจสอบ และวิเคราะห์เครือข่าย ซึ่งช่วยให้ผู้ดูแลระบบสามารถเพิ่มประสิทธิภาพการทำงานของเครือข่าย บริหารจัดการ และปรับขนาดการใช้ VMware และ Kubernetes ต่าง ๆ ได้ (more…)

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบกลุ่ม Hacker ที่มีแรงจูงใจทางด้านการเงินในชื่อ 'UNC3944' ใช้การโจมตี แบบ phishing และ SIM swapping เพื่อขโมยบัญชีผู้ดูแลระบบ Microsoft Azure และเข้าถึง VM ของเป้าหมาย

จากนั้น Hacker จะใช้ Azure Serial Console ในการติดตั้งซอฟต์แวร์ Remote Management Software เพื่อฝังตัวในระบบ และใช้ Azure Extensions เพื่อเฝ้าระวังการตรวจจับ (more…)

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบกลุ่ม Hacker ที่มีแรงจูงใจทางด้านการเงินในชื่อ 'UNC3944' ใช้การโจมตี แบบ phishing และ SIM swapping เพื่อขโมยบัญชีผู้ดูแลระบบ Microsoft Azure และเข้าถึง VM ของเป้าหมาย

จากนั้น Hacker จะใช้ Azure Serial Console ในการติดตั้งซอฟต์แวร์ Remote Management Software เพื่อฝังตัวในระบบ และใช้ Azure Extensions เพื่อเฝ้าระวังการตรวจจับ (more…)

VMware ออกแพตช์แก้ไขช่องโหว่ของ vRealize Log Insight ซึ่งทำให้ผู้โจมตีเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ไปยังเครื่องเป้าหมายที่ยังไม่ได้ทำการแพตช์ได้

vRealize Log Insight หรือปัจจุบันรู้จักกันในชื่อ VMware Aria Operations for Logs เป็นเครื่องมือ log analysis ที่ช่วยวิเคราะห์ application และ infrastructure log environment

(more…)

CISA หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่ระดับ critical ใน Cloud Foundation ของ VMware ลงในแคตตาล็อกของช่องโหว่ที่กำลังถูกใช้ในการโจมตี Known Exploited Vulnerabilities (KEV)

VMware Cloud Foundation เป็น hybrid cloud platform ของ VMware สำหรับการใช้งานแอปพลิเคชันขององค์กรในรูปแบบ Private หรือ Public (more…)

นักวิจัยด้านความปลอดภัยของ Horizon3 ได้เผยแพร่ Proof-of-Concept (PoC) สำหรับการโจมตีช่องโหว่ VMware vRealize Log Insight ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่ไม่ได้อัปเดตเพื่อปิดช่องโหว่ได้

VMware ได้ออกอัปเดตเพื่อปิดช่องโหว่ด้านความปลอดภัย 4 รายการใน VMware vRealize Log Insight เมื่อสัปดาห์ที่ผ่านมา โดย 2 รายการเป็นช่องโหว่ที่สำคัญ และอนุญาตให้ผู้โจมตีเรียกใช้โค้ดที่เป็นอันตรายบนอุปกรณ์ที่ถูกโจมตีได้ (Remote Code Execution) โดยมีความรุนแรงอยู่ในระดับ Critical (คะแนน CVSS 9.8/10)

CVE-2022-31706 เป็นช่องโหว่ใน directory traversal bug
CVE-2022-31704 เป็นช่องโหว่ broken access control ที่สามารถหลบเลี่ยงการตรวจสอบสิทธิ เพื่อแทรกไฟล์อันตรายในระบบปฏิบัติการของอุปกรณ์ที่มีช่องโหว่
CVE-2022-31710 เป็นช่องโหว่ที่ทำให้เกิด Denial of service (DoS) และ information disclosure บนอุปกรณ์ที่มีช่องโหว่
CVE-2022-31711 เป็นช่องโหว่ที่ทำให้สามารถเข้าถึง Session หรือข้อมูล application ที่มีความสำคัญของอุปกรณ์ที่มีช่องโหว่

จากการตรวจสอบของ Shodan พบว่า มีอินสแตนซ์ 45 รายการที่สามารถเข้าถึงได้บนอินเทอร์เน็ต เนื่องจากอุปกรณ์ VMware vRealize Log Insight ได้รับการออกแบบให้เข้าถึงได้จากภายในเครือข่ายขององค์กรเป็นหลัก รวมถึงยังพบ VMware vRealize Log Insight ที่มีช่องโหว่ จำนวน 5 รายการอยู่ที่ประเทศไทยอีกด้วย

แม้ปัจจุบันไม่มีรายงานการโจมตีที่ใช้ช่องโหว่ VMware vRealize ในการโจมตี แต่ทาง VMware ก็ได้ออกประกาศเตือนให้ผู้ใช้งานเร่งทำการอัปเดตช่องโหว่โดยด่วน เพื่อป้องกันการถูกโจมตี เนื่องจากในปีที่ผ่านมาก็มีการพบช่องโหว่ CVE-2022-22972 ที่ส่งผลกระทบต่อผลิตภัณฑ์ VMware หลายรายการ ซึ่งสามารถหลบเลี่ยงการตรวจสอบสิทธิ์และยกระดับสิทธิเป็นผู้ดูแลระบบในอุปกรณ์ที่มีช่องโหว่เช่นกัน

การป้องกัน :

ดำเนินการอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยของ Horizon3’s ได้มีการปล่อยรายละเอียดของช่องโหว่ที่มีรูปแบบเกี่ยวเนื่องกัน ที่จะส่งผลกระทบต่อไปเรื่อย ๆ บน VMware vRealize Log Insight ที่ยังไม่ได้ทำการอัปเดต Patch ซึ่งหากสามารถโจมตีได้สำเร็จ จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลด้วยสิทธิ์ของ root ได้ (more…)

เมื่อวันที่ 24 มกราคมที่ผ่านมา VMware ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ของ Insight Log ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ไปยังเครื่องเป้าหมายที่ยังไม่ได้ทำการแพตช์ ซึ่ง vRealize Log Insight (หรืออีกชื่อคือ VMware Aria Operations for Logs) เป็นเครื่องมือสำหรับ Log Management และ Log Analysis ซึ่งช่วยวิเคราะห์ infrastructure และ application log environment ของ VMware (more…)

เมื่อวันอังคารที่ 25 ตุลาคมที่ผ่านมา ทาง VMware ได้ออกแพตซ์เพื่อแก้ไขช่องโหว่ของผลิตภัณฑ์ VMware Cloud Foundation ซึ่งถูกพบโดยนักวิจัยด้านความปลอดภัย Sina Kheirkah และ Stevenen Seeley จาก Source Incite

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2021-29144 ซึ่งเป็นช่องโหว่เกี่ยวกับการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการตรวจสอบสิทธิ ผ่านทาง XStream open source library และมี CVSS อยู่ที่ 9.8/10 และช่องโหว่หมายเลข CVE-2022-31678 ซึ่งเป็นช่องโหว่ XML Eternal Entity (XXE) ที่อาจถูกนำไปใช้ทำให้เกิดการปฎิเสธบริการ (DoS) หรือเปิดเผยข้อมูลที่ไม่ได้รับอนุญาต

แนวทางการแก้ไข

แนะนำให้ทำการอัปเดต Patch VMware Cloud Foundation เป็นเวอร์ชั่นที่ได้รับการแก้ไขล่าสุด
ในส่วนของลูกค้าที่ได้ทำการอัปเดตเป็น vCenter Server 8.0 ไปแล้ว จะต้องรอแพตซ์อัปเดตการแก้ไขดังกล่าวไปก่อน

วิธีลดผลกระทบเบื้องต้นหากยังไม่สามารถทำการแพตซ์ได้

ผู้ดูแลระบบเข้าสู่ระบบ SDDC manager บน VMware Cloud Foundation
เมื่อเข้าไปแล้ว ให้ใช้ Hot patch NSX สำหรับ vSphere (NSX-V) ที่จะอัปเกรด XStream เป็น เวอร์ชั่น 1.4.19 เพื่อปิดช่องทางการโจมตี
วิธีการแก้ไขนี้ ผู้ดูแลระบบจะต้องมาทำขั้นตอนเหล่านี้ทุกครั้งที่มีการสร้าง VI workload domain

Ref: https://thehackernews.