VMware ประกาศแจ้งเตือนผู้ใช้งาน เนื่องจากปัจจุบัน Exploit Code ของช่องโหว่ RCE ระดับ Critical ใน VMware Aria Operations for Logs analysis tool ถูกปล่อยออกมาแล้ว

ช่องโหว่ (CVE-2023-20864) เป็นช่องโหว่ deserialization ที่ได้รับการอัปเดตแพตช์ไปแล้วในเดือนเมษายน ซึ่งทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ได้

โดยหากสามารถโจมตีได้สำเร็จ ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ Root ได้ โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน โดยปัจจุบัน VMware ยืนยันว่ามีการเผยแพร่โค้ดการโจมตี (Exploit Code) สำหรับช่องโหว่ CVE-2023-20864 ออกมาแล้ว

ในเดือนเมษายนที่ผ่านมา VMware ยังได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Command Injection ที่มีระดับความรุนแรงน้อยกว่า (CVE-2023-20865) ซึ่งทำให้ผู้โจมตีที่มีสิทธิ์ของผู้ดูแลระบบ สามารถเรียกใช้งานโค้ดที่เป็นอันตรายด้วยสิทธิ์ Root บนอุปกรณ์ที่มีช่องโหว่เช่นเดียวกัน

ช่องโหว่ทั้งสองได้รับการแก้ไขไปแล้วด้วยการอัปเดตแพตซ์ VMware Aria Operations for Logs เวอร์ชัน 8.12 ซึ่งปัจจุบันยังไม่มีหลักฐานที่แสดงให้เห็นว่ามีการโจมตีโดยใช้ช่องโหว่ดังกล่าว

ช่องโหว่ของ VMware Aria Operations ที่กำลังถูกใช้ในการโจมตี

เมื่อเร็ว ๆ นี้ VMware ได้ออกการแจ้งเตือนอีกครั้งเกี่ยวกับช่องโหว่ระดับ Critical หมายเลข CVE-2023-20887 ที่ได้รับการแพตช์แล้วใน VMware Aria Operations for Networks (เดิมคือ vRealize Network Insight) ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดที่เป็นอันตรายด้วยสิทธิ์ Root ที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

นอกจากนี้ CISA ยังเพิ่มช่องโหว่ดังกล่าวเข้าไปในรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี และสั่งให้หน่วยงานของรัฐบาลกลางสหรัฐฯ รีบอัปเดตแพตซ์ภายในวันที่ 13 กรกฎาคม ถึงแม้ว่าจำนวนอินสแตนซ์ VMware vRealize ที่เข้าถึงได้จากอินเทอร์เน็ตจะค่อนข้างต่ำก็ตาม แต่ผู้โจมตีก็มักใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในอุปกรณ์ภายในเครือข่าย เพื่อโจมตีต่อไปยังระบบต่าง ๆ ของเหยื่อ

คำแนะนำ

แนะนำให้อัปเดตแพตช์ VMware Aria Operations ให้เป็นเวอร์ชันล่าสุดทันที เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น

ที่มา : bleepingcomputer

เมื่อสองสัปดาห์ก่อน VMware ออกคำแนะนำด้านความปลอดภัย เพื่อเตือนผู้ใช้งานถึงช่องโหว่ Remote Code Execution (RCE) ระดับ Critical ที่มีหมายเลข CVE-2023-20887 ซึ่งได้รับการอัปเดตแพตซ์แก้ไขไปแล้วก่อนหน้านี้ เนื่องจากผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีอยู่ในปัจจุบัน (more…)

วันนี้ (7 มิถุนายน 2023) VMware ออกแพตช์เพื่อแก้ไขช่องโหว่ระดับ High และ Critical ใน VMware Aria Operations for Networks ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญจากภายนอกได้

ก่อนหน้านี้ vRealize Network Insight (vRNI) เป็นเครื่องมือที่ใช้ในการตรวจสอบ และวิเคราะห์เครือข่าย ซึ่งช่วยให้ผู้ดูแลระบบสามารถเพิ่มประสิทธิภาพการทำงานของเครือข่าย บริหารจัดการ และปรับขนาดการใช้ VMware และ Kubernetes ต่าง ๆ ได้ (more…)

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบกลุ่ม Hacker ที่มีแรงจูงใจทางด้านการเงินในชื่อ 'UNC3944' ใช้การโจมตี แบบ phishing และ SIM swapping เพื่อขโมยบัญชีผู้ดูแลระบบ Microsoft Azure และเข้าถึง VM ของเป้าหมาย

จากนั้น Hacker จะใช้ Azure Serial Console ในการติดตั้งซอฟต์แวร์ Remote Management Software เพื่อฝังตัวในระบบ และใช้ Azure Extensions เพื่อเฝ้าระวังการตรวจจับ (more…)

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบกลุ่ม Hacker ที่มีแรงจูงใจทางด้านการเงินในชื่อ 'UNC3944' ใช้การโจมตี แบบ phishing และ SIM swapping เพื่อขโมยบัญชีผู้ดูแลระบบ Microsoft Azure และเข้าถึง VM ของเป้าหมาย

จากนั้น Hacker จะใช้ Azure Serial Console ในการติดตั้งซอฟต์แวร์ Remote Management Software เพื่อฝังตัวในระบบ และใช้ Azure Extensions เพื่อเฝ้าระวังการตรวจจับ (more…)

VMware ออกแพตช์แก้ไขช่องโหว่ของ vRealize Log Insight ซึ่งทำให้ผู้โจมตีเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ไปยังเครื่องเป้าหมายที่ยังไม่ได้ทำการแพตช์ได้

vRealize Log Insight หรือปัจจุบันรู้จักกันในชื่อ VMware Aria Operations for Logs เป็นเครื่องมือ log analysis ที่ช่วยวิเคราะห์ application และ infrastructure log environment

(more…)

CISA หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่ระดับ critical ใน Cloud Foundation ของ VMware ลงในแคตตาล็อกของช่องโหว่ที่กำลังถูกใช้ในการโจมตี Known Exploited Vulnerabilities (KEV)

VMware Cloud Foundation เป็น hybrid cloud platform ของ VMware สำหรับการใช้งานแอปพลิเคชันขององค์กรในรูปแบบ Private หรือ Public (more…)

นักวิจัยด้านความปลอดภัยของ Horizon3 ได้เผยแพร่ Proof-of-Concept (PoC) สำหรับการโจมตีช่องโหว่ VMware vRealize Log Insight ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่ไม่ได้อัปเดตเพื่อปิดช่องโหว่ได้

VMware ได้ออกอัปเดตเพื่อปิดช่องโหว่ด้านความปลอดภัย 4 รายการใน VMware vRealize Log Insight เมื่อสัปดาห์ที่ผ่านมา โดย 2 รายการเป็นช่องโหว่ที่สำคัญ และอนุญาตให้ผู้โจมตีเรียกใช้โค้ดที่เป็นอันตรายบนอุปกรณ์ที่ถูกโจมตีได้ (Remote Code Execution) โดยมีความรุนแรงอยู่ในระดับ Critical (คะแนน CVSS 9.8/10)

CVE-2022-31706 เป็นช่องโหว่ใน directory traversal bug
CVE-2022-31704 เป็นช่องโหว่ broken access control ที่สามารถหลบเลี่ยงการตรวจสอบสิทธิ เพื่อแทรกไฟล์อันตรายในระบบปฏิบัติการของอุปกรณ์ที่มีช่องโหว่
CVE-2022-31710 เป็นช่องโหว่ที่ทำให้เกิด Denial of service (DoS) และ information disclosure บนอุปกรณ์ที่มีช่องโหว่
CVE-2022-31711 เป็นช่องโหว่ที่ทำให้สามารถเข้าถึง Session หรือข้อมูล application ที่มีความสำคัญของอุปกรณ์ที่มีช่องโหว่

จากการตรวจสอบของ Shodan พบว่า มีอินสแตนซ์ 45 รายการที่สามารถเข้าถึงได้บนอินเทอร์เน็ต เนื่องจากอุปกรณ์ VMware vRealize Log Insight ได้รับการออกแบบให้เข้าถึงได้จากภายในเครือข่ายขององค์กรเป็นหลัก รวมถึงยังพบ VMware vRealize Log Insight ที่มีช่องโหว่ จำนวน 5 รายการอยู่ที่ประเทศไทยอีกด้วย

แม้ปัจจุบันไม่มีรายงานการโจมตีที่ใช้ช่องโหว่ VMware vRealize ในการโจมตี แต่ทาง VMware ก็ได้ออกประกาศเตือนให้ผู้ใช้งานเร่งทำการอัปเดตช่องโหว่โดยด่วน เพื่อป้องกันการถูกโจมตี เนื่องจากในปีที่ผ่านมาก็มีการพบช่องโหว่ CVE-2022-22972 ที่ส่งผลกระทบต่อผลิตภัณฑ์ VMware หลายรายการ ซึ่งสามารถหลบเลี่ยงการตรวจสอบสิทธิ์และยกระดับสิทธิเป็นผู้ดูแลระบบในอุปกรณ์ที่มีช่องโหว่เช่นกัน

การป้องกัน :

ดำเนินการอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยของ Horizon3’s ได้มีการปล่อยรายละเอียดของช่องโหว่ที่มีรูปแบบเกี่ยวเนื่องกัน ที่จะส่งผลกระทบต่อไปเรื่อย ๆ บน VMware vRealize Log Insight ที่ยังไม่ได้ทำการอัปเดต Patch ซึ่งหากสามารถโจมตีได้สำเร็จ จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลด้วยสิทธิ์ของ root ได้ (more…)

เมื่อวันที่ 24 มกราคมที่ผ่านมา VMware ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ของ Insight Log ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ไปยังเครื่องเป้าหมายที่ยังไม่ได้ทำการแพตช์ ซึ่ง vRealize Log Insight (หรืออีกชื่อคือ VMware Aria Operations for Logs) เป็นเครื่องมือสำหรับ Log Management และ Log Analysis ซึ่งช่วยวิเคราะห์ infrastructure และ application log environment ของ VMware (more…)