ทีม Cyber Security Incident Response (CSIRT) ของชิลีได้ออกมารายงานว่าถูกโจมตีด้วยแรนซัมแวร์ ส่งผลกระทบต่อการดำเนินงาน และบริการออนไลน์ของหน่วยงานรัฐบาลในประเทศ

รายละเอียดการโจมตี

การโจมตีเกิดขึ้นในวันพฤหัสบดีที่ 25 สิงหาคม 2565 โดยมีเป้าหมายคือ Microsoft Server และ VMware ESXi Server
บน ESXi Server แรนซัมแวร์เริ่มต้นโดยหยุดการทำงานของระบบที่เป็น VM ทั้งหมด จากนั้นใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส โดยเป้าหมายคือไฟล์ประเภท log files (.log), executable files (.exe), dynamic library files (.dll), swap files (.vswp), virtual disks (. vmdk), snapshot (.vmsn) files, และ virtual machine memory (.vmem) files
เมื่อเข้ารหัสเรียบร้อยแล้ว ไฟล์นามสกุลจะถูกต่อท้ายด้วย ".crypt"
จากนั้นผู้โจมตีได้เสนอช่องทางให้รัฐบาลชิลีเพื่อชำระเงินค่าไถ่ โดยกำหนดเวลาไว้ที่ 3 วัน ก่อนมีการขายข้อมูลสู่ DarkWeb
ส่วนระบบปฏิบัติการ Windows มัลแวร์จะใช้ชื่อว่า SecurityUpdate โดยทำการเพิ่ม Reistry เพื่อให้ตัวมันทำงานทันทีหลังมีการเปิดเครื่อง

จากเหตุการณ์ดังกล่าว CSIRT ไม่ได้ชี้แจงว่าถูกมัลแวร์ชนิดใดโจมตี เพียงระบุว่ามัลแวร์ที่พบครั้งนี้มีฟังก์ชันสำหรับขโมยข้อมูลประจำตัวจากเว็บเบราว์เซอร์, แสดงรายการ Removable devices ที่สามารถเข้ารหัส และหลบเลี่ยงการตรวจจับการป้องกันไวรัสโดยใช้การตั้ง Time Out ในการ Execute File

แต่จากพฤติกรรมของมัลแวร์ พบว่าตรงกับแรนซัมแวร์ 'RedAlert' (หรือที่รู้จักว่า "N13V") ที่เปิดตัวไปเมื่อเดือนกรกฎาคม พ.ศ. 2565 ซึ่งปกติ RedAlert จะใช้ extension ".crypt" ในการโจมตี เป้าหมายหลักๆของแรนซัมแวร์ชนิดนี้คือ Windows และ VMWare ESXi Server ส่วนลักษณะการทำงานก็ตรงกับที่รัฐบาลชิลีพบ คือจะหยุดการทำงานของระบบ VM ทั้งหมดก่อนที่จะเข้ารหัส นอกจากนี้ยังใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส

อย่างไรก็ตามผู้เชี่ยวชาญจาก BleepingComputer ได้ยืนยันจากข้อมูลที่ได้รับว่า Ransomware นี้ไม่มีการสร้างไฟล์เรียกค่าไถ่ขณะเข้ารหัส แต่ใช้การวางไฟล์ก่อนเข้ารหัสแทน คาดว่าเป็นวิธีการหนึ่งที่ใช้ในการปกปิดตัวตนของผู้โจมตี นอกจากนี้ยังใช้วิธีสร้างลิงก์ไปยังเว็บไซต์ที่ไม่ซ้ำกันในเครือข่าย Tor Browser และต้องระบุรหัสผ่านเพื่อเข้าสู่ระบบด้วย

แนวทางการป้องกัน

ตั้งค่า Policy บน Firewall และ Antivirus ให้เหมาะสม
Update Patch VMware และ Microsoft ให้เป็นเวอร์ชันล่าสุด
Backup ข้อมูลอยู่สม่ำเสมอ
สร้าง Awareness ให้กับพนักงาน
จำกัดการเข้าถึงเครือข่าย และกำหนดสิทธิ์การเข้าถึงระบบต่างๆ
ติดตามข่าวสารอย่างสม่ำเสมอ

IOC

ที่มา : bleepingcomputer

ในวันอังคารที่ผ่านมา VMware ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ 10 รายการ ที่ส่งผลกระทบต่อผลิตภัณฑ์ต่าง ๆ ของVMware โดยผู้โจมตีที่ไม่ต้องผ่านการตรวจสอบสิทธิ์

ช่องโหว่มีหมายเลข CVE-2022-31656 ถึง CVE-2022-31665 (คะแนน CVSS: 4.7 - 9.8) ส่งผลกระทบต่อ VMware Workspace ONE Access, Workspace ONE Access Connector, Identity Manager, Identity Manager Connector, vRealize Automation, Cloud Foundation และ vRealize Suite Lifecycle Manager

ช่องโหว่ร้ายแรงที่สุดคือ CVE-2022-31656 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ authentication bypass ที่ส่งผลกระทบต่อ local domain users ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงเครือข่าย และเข้าถึงสิทธิ์ของผู้ดูแลระบบได้

นอกจากนี้ VMware ยังได้แก้ไขช่องโหว่ remote code execution สามช่องโหว่ (CVE-2022-31658, CVE-2022-31659 และ CVE-2022-31665) ที่เกี่ยวข้องกับ JDBC และ SQL injection

นอกจากนี้ยังแก้ไขช่องโหว่ cross-site scripting (XSS) (CVE-2022-31663) ที่ระบุว่าเป็นผลกระทบจากการจัดการรายชื่อผู้ใช้ที่ไม่เหมาะสม ซึ่งอาจนำไปสู่การใช้งานโค้ด JavaScript ที่เป็นอันตราย

รวมไปถึง 3 ช่องโหว่ (CVE-2022-31660, CVE-2022-31661 และ CVE-2022-31664) ที่เกี่ยวกับการยกระดับสิทธิ์ local privilege ที่สามารถทำให้ผู้โจมตียกระดับเป็นสิทธิ์ root ได้, ช่องโหว่ URL Injection ( CVE-2022-31657) และช่องโหว่ path traversal (CVE-2022-31662)

โดยที่หากการโจมตีช่องโหว่ CVE-2022-31657 สามารถทำได้สำเร็จ จะสามารถเปลี่ยนเส้นทางผู้ใช้งานไปยังโดเมนตามที่ต้องการได้ ส่วนช่องโหว่ CVE-2022-31662 ก็ทำให้ผู้โจมตีสามารถเข้าถึงไฟล์โดยไม่ได้รับอนุญาตได้

VMware ระบุว่ายังไม่พบรายงานการโจมตีจากช่องโหว่เหล่านี้เกิดขึ้นจริง แต่แนะนำให้ผู้ใช้งานอัปเดตแพตช์ในทันทีเพื่อลดความเสี่ยงภัยจากคุกคามที่อาจเกิดขึ้น

ที่มา: thehackernews

แรนซัมแวร์ Black Basta เวอร์ชัน Linux กำหนดเป้าหมายเซิร์ฟเวอร์ VMware ESXi

Black Basta เป็นแรนซัมแวร์ตัวล่าสุดที่เพิ่มการเข้ารหัส VMware ESXi virtual machine (VMs) ที่ทำงานบนเซิร์ฟเวอร์ Linux ขององค์กร

กลุ่มแรนซัมแวร์ส่วนใหญ่กําลังมุ่งเน้นไปที่การโจมตี ESXi VMs เนื่องจากวิธีการนี้สอดคล้องกับการกําหนดเป้าหมายในลักษณะองค์กร เนื่องจากทำให้สามารถใช้ประโยชน์จากการเข้ารหัสเซิร์ฟเวอร์หลายเครื่องได้เร็วขึ้นด้วยคําสั่งเพียงครั้งเดียว

การเข้ารหัสของแรนซัมแวร์กับ VM นั้นได้ผลเป็นอย่างมาก เนื่องจากหลายบริษัทมีการย้ายระบบไปยัง virtual machine เนื่องจากช่วยให้จัดการอุปกรณ์ได้ง่ายขึ้น และใช้ทรัพยากรอย่างมีประสิทธิภาพมากขึ้น

กลุ่มแรนซัมแวร์ Black Basta มุ่งเป้าไปที่เซิร์ฟเวอร์ ESXi (more…)

EnemyBot เป็นบ็อตเน็ตที่ใช้โค้ดจากมัลแวร์หลายตัว โดยปัจจุบันกำลังขยายการโจมตีโดยใช้ช่องโหว่ความรุนแรงระดับ Critical บน Web servers, CMS, IoT และอุปกรณ์ Android

บ็อตเน็ตถูกพบครั้งแรกในเดือนมีนาคมโดยนักวิจัยจาก Securonix และในเดือนเมษายนเมื่อมีการวิเคราะห์ตัวอย่างตัวใหม่ที่ตรวจพบจากทาง Fortinet พบว่ามัลแวร์ EnemyBot ได้รวมช่องโหว่ต่างๆของ Processor architectures ไว้เป็นจำนวนมาก ซึ่งวัตถุประสงค์หลักของมัลแวร์คือการโจมตีแบบ distributed denial-of-service (DDoS) และมัลแวร์ยังมีโมดูลสำหรับการสแกนหาอุปกรณ์เป้าหมาย และการแพร่กระจายมัลแวร์

EnemyBot เวอร์ชันใหม่

จากรายงานใหม่ของ AT&T Alien Labs ระบุว่ามัลแวร์ EnemyBot เวอร์ชันล่าสุดมีการรวมเอาช่องโหว่กว่า 24 รายการ ซึ่งส่วนใหญ่มีระดับความรุนแรง Critical แต่มีหลายช่องโหว่ที่ยังไม่มีหมายเลข CVE ซึ่งทำให้ผู้ดูแลระบบป้องกันได้ยากขึ้น

เมื่อเดือนเมษายน ช่องโหว่ส่วนใหญ่จะเกี่ยวข้องกับ Router และอุปกรณ์ IoT โดยมีหมายเลขช่องโหว่เป็น CVE-2022-27226 (iRZ) และ CVE-2022-25075 (TOTOLINK) ซึ่งเป็นช่องโหว่ล่าสุด และส่วนใหญ่จะเป็นช่องโหว่เกี่ยวกับ Log4Shell

โดยเวอร์ชันใหม่ที่ถูกวิเคราะห์โดย AT&T Alien Labs ได้รวมข้อมูลช่องโหว่ที่ตัวมัลแวร์จะใช้ในการโจมตีไว้ดังต่อไปนี้:

CVE-2022-22954: Critical (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลต่อ VMware Workspace ONE Access และ VMware Identity Manager ซึ่งมี PoC (proof of concept) exploit ที่มีการเผยแพร่ในเดือนเมษายน พ.ศ. 2565
CVE-2022-22947: ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Spring โดยเป็นช่องโหว่ Zero-day ที่มีการแก้ไขในเดือนมีนาคม 2022 และเดือนเมษายน 2022
CVE-2022-1388: Critical (CVSS: 9.8) ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ส่งผลกระทบต่อ F5 BIG-IP ซึ่งมี PoC ออกมาในช่วงเดือนพฤษภาคม พ.ศ. 2565 และได้ถูกนำมาใช้ในการโจมตีทันที

กลุ่ม Keksec ที่อยู่เบื้องหลังมัลแวร์ EnemyBot กำลังพัฒนามัลแวร์ และมีโปรเจ็กต์ที่เกี่ยวกับการโจมตีอื่น ๆ เช่น: Tsunami, Gafgyt, DarkHTTP, DarkIRC และ Necro และดูเหมือนว่ากลุ่มดังกล่าวจะมีนักพัฒนามัลแวร์ที่มีประสบการณ์ ซึ่งมีความมุ่งมั่นเป็นพิเศษสำหรับโปรเจ็กต์ใหม่ๆ โดยมีการเพิ่มการโจมตีโดยใช้ช่องโหว่ใหม่ๆ หลังจากที่มีการเผยแพร่ในทันที ซึ่งทำให้กลุ่มดังกล่าวสามารถนำช่องโหว่มาใช้ในการโจมตีได้ก่อนที่ผู้ดูแลระบบจะทำการแก้ไข

คำแนะนำในการป้องกัน

อัปเดตแพตช์ผลิตภัณฑ์ และซอฟต์แวร์ทันทีที่มีการอัปเดต และควรตรวจสอบการรับส่งข้อมูลภายใน และภายนอกเครือข่ายอย่างสม่ำเสมอ

ที่มา : bleepingcomputer

 

 

แฮ็กเกอร์กำลังโจมตีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical CVE-2022-22954 ซึ่งส่งผลกระทบกับ VMware Workspace ONE Access (เดิมเรียกว่า VMware Identity Manager)

ช่องโหว่ดังกล่าวได้ถูกแก้ไขไปแล้วจากการอัปเดตแพตซ์ด้านความปลอดภัยเมื่อ 20 วันก่อนพร้อมกับ RCE อีกสองรายการ CVE-2022-22957 และ CVE-2022-22958 ที่ส่งผลกระทบกับ VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation และ vRealize Suite Lifecycle Manage

ไม่นานหลังจากการเปิดเผยรายละเอียดของช่องโหว่ และมีโค้ด PoC ปล่อยออกมาสู่สาธารณะ ก็เริ่มพบการโจมตีตามมาทันที ซึ่งแฮ็กเกอร์จะมุ่งเป้าโจมตีไปยัง VMware ที่ยังไม่ได้ทำการอัพเดทแพตซ์ ซึ่งทาง VMware ก็ยืนยันว่า CVE-2022-22954 ถูกนำมาใช้ในการโจมตีแล้วจริงๆ

ปัจจุบันนักวิจัยจาก Morphisec ก็รายงานว่าพบการโจมตีช่องโหว่นี้จากกลุ่ม APT ที่ชื่อว่า APT35 หรืออีกชื่อหนึ่งคือ "Rocket Kitten"

รายละเอียดการโจมตี

เมื่อแฮ็กเกอร์โจมตีได้สำเร็จ จะเริ่มต้นด้วยการรันคำสั่ง PowerShell บน Identity Manager ที่มีช่องโหว่ จากนั้นก็จะทำการดาวน์โหลดตัว loader และโหลด Core Impact Agent จาก C2 Server ซึ่ง Core Impact Agent เป็น Pentest Tool ที่มีลักษณะคล้ายกันกับ Cobalt Strike ซึ่งถูกนำมาใช้ในการโจมตีของกลุ่มดังกล่าว

การโจมตีจาก APT35 (Morphisec)
Morphisec สามารถตรวจสอบหาที่อยู่ของ C2 Server และสามารถเชื่อมโยงเข้ากับบุคคลหนึ่งที่มีชื่อว่า Ivan Neculiti และบริษัทชื่อ Stark Industries ซึ่งทาง BleepingComputer พบความเชื่อมโยงของบริษัท 2-3 แห่งที่เกี่ยวข้องกับการฉ้อโกง แล้วพบว่ามีชื่อของ Neculiti เข้าไปเกี่ยวข้องด้วย รวมไปถึงบริษัทผู้ให้บริการ Hosting ที่ถูกกล่าวหาว่าให้การสนับสนุนเว็ปไซต์ที่ใช้ในการโจมตีดังกล่าว

ล่าสุด (26 เมษายน 12:04 PM) BleepingComputer ได้รับคำชี้แจงจากบริษัท P.Q. Hosting S.R.L สำนักงานใหญ่ในมอลโดวา และบริษัทแม่ของ Stark Industries ว่าบริษัทไม่มีส่วนเกี่ยวข้องกับการกระทำที่ผิดกฏหมายดังกล่าว

ที่มา : bleepingcomputer

Cisco ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูงใน Cisco Umbrella Virtual Appliance (VA) ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลประจำตัวของผู้ดูแลระบบได้จากระยะไกล

Fraser Hess จาก Pinnacol Assurance พบช่องโหว่ (หมายเลข CVE-2022-20773) ในกลไกการพิสูจน์ตัวตน SSH แบบใช้คีย์ของ Cisco Umbrella VA

Cisco Umbrella ให้บริการด้านความปลอดภัยบนคลาวด์ กับองค์กรกว่า 24,000 แห่ง ในการรักษาความปลอดภัย DNS ต่อการโจมตีจากฟิชชิ่ง มัลแวร์ และแรนซัมแวร์ โดยการตั้งเครื่อง virtual machine ไว้ภายในองค์กรเพื่อช่วยในการทำ DNS Forwarders ที่จะบันทึก เข้ารหัส และรับรองความถูกต้องของข้อมูล DNS

ช่องโหว่นี้เกิดจาก static SSH host key ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ด้วยการโจมตีแบบ man-in-the-middle ในการเชื่อมต่อระหว่าง SSH กับ Umbrella VA" Cisco กล่าว

หากโจมตีได้สำเร็จ จะทำให้ผู้โจมตีสามารถเข้าถึง credentials ของผู้ดูแลระบบ เปลี่ยนค่าคอนฟิค หรือ reload VA ได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Cisco Umbrella VA สำหรับ Hyper-V และ VMWare ESXi เวอร์ชันก่อนหน้า 3.3.2

(more…)

proof-of-concept exploit ที่ใช้ในการโจมตีช่องโหว่บน VMware CVE-2022-22954 remote code execution vulnerability ได้ถูกปล่อยออกมาสู่สาธารณะ และพบมีการใช้ในการโจมตีเพื่อติดตั้ง coin miners

ช่องโหว่ CVE-2022-22954 ซึ่งมีระดับ CVSS: 9.8 เป็นช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ซึ่งส่งผลกระทบต่อ VMware Workspace ONE Access และ VMware Identity Manager ซึ่งเป็น 2 รุ่นที่ใช้กันอย่างแพร่หลาย

VMware ได้ออกคำแนะนำเกี่ยวกับความปลอดภัยสำหรับช่องโหว่ดังกล่าวเมื่อวันที่ 6 เมษายน 2565 โดยเตือนเกี่ยวกับความเป็นไปได้ที่ผู้โจมตีอาจมีการเข้าถึงเครือข่ายด้วยการเรียกใช้ server-side template injection ซึ่งจะส่งผลให้เกิด RCE

VMware ได้ออกอัปเดตแพตซ์สำหรับผลิตภัณฑ์ที่ได้รับผลกระทบ และ workaround ในการแก้ไขชั่วคราว ในกรณีที่ผู้ดูแลระบบยังไม่สามารถอัปเดตได้ในทันที แต่ก็ได้เน้นย้ำถึงความสำคัญในการแก้ไขช่องโหว่ดังกล่าว: “ช่องโหว่นี้ควรได้รับการแก้ไขทันทีตามคำแนะนำใน VMSA-2021-0011”

ในสัปดาห์นี้ นักวิจัยด้านความปลอดภัยจำนวนมากได้ทดสอบ proof-of-concept exploit กับช่องโหว่ CVE-2022-22954 โดยพบ proof-of-concept exploit อย่างน้อยหนึ่งรายการบน Twitter ที่มีการปล่อยออกสู่สาธารณะ ซึ่งมีความเสี่ยงที่ผู้โจมตีจะสามารถนำไปใช้ในการโจมตีได้ แต่การปล่อย proof-of-concept exploit ออกมาก็สามารถนำมาใช้เป็นเครื่องมือในการตรวจสอบระบบหลังจากการแก้ไขชั่วคราวด้วย workaround หรือการอัพเดทแพทช์ได้

ปัจจุบัน ผู้โจมตีกำลังพยายามสแกนหาโฮสต์ที่มีช่องโหว่มากขึ้น และ Bad Packets บริษัทด้านความปลอดภัยทางไซเบอร์ บอกกับ BleepingComputer ว่าพวกเขาพบความพยายามที่จะโจมตีช่องโหว่ดังกล่าว

IP address : 106.246.224.219 เป็นไอพีที่ใช้เป็นเพย์โหลด สำหรับแบ็คดอร์ Linux Tsunami ส่วนการโจมตีอื่นๆยังไม่แน่ชัด

นักวิจัยด้านความปลอดภัย Daniel Card ได้แชร์ข้อความบน Twitter ว่าช่องโหว่นี้กำลังถูกใช้เพื่อ drop coin miner payloads

เนื่องจากเริ่มพบการโจมตีโดยการใช้ช่องโหว่ดังกล่าวเป็นจำนวนมาก จึงแนะนำให้ผู้ดูแลระบบรีบดำเนินการอัปเดตแพตซ์โดยเร็วที่สุด ซึ่งในปัจจุบัน VMware มีการพบช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการ ซึ่งส่งผลกระทบต่อผลิตภัณฑ์อื่น ๆ นอกเหนือจาก Workspace One Access และ Identity Manager อีกด้วย ดังนั้นผู้ใช้งานควรตรวจสอบว่าปัจจุบันได้อัพเดทแพตซ์ของผลิตภัณฑ์ที่ตนเองใช้งานอยู่ให้เป็นเวอร์ชันปัจจุบันแล้วหรือไม่

ที่มา : bleepingcomputer

เมื่อวันที่ 15 กุมภาพันธ์ ที่ผ่านมา VMware ได้ทำการออกแพตช์แก้ไขช่องโหว่ที่มีความรุนแรงสูงหลายช่องโหว่ ซึ่งส่งผลกระทบต่อ ESXi, Workstation, Fusion, Cloud Foundation และ NSX Data Center สำหรับ vSphere ที่อาจทำให้ผู้โจมตีสามารถใช้เพื่อสั่งรันโค้ดที่เป็นอันตรายโดยไม่ได้รับอนุญาตได้ และยังสามารถทำให้เป็นสาเหตุของเหตุการณ์ Denial-of-Service (DoS) ได้

(more…)

กลุ่ม Night Sky เริ่มใช้ประโยชน์จากช่องโหว่ CVE-2021-44228 หรือที่เรียกว่า Log4Shell เพื่อเข้าถึงระบบ VMware Horizon

การโจมตีเริ่มขึ้นเมื่อต้นเดือนมกราคม

Night Sky Ransomware ถูกตรวจพบเมื่อปลายเดือนธันวาคม 2564 โดยทีมนักวิจัยด้านความปลอดภัยของ MalwareHunter ซึ่งกล่าวถึงกลุ่ม Night Sky Ransomware ว่ามีการมุ่งเป้าไปที่เครือข่าย Network ขององค์กรต่างๆ และมีเหยื่อหลายรายที่โดน Ransomware เรียกค่าไถ่ และพบว่ามีเหยื่อจากหนึ่งในนั้นถูกเรียกค่าไถ่เป็นจำนวน 800,000 ดอลลาร์

เมื่อวันจันทร์ที่ผ่านมา Microsoft ได้เผยแพร่คำเตือนเกี่ยวกับแคมเปญใหม่จากแฮ็กเกอร์ชาวจีนที่ถูกเรียกชื่อว่า DEV-0401 ซึ่งใช้ประโยชน์จากช่องโหว่ของ Log4Shell บนระบบ VMware Horizon เพื่อติดตั้ง Night Sky ransomware.

มีรายงานพบว่าแฮกเกอร์ได้เริ่มเริ่มทำการสแกนหาเซิร์ฟเวอร์ VMware vCenter ที่ไม่ได้รับการแพตช์ช่องโหว่การอัปโหลดไฟล์ ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2021-22005 เป็นช่องโหว่บน vCenter Server 6.7 และ 7.0 ที่ถูกติดตั้งด้วยค่า Configuration เริ่มต้น

ช่องโหว่ดังกล่าวได้รับการรายงานโดย George Noseevich และ Sergey Gerasimov จาก SolidLab LLC โดยทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายจากระยะไกลได้ โดยไม่ต้องมีการตรวจสอบสิทธิ์ของผู้ใช้งาน และ Interaction ใดๆจากฝั่งผู้ถูกโจมตีอีกด้วย

พบการสแกนหาช่องโหว่ เพียง 1 ชั่วโมงหลังจากที่มีการปล่อยแพตช์อัปเดต

แม้ว่าจะยังไม่มีโค้ดที่ใช้ในการโจมตีถูกปล่อยออกสู่สาธารณะ แต่บริษัท Bad Packets ได้รายงานการพบการสแกนหาช่องโหว่นี้จาก VMware Honeypots ที่บริษัทสร้างขึ้น เพียงแค่ 1 ชั่วโมงหลังจากการออกแพตช์อัปเดตจาก VMware

Bad Packets แจ้งผ่านทาง Twitter เมื่อไม่กี่วันก่อนว่าพวกเค้า พบการสแกนหาช่องโหว่ CVE-2021-22005 จาก IP ต้นทาง 116[.]48.233.234 โดยการสแกนนั้นหาช่องโหว่นั้นใช้ข้อมูลจาก Workaround ที่ทาง VMware แจ้งกับลูกค้าที่ยังไม่สามารถทำการอัปเดตแพตช์ได้ในปัจจุบัน

ตอนนี้มากกว่า 1 พัน vCenter servers ที่มีช่องโหว่ ถูกรายงานไว้อยู่บนเว็บไซต์ Shodan เรียบร้อยแล้ว และนี่ไม่ใช่ครั้งแรกที่ผู้โจมตีมีการรวบรวมข้อมูลของ VMware vCenter servers ที่มีช่องโหว่

ในเดือนกุมภาพันธ์ พบผู้โจมตีมีการสแกนหา vCenter ที่ยังไม่ได้รับการแพตช์เป็นจำนวนมาก หลังจากที่นักวิจัยด้านความปลอดภัยได้เผยแพร่โค้ดที่ใช้สำหรับทดสอบการโจมตีช่องโหว่ (Proof-of-Concept (PoC)) สำหรับช่องโหว่ที่สำคัญอีกรายการหนึ่ง

ในเดือนมิถุนายนก็พบการสแกนเซิร์ฟเวอร์ VMware vCenters servers ที่ยังไม่ได้รับการแพตช์จาก CVE-2021-21985 หลังจากมีการเผยแพร่โค้ดที่ใช้สำหรับโจมตีช่องโหว่เช่นเดียวกัน

VMware ออกมาเตือนผู้ใช้งานถึงความพยายามในการโจมตี

การสแกนอย่างต่อเนื่องเหล่านี้เป็นไปตามคำเตือนที่ออกโดย VMware เมื่อวานนี้ เพื่อเน้นย้ำถึงความสำคัญของการอัปเดตแพตช์เซิร์ฟเวอร์ CVE-2021-22005 โดยเร็วที่สุด

"ช่องโหว่นี้สามารถถูกใช้โดยใครก็ได้ที่สามารถเข้าถึง vCenter servers โดยที่ไม่ต้องสนใจการตั้งค่าการเข้าใช้งานบน vCenter Server เลย" Bob Plankers จาก VMware กล่าว

อย่างไรก็ดีทีมงาน VMware ได้แสดงความกังวลถึงการใช้งานจากกลุ่มแรนซัมแวร์ที่อาจฝังตัวอยู่แล้ว และบังเอิญมีช่องโหว่นี้เผยขึ้นมา ซึ่งคาดว่าอาจมีโค้ดการทดสอบการโจมตีเกิดขึ้นตามมา และนำไปสู่การประยุกต์ใช้โจมตีอย่างรวดเร็ว เพราะด้วยความสำคัญของตัว vCenter เอง

สำหรับใครที่ไม่สามารถแพตช์ได้จริงๆ VMware ได้ออก Workaround และสคริปต์แก้ไขไว้แล้ว และในช่วงนี้ VMware ยังมีแพตช์อื่นอีก 10 กว่ารายการที่แก้ไขช่องโหว่ให้ vCenter อีกด้วย

คำแนะนำ
ควรอัปเดตแพตช์ VMware เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง และผลกระทบที่เกี่ยวข้องกับการโจมตีนี้

ที่มา : bleepingcomputer