VMware Patches Code Execution Flaw in AirWatch Agent

VMware ประกาศแจ้งเตือนช่องโหว่ระดับวิกฤติรหัส CVE-2018-6968 ในผลิตภัณฑ์ AirWatch เมื่อสัปดาห์ที่ผ่านมา โดยช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ที่ติดตั้ง agent ของ AirWatch ได้จากระยะไกล

ช่องโหว่ CVE-2018-6968 นี้นั้นเป็นช่องโหว่ที่อยู่ใน agent ที่ผู้ใช้งานจะต้องติตตั้งในอุปกรณ์ที่จะทำการควบคุมผ่าน AirWatch โดยช่องโหว่ดังกล่าวนั้นสามารถถูกใช้ "โดยผู้ดูแลระบบที่มีจุดประสงค์มุ่งร้าย" เพื่อควบคุมอุปกรณ์ต่างๆ ที่ติดตั้ง agent อยู่ได้

Recommendation
ในขณะนี้ VMware ได้พยายามที่จะปลดฟีเจอร์ที่มีช่องโหว่ออกจากผลิตภัณฑ์แล้ว ช่องโหว่นี้ยังสามารถถูกลดผลกระทบได้สำหรัผู้ใช้งานแอนดรอยด์โดยการเปลี่ยนการตั้งค่าเซอร์วิส Push Notification จาก AWCM เป็น C2DM/GCM แทน
แนะนำให้ผู้ใช้งานทำการอัปเดต agent เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่โดยด่วน

ที่มา: theregister

New VMware Security Advisory VMSA-2018-0008

VMware ปล่อยแพตช์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Denial-of-service (CVE-2018-6957) บน VMware Workstation และ Fusion ที่ถูกค้นพบโดย Lilith Wyatt นักวิจัยด้านความปลอดภัยจาก Cisco
ช่องโหว่ดังกล่าวเกิดจากผู้ใช้สามารถเปิด VMC เซสชั่นได้จำนวนมาก ส่งผลกระทบกับ VMware Workstation (14.x ก่อน 14.1.1, 12.x) และ Fusion (10.x ก่อน 10.1.1 และ 8.x)

เวอร์ชั่นที่ได้รับการแก้ไขแล้วคือ VMware Workstation 14.1.1 และ Fusion 10.1.1 สำหรับ VMware Workstation 12.x และ Fusion 8.x. สามารถดูวิธีแก้ไขได้จาก KB52934

Recommendation
แนะนำให้ผู้ใช้ทำการอัพเดทแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าว

ที่มา : blogs.

VMSA-2018-0001 – vSphere Data Protection (VDP) updates address multiple security issues

เมื่อวันที่ 2 มกราคม 2018 VMware ได้ทำการแก้ไขปัญหาด้านความปลอดภัยบน vSphere Data Protection (VDP) เวอร์ชัน 6.1.x, 6.0.x และ 5.x ซึ่งมีความรุนแรงระดับ critical ได้แก่

ช่องโหว่ Authenication bypass (CVE-2017-15548) ทำให้ผู้โจมตีจากภายนอกสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ในแอพพลิเคชันที่ใช้พิสูจน์ตัวตน และได้รับการเข้าถึงในระดับสิทธิ์ root
ช่องโหว่ในการอัพโหลดไฟล์ (CVE-2017-15549) ทำให้ผู้โจมตีจากภายนอกที่ Authenication ด้วยสิทธิ์ระดับต่ำสามารถอัพโหลดไฟล์อันตรายที่สร้างขึ้นมาเข้าไปยัง Location ในระบบไฟล์เซิร์ฟเวอร์ได้
ช่องโหว่ในการเข้าถึง Path ต่างๆ (CVE-2017-15550) ทำให้ผู้โจมตีจากภายนอกที่ Authenication ด้วยสิทธิ์ระดับต่ำสามารถเข้าถึงไฟล์บนไฟล์เซิร์ฟเวอร์ได้หากมีแอพพลิเคชันที่มีช่องโหว่รันอยู่

ปัญหาเหล่านี้ได้รับการแก้ไขในเวอร์ชัน VDP 6.1.6 และ 6.0.7

ที่มา : blogs.

New VMware Security Advisory VMSA-2017-0021

VMware ESXi, vCenter Server Appliance, Workstation and Fusion ปรับปรุงช่องโหว่ความปลอดภัยหลายรายการ(VMSA-2017-0021)

ช่องโหว่ที่ได้รับการแก้ไขรอบนี้ครอบคลุมทั้งหมด 4 ช่องโหว่ (CVE-2017-4933, CVE-2017-4940, CVE-2017-4941 และ CVE-2017-4943) มีผลต่อ VMware ESXi, VMware Workstation, VMware Fusion และ VMware vCenter Server Appliance, Workstation and Fusion

CVE-2017-4941 และ CVE-2017-4933 เป็นช่องโหว่เกี่ยวกับ stack overflow และ heap overflow หากโจมตีได้สำเร็จ สามารถทำการ remote code execution ผ่าน VNC ที่ได้รับการ Authenticate แล้ว
CVE-2017-4940 เป็นช่องโหว่ cross-site script มีผลต่อ ESXi Host Client ผู้บุกรุกสามารถใช้ช่องโหว่นี้ได้โดยการฝัง JavaScript ซึ่งสามารถทำงานได้เมื่อผู้ใช้รายอื่นเข้าถึง Host Client
CVE-2017-4943 เป็นช่องโหว่การเพิ่มสิทธิ์ผ่านปลั๊กอิน 'showlog' ใน vCenter Server Appliance (vCSA) หากโจมตีสำเร็จจะทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำ สามารถเพิ่มสิทธิ์ของตนเองให้สูงขึ้นได้ ปัญหานี้มีผลกับ vCSA 6.5 เท่านั้น

ช่องโหว่เหล่านี่ถูกค้นพบ และรายงานโดย Alain Homewood จาก Insomnia Security, Lukasz Plonka, Lilith Wyatt และสมาชิกคนอื่นๆจาก Cisco Talos

ที่มา : vmware

New VMware Security Advisory VMSA-2017-0017

VMSA-2017-0017 มีการอัพเดต VMware vCenter Server เพื่อแก้ไขปัญหา LDAP DoS, SSRF และ CLRF injection ครอบคลุม CVE-2017-4927 และ CVE-2017-4928 ซึ่งเป็นปัญหาที่มีความรุนแรงระดับปานกลาง

CVE-2017-4927: VMware vCenter Server ไม่สามารถจัดการกับ LDAP แพ็กเก็ตที่ถูกสร้างขึ้นมาเป็นพิเศษ ซึ่งอาจจะทำให้เกิด remote DoS ได้ ส่งผลกระทบผลต่อ vCenter Server 6.5 และ 6.0 โดยได้มีการออก vCenter Server 6.5 U1 และได้ออก 6.0 U3c เพื่อแก้ไขปัญหานี้

CVE-2017-4928: ปัญหาของ SSRF และ CRLF injection ใน vSphere web client ปัญหานี้ส่งผลกระทบผลต่อ vCenter Server 6.0 และ 5.5 โดยได้มีการออก vCenter Server 6.0 U3c และ 5.5 U3f เพื่อแก้ไขปัญหานี้

ที่มา : blogs.

VMWARE PATCHES BUG THAT ALLOWS GUEST TO EXECUTE CODE ON HOST

ผู้ใช้ที่ใช้งาน VMware ได้แก่ ESXi, vCenter Server, Fusion และ Workstation แนะนำให้ทำการอัพเดทเพื่อปรับปรุง และแก้ไขปัญหาช่องโหว่ต่างๆที่พบ
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ Out-of-bounds ที่เกิดจากการเขียนข้อมูล ส่งผลกระทบกับ ESXi, desktop hypervisors Workstation และ Fusion ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาที่มีอยู่ในอุปกรณ์ SVGA เพื่อรันโค้ดบนเครื่องโฮสต์ได้ ช่องโหว่ CVE-2017-4924 นี้ถูกค้นพบโดยนักวิจัย Nico Golde และ Ralf-Philipp Weinmann จาก Comsecuris UG ซึ่งกระทบต่อเวอร์ชัน 6.5 ของ ESXi และไม่ส่งผลต่อเวอร์ชัน 6.0 และ 5.5 นอกจากนี้ยังมีผลกระทบต่อเวอร์ชัน 12.x ของ Workstation และเวอร์ชัน 8.x ของ Fusion และถูกจัดเป็นช่องโหว่ระดับรุนแรง(Critical) เนื่องจากผู้โจมตีสามารถใช้ช่องโหว่ในการสั่งรันโค้ด และทำให้เครื่องเกิดการ Crash ได้
ช่องโหว่ระดับความรุนแรงปานกลางมีผลกระทบต่อเวอร์ชัน 6.5, 6.0 และ 5.5 ของ ESXi, เวอร์ชัน 12.x ของ Workstation และ 8.x ของ Fusion ซึ่งควรถูกแพทช์เพื่อปิดช่องโหว่ เนื่องจากยังไม่มีวิธีใดที่สามารถหลีกเลี่ยงช่องโหว่ดังกล่าวได้ และช่องโหว่สุดท้ายที่ VMware เตือนเมื่อวันศุกร์มีผลต่อ vCenter Server ซึ่งเป็นแพลตฟอร์มที่ออกแบบมาเพื่อช่วยผู้ใช้ในการจัดการ vSphere ผู้โจมตีที่มีสิทธิ์ของผู้ใช้เป็น VC สามารถรัน JavaScript ที่เป็นอันตรายและใช้ช่องโหว่ cross-site scripting ใน HTML5. ช่องโหว่นี้มีผลกระทบต่อ vCenter Server เวอร์ชั่น 6.5 ที่เป็น Windows เท่านั้น โดยผู้ใช้ควรอัพเดตเป็นเวอร์ชัน 6.5 U1

ที่มา : threatpost

VMware ออก Patch อุดช่องโหว่ความรุนแรงสูงสุดบน vSphere Data Protection

VMware ได้ออกมาแจ้งเตือนถึงการค้นพบช่องโหว่หลายรายการบน vSphere Data Protection (VDP) และออก VMSA-2017-0010 เพื่อรวมประเด็นปัญหาด้านความมั่นคงปลอดภัยเหล่านี้เอาไว้ด้วยกัน พร้อมตั้งระดับความรุนแรงเป็นระดับสูงสุด

สำหรับปัญหาแรกที่พบนั้นก็คือปัญหา VDP Java Deserialization ที่เปิดให้ผู้โจมตีสามารถทำ Remote Command Execution ได้บน VDP ส่วนอีกปัญหาหนึ่งคือการที่ VDP นั้นมีการเก็บ Credential ของ vCenter Server เอาไว้ ทำให้ผู้โจมตีสามารถเข้าถึง Credential ของ vCenter ได้จาก VDP

ทั้งนี้ VMware แนะนำให้ผู้ใช้งานทำการอัปเดต VDP ไปใช้รุ่น 6.0.5 หรือ 6.1.4 ซึ่งแก้ไขช่องโหว่เหล่านี้ไปเรียบร้อยแล้วแทนรุ่นเดิมที่ใช้งานอยู่

ที่มา: techtalkthai , vmware

VMware Reissues vCenter Server Patch

VMware ได้ออก Patch ซ้ำสำหรับ vCenter เพื่อแก้ปัญหาที่เคยแก้ไปแล้วในเดือนตุลาคม 2015 ที่ผ่านมาอีกครั้ง หลังพบว่าการแก้ไขปัญหาครั้งนั้นยังคงมีช่องโหว่อยู่

ช่องโหว่เดิมนั้นมีรหัส CVE-2015-2342 ซึ่งเกิดจากบริการ JMX RMI ที่ตั้งค่าเอาไว้ไม่ปลอดภัยจนทำให้เกิด Remote Code Execution (RCE) ได้บนรุ่น 5.5, 5.1 และ 5.0 ซึ่งล่าสุดนี้ VMware ก็ได้ออก Patch เสริมมาอีกในช่วงสุดสัปดาห์ที่ผ่านมาอุดช่องโหว่เดิมเพิ่มเติมอีกดังนี้ https://kb.

VMware แจ้งเตือนบั๊กระดับวิกฤติสองรายการเจาะทะลุเข้าเครื่องแม่

VMware ออกแจ้งเตือนช่องโหว่ความปลอดภัย VMSA-2015-0004 เป็นช่องโหว่ระดับวิกฤติสองรายการ

ช่องโหว่ชุดแรกกระทบกับ VMware Workstation และ VMware Horizon Client จากการจัดการหน่วยความจำผิดพลาดทำให้โค้ดอันตรายในเครื่อง guest สามารถรันโค้ดในเครื่องแม่หรือโจมตีให้เครื่องแม่ทำงานต่อไม่ได้ (denial of service - DoS) ช่องโหว่ชุดนี้ค้นพบโดย Kostya Kortchinsky จาก Google Project Zero

ช่องโหว่อีกชุดเป็นของ VMware Workstation, VMware Player, และ VMware Fusion ที่ตรวจสอบคำสั่งผ่าน RPC ผิดพลาดทำให้ถูกโจมตีแบบ DoS ได้อีกเช่นกัน ซึ่งเวอร์ชั่นแก้ไขช่องโหว่เหล่านี้ได้เปิดให้ดาวน์โหลดแล้ว

ที่มา : blognone

VMware identifies vulnerabilities for ESX, vCenter, vSphere, issues patches

vmware มีช่องโหว่ด้านความปลอดภัยที่อาจทำให้การให้บริการสำหรับลูกค้าที่ใช้ ESX, ESXi hypervisors และ management platforms รวมทั้ง vCenter server applianc และ vspheres update manager ไม่สามารถใช้งานได้  ผู้โจมตีจะใช้การ Exploit จากช่องโหว่ในการปิดกั้นและปรับเปลี่ยน traffic หากทำได้สำเร็จผู้โจมตีจะสามารถโจมตีโฮสต์ VMDBs และทำให้การให้บริการบางส่วนของโปรแกรมไม่สามารถใช้งานได้

Vmware ได้เปิดตัวแพทช์ที่สามารถแก้ไขปัญหาดังกล่าว โดยผู้ที่ต้องการข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่และดาวน์โหลดแพทช์ได้ที่ http://www.