พบช่องโหว่ระดับ Critical ใน Netcomm และ TP-Link Routers

CERT Coordination Center (CERT/CC) ศูนย์ประสานงานด้านความปลอดภัยไซเบอร์ ได้เผยแพร่ช่องโหว่หมายเลข CVE-2022-4873, CVE-2022-4874 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ Netcomm และ CVE-2022-4498, CVE-2022-4499 ซึ่งส่งผลกระทบต่ออุปกรณ์เราเตอร์ TP-Link ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

CVE-2022-4873 และ CVE-2022-4874 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ Netcomm รุ่น NF20MESH, NF20 และ NL1902 ที่ใช้เฟิร์มแวร์เวอร์ชันก่อนหน้า R6B035

CVE-2022-4498 และ CVE-2022-4499 เป็นช่องโหว่ของ stack-based buffer overflow ที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ รวมถึงสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งส่งผลกระทบต่อเราเตอร์ TP-Link รุ่น WR710N-V1-151022 และ Archer-C5-V2-160201

โดย CERT/CC กล่าวว่าช่องโหว่ที่ส่งผลกระทบต่อ เราเตอร์ Netcomm and TP-Link ส่งผลกระทบโดยตรงต่อค่า response time ของกระบวนการทำงาน และข้อมูล username/password บนเราเตอร์ ทำให้มีความเสี่ยงที่จะถูกโจมตีจากช่องโหว่ดังกล่าวได้

ที่มา : thehackernews

พบช่องโหว่ระดับความรุนแรงสูงบน jsonwebtoken กระทบโครงการมากกว่า 22,000 โครงการ

นักวิจัยของ Unit 42 หน่วยงานวิจัยด้านความปลอดภัยของ Palo Alto Networks ได้ออกเผยแพร่รายงานการพบช่องโหว่บน jsonwebtoken (JWT) ที่มีหมายเลข CVE-2022-23529 ซึ่งส่งผลให้ Hackers ที่สามารถโจมตีได้สำเร็จสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2022-23529 (คะแนน CVSS: 7.6 ระดับความรุนแรงสูง) เป็นช่องโหว่ของ JSON web token (JWT) ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) บนเซิร์ฟเวอร์เป้าหมายได้

jsonwebtoken ถูกพัฒนาและดูแลโดย Auth0 ของ Okta โดยเป็นโมดูล JavaScript ที่ช่วยให้ผู้ใช้สามารถถอดรหัส ตรวจสอบ และสร้างโทเค็นเว็ป JSON เพื่อเป็นวิธีการส่งข้อมูลอย่างปลอดภัยระหว่างสองฝ่าย เพื่อการตรวจสอบสิทธิ์การใช้งาน และการตรวจสอบความถูกต้อง โดยมีการดาวน์โหลดไปแล้วมากกว่า 10 ล้านครั้งต่อสัปดาห์ใน npm software และมีการใช้งานมากกว่า 22,000 โครงการ

การโจมตี

Hackers จะทำการโจมตีบนเซิร์ฟเวอร์เป้าหมายผ่านทาง jsonwebtoken ที่มีช่องโหว่ เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล รวมไปถึงการเขียนข้อมูลทับ หรือเข้ารหัสไฟล์บนเครื่องที่ถูกโจมตีผ่านทาง secret management process โดยใช้ secretOrPublicKey value ที่มีช่องโหว่

jsonwebtoken เวอร์ชันที่ได้รับผลกระทบ

jsonwebtoken ตั้งแต่เวอร์ชัน 8.5.1 ลงไป

วิธีการป้องกัน

ดำเนินการอัปเดตเป็น jsonwebtoken เวอร์ชัน 9.0.0 เพื่อป้องกันความเสี่ยงจากการถูกโจมตี

ที่มา : thehackernews

Cacti Servers ที่มีช่องโหว่ ตกเป็นเป้าหมายการโจมตีของ Hackers พบมีประเทศไทยอยู่ด้วย

Censys บริษัทด้านความปลอดภัยไซเบอร์ ได้เปิดเผยรายงานการพบเซิร์ฟเวอร์ Cacti ที่เชื่อมต่อกับอินเทอร์เน็ตส่วนใหญ่ไม่ได้รับการอัปเดตช่องโหว่ด้านความปลอดภัยที่มีหมายเลข CVE-2022-46169 ซึ่งพึ่งถูกค้นพบในเดือนธันวาคม 2022 ที่ผ่านมา ทำให้ตกเป็นเป้าหมายในการโจมตีของกลุ่ม Hackers

CVE-2022-46169 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ใน Cacti Servers ที่สามารถ bypass การตรวจสอบสิทธิ์และเรียกใช้งานคำสั่งที่เป็นอันตรายบนเวอร์ชันที่เป็น open-source, web-based monitoring solution

จากการตรวจของ Censys สอบพบว่ามีเซิร์ฟเวอร์ Cacti เพียง 26 เซิร์ฟเวอร์ จากทั้งหมด 6,427 เซิร์ฟเวอร์ ที่มีการอัปเดตเวอร์ชันเพื่อปิดช่องโหว่ (version 1.2.23 และ 1.3.0) อีกทั้งนักวิจัยของ SonarSource บริษัทด้านความปลอดภัยไซเบอร์ยังได้ให้ข้อมูลเพิ่มเติมว่า พบเซิร์ฟเวอร์ Cacti ที่ยังไม่ได้อัปเดตเพื่อป้องกันช่องโหว่ถึง 1,320 เซิร์ฟเวอร์ โดยมาจากประเทศต่าง ๆ ได้แก่ บราซิล อินโดนีเซีย สหรัฐอเมริกา จีน บังคลาเทศ รัสเซีย ยูเครน ฟิลิปปินส์ อังกฤษ และประเทศไทย อีกทั้งยังพบการโจมตีช่องโหว่ดังกล่าวแล้ว ซึ่งพบว่า IP ที่โจมตีมานั้นส่วนใหญ่มาจากประเทศยูเครน

Cacti Server ที่ได้รับผลกระทบ

Cacti Server เวอร์ชัน 1.2.22 และต่ำกว่า

วิธีการแก้ไข

ทำการอัปเดต Cacti Server เป็นเวอร์ชัน 1.2.23 และ 1.3.0 เพื่อปิดช่องโหว่โดยเร็วที่สุด

ที่มา : thehackernews

พบช่องโหว่ใน Azure ทำให้สามารถเข้าถึงเครื่อง host ได้ผ่าน serverless function

สรุปรายละเอียดของช่องโหว่

Privilege escape เป็นสิทธ์ Root ได้ใน container
Container มีสิทธ์ CAP_SYS_ADMIN ซึ่งไม่เป็นไปตาม best practice จึงทำให้สามารถเข้าถึงเครื่อง Host ได้
Host เป็น single-tenant จึงทำให้สามารถเข้าถึงได้แค่ container ใน tenant

Escalating Privileges

นักวิจัยจาก Unit42 พบว่าใน container ของ Azure function จะมี service "init" ที่สามารถ Mount disk ใน container ได้ แต่ว่าตัว service มีช่องโหว่เรื่องการ validate input นักวิจัยจึงใช้ช่องโหว่นี้สร้าง shadow ไฟล์ขึ้นมาโดยใช้ password ของตัวเองแล้ว mount ไปที่ /etc/shadow ทำให้สามารถเปลี่ยน user เป็น root ได้โดยใช้ password ที่ถูกสร้างขึ้นมาใหม่

Escape to Host

เนื่องจาก container ของ Azure function มีการกำหนดสิทธิ์ Linux Capabilities มาไม่ได้ตามมาตรฐาน (Best Practice) ทำให้มีสิทธิ์หลายอย่างเข้าเงื่อนไขของ Container escape technique ที่ชื่อว่า "notify_on_release escape" ดังนี้

มีสิทธ์ root
มี SYS_ADMIN capability
สามารถใช้ mount syscall
container ต้องอ่าน และเขียน cgroup v1 virtual filesystem ได้

หลังจากที่นักวิจัยเข้าถึงเครื่อง Host ได้แล้ว พบว่าเครื่อง Host เป็น HyperV ที่จะถูกใช้งานแค่ tenant เดียว จึงทำให้ไม่มีความเสียงที่จะเข้าถึง Container ที่อยู่ใน tenant อื่นได้ นอกเหนือว่าจะมีช่องโหว่ที่ตัว HyperV นักวิจัยจึงหยุดการทดสอบ และรายงานช่องโหว่ไปที่ Microsoft

วิธีการแก้ไข 

Microsoft ได้ patch service ที่ใช้ในการ mount โดยเพิ่มการ Validate Input โดยที่ลูกค้าไม่ต้องดำเนินการใด ๆ เพิ่มเติม

ที่มา : unit42

Citrix servers ที่มีช่องโหว่ร้ายแรงหลายพันเครื่อง เสี่ยงต่อการตกเป็นเป้าหมายจากการโจมตี

นักวิจัยจากทีม Fox IT ของ NCC Group รายงานว่า Citrix Application Delivery Controller (ADC) และ Citrix Gateway endpoints ยังคงตกเป็นเป้าหมายในการโจมตีจาก 2 ช่องโหว่ที่มีความรุนแรงสูง ประกอบไปด้วย CVE-2022-27510 และ CVE-2022-27518 (คะแนน CVSS scores: 9.8)

ส่งผลให้ Hacker สามารถโจมตีและสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) รวมถึงการหลบหลีกการตรวจสอบสอบสิทธิ์การเข้าถึงบน Citrix servers ที่มีช่องโหว่ได้

การตรวจสอบ

โดยนักวิจัยทำการสแกนตรวจสอบในวันที่ 11 พฤศจิกายน 2022 และพบเซิร์ฟเวอร์ Citrix ทั้งหมด 28,000 เครื่องที่ออนไลน์อยู่ ซึ่งในการระบุ Citrix servers ที่มีช่องโหว่ จำเป็นต้องระบุจากหมายเลขเวอร์ชัน ซึ่งทำให้ยังอาจไม่สามารถระบุจำนวนเครื่องที่มีช่องโหว่ได้จาก HTTP response ของเซิร์ฟเวอร์ แต่นักวิจัยก็ยังพบว่ามีค่าพารามิเตอร์บางส่วนที่มีค่าคล้าย MD5 hash ที่สามารถใช้เพื่อจับคู่กับเวอร์ชันของ Citrix ADC และ Gateway ได้

ดังนั้นนักวิจัยจึงทำการตรวจสอบกับ Citrix ADC version ทั้งหมดที่สามารถหาได้จาก Citrix, Google Cloud Marketplace, AWS และ Azure บน VM เพื่อทำการจับคู่ hash กับเวอร์ชันต่างๆ

ในส่วนของค่า hash ที่ไม่สามารถจับคู่กับเวอร์ชันได้ นักวิจัยได้ใช้วิธีค้นหาวันที่สร้างและอนุมานหมายเลขเวอร์ชันตามนั้น

การค้นพบ

โดยผลลัพธ์จากการตรวจสอบซึ่งสรุปไว้ในกราฟให้ข้อมูลว่า ส่วนใหญ่ของ Citrix ADC และ Citrix Gateway จะอยู่ในเวอร์ชัน 13.0-88.14 ซึ่งเป็นเวอร์ชันที่ได้รับการอัปเดตเพื่อแก้ไขช่องโหว่แล้ว

แต่ทั้งนี้ก็ยังพบว่ามี Citrix ADC และ Citrix Gateway อีกกว่า 3,500 เครื่อง ที่ยังอยู่ในเวอร์ชัน12.1-65.21 ที่ได้รับผลกระทบจาก 2 ช่องโหว่ที่มีความรุนแรงสูง

รวมถึงจากข้อมูลที่ได้พบว่า กลุ่มประเทศที่ทำการอัปเดตช่องโหว่อย่างรวดเร็ว ได้แก่ ประเทศสหรัฐอเมริกา เยอรมนี แคนาดา ออสเตรเลีย และสวิตเซอร์แลนด์ ทั้งนี้นักวิจัยจากทีม Fox IT ได้แนะนำว่าขอให้ผู้ดูแลระบบ Citrix Server ที่มีช่องโหว่ ดำเนินการอัปเดตช่องโหว่โดยเร่งด่วน

ที่มา : bleepingcomputer

พบช่องโหว่ Kubernetes privilege escalation บน Azure Arc

Azure Arc เป็นบริการที่ทำให้ผู้ใช้งานสามารถเชื่อมต่อ on-premises Kubernetes clusters กับ Azure ได้ผ่านทาง Azure arc agent โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึง Cluster ด้วยสิทธิ์ admin ของ cluster นั้นได้ เพียงแค่ผู้โจมตีรู้ external DNS endpoint ที่ถูกสุ่มขึ้นมาโดยตัว agent

วิธีแก้ไข

ลูกค้า Azure Arc ที่ใช้ auto-upgrade ไม่ต้องดำเนิดการใด ๆ
Azure Arc-enabled Kubernetes agent อัปเดตเป็น versions 1.5.8, 1.6.19, 1.7.18 or 1.8.11
Azure Stack Edge อัปเดตเป็น 2209 release (software version 2.2.2088.5593)

ที่มา : cloudvulndb, msrc.

Jenkins เปิดเผยช่องโหว่ Zero-day จำนวนมากจาก plugins หลายตัว

เมื่อวันพฤหัสบดีทีมรักษาความปลอดภัยของ Jenkins ได้ประกาศช่องโหว่ 34 รายการซึ่งส่งผลกระทบต่อปลั๊กอิน 29 รายการสำหรับ open source automation server ของ Jenkins และช่องโหว่ 29 รายการยังไม่มีการอัปเดตแพตซ์

Jenkins เป็นแพลตฟอร์มที่ได้รับความนิยมอย่างสูง (รองรับปลั๊กอินมากกว่า 1,700 รายการ) ที่องค์กรทั่วโลกใช้ในการสร้าง, ทดสอบ และติดตั้งซอฟต์แวร์

CVSS ของช่องโหว่มีตั้งแต่ระดับความรุนแรงต่ำไปจนถึงระดับสูง และจากสถิติของ Jenkins ปลั๊กอินที่ได้รับผลกระทบมีการติดตั้งไปแล้วมากกว่า 22,000 ครั้ง

รายการช่องโหว่ทั้งหมดที่ยังไม่ได้แก้ไขได้แก่ XSS, Stored XSS, Cross-Site Request Forgery (CSRF) bugs, การตรวจสอบสิทธิ์ที่ไม่ถูกต้อง, รวมไปถึงการเก็บข้อมูลรหัสผ่าน API keys และ Tokens ไว้ในรูปแบบ plain text โชคดีที่ Zero-day ที่มีความรุนแรงสูงส่วนใหญ่ ยังต้องการให้ผู้ใช้งานมีการกระทำบางอย่างจึงจะสามารถโจมตีได้สำเร็จ จากข้อมูลของ Shodan ปัจจุบันมีเซิร์ฟเวอร์ Jenkins ที่เข้าถึงได้จากอินเทอร์เน็ตมากกว่า 144,000 เซิร์ฟเวอร์ ที่อาจตกเป็นเป้าหมายในการโจมตีหากมีใช้งานปลั๊กอินที่ยังไม่ได้รับการอัปเดตแพตช์

 

ในขณะที่ทีม Jenkins ได้แก้ไขปลั๊กอินไปแล้วสี่ตัว, (เช่น GitLab, requests-plugin, TestNG Results, XebiaLabs XL Release) แต่ยังมีอีกหลายรายการที่ยังไม่ได้รับการแก้ไข ซึ่งรวมถึง:

Build Notifications Plugin up to and including 1.5.0
build-metrics Plugin up to and including 1.3
Cisco Spark Plugin up to and including 1.1.1
Deployment Dashboard Plugin up to and including 1.0.10
Elasticsearch Query Plugin up to and including 1.2
eXtreme Feedback Panel Plugin up to and including 2.0.1
Failed Job Deactivator Plugin up to and including 1.2.1
GitLab Plugin up to and including 1.5.34
HPE Network Virtualization Plugin up to and including 1.0
Jigomerge Plugin up to and including 0.9
Matrix Reloaded Plugin up to and including 1.1.3
OpsGenie Plugin up to and including 1.9
Plot Plugin up to and including 2.1.10
Project Inheritance Plugin up to and including 21.04.03
Recipe Plugin up to and including 1.2
Request Rename Or Delete Plugin up to and including 1.1.0
requests-plugin Plugin up to and including 2.2.16
Rich Text Publisher Plugin up to and including 1.4
RocketChat Notifier Plugin up to and including 1.5.2
RQM Plugin up to and including 2.8
Skype notifier Plugin up to and including 1.1.0
TestNG Results Plugin up to and including 554.va4a552116332
Validating Email Parameter Plugin up to and including 1.10
XebiaLabs XL Release Plugin up to and including 22.0.0
XPath Configuration Viewer Plugin up to and including 1.1.1

แม้ว่าจะไม่มีรายการใดที่เป็นช่องโหว่ร้ายแรงที่อาจทำให้ผู้โจมตีสามารถรันโค้ด หรือคำสั่งที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่เพื่อเข้าควบคุมได้ในทันที อย่างไรก็ตามผู้โจมตีก็มีแนวโน้มที่จะใช้ zero-day เพื่อทำให้พวกเขาได้ข้อมูลมากขึ้นบนระบบของเป้าหมายเพื่อใช้ในการโจมตีในรูปแบบอื่นๆต่อไป

ที่มา bleepingcomputer

GitLab ออกแพตช์อัปเดตความปลอดภัยสำหรับช่องโหว่ระดับ Critical ในการเข้าควบคุมบัญชีผู้ใช้งาน

GitLab ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical สำหรับผลิตภัณฑ์เกี่ยวกับ Community และ Enterprise Edition หลายเวอร์ชันเพื่อแก้ไขช่องโหว่ 8 รายการ ซึ่งมีช่องโหว่หนึ่งในนั้นที่ทำให้สามารถเข้าควบคุมบัญชีผู้ใช้งานได้

GitLab คือ Web-based Git ที่นิยมใช้สำหรับทีม Developer ที่ต้องการจัดการเกี่ยวกับการเขียนโค้ด โดยมีผู้ใช้งานที่ลงทะเบียนประมาณ 30 ล้านคน และเป็นลูกค้าที่มีการชำระเงินเพื่อใช้งาน 1 ล้านคน

การถูกเข้าควบคุมบัญชีผู้ใช้งานของ GitLab นั้นมีผลกระทบค่อนข้างร้ายแรงมาก เนื่องจากจะทำให้แฮ็กเกอร์สามารถเข้าถึง Project ของ Developer และขโมยซอร์สโค้ดออกไปได้

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-1680 ระดับความรุนแรง Critical และมี CVSS score 9.9 โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ GitLab เวอร์ชัน 11.10 ถึง 14.9.4, 14.10 ถึง 14.10.3 และเวอร์ชัน 15.0 ทั้งหมด

จากคำแนะนำของบริษัท การใช้ประโยชน์จากช่องโหว่เกิดขึ้นใน Instances ที่มีการกำหนดค่าเฉพาะ และโอกาสในการโจมตีสำเร็จจะลดลงเมื่อมีการใช้งาน two-factor authentication (2FA) ของบัญชีนั้น

GitLab กล่าวว่า "เมื่อมีการตั้งค่า group SAML SSO ไว้ SCIM feature อาจทำให้ owner ของ premium group คนใดก็ได้ สามารถเชิญผู้ใช้อื่นเข้าร่วมได้ผ่านทางชื่อผู้ใช้และอีเมล จากนั้นยังสามารถเปลี่ยนที่อยู่อีเมลของผู้ใช้เหล่านั้นผ่าน SCIM เป็นที่อยู่อีเมลที่ควบคุมโดยผู้โจมตี นอกจากนี้ผู้โจมตียังสามารถเปลี่ยนชื่อที่แสดง และชื่อผู้ใช้ของบัญชีเป้าหมายได้"

การแก้ไข และลดผลกระทบ

ช่องโหว่นี้ได้รับการแก้ไขแล้วด้วยการอัปเดตแพตซ์ของช่องโหว่ที่ได้รับผลกระทบทั้งหมด โดยผู้ใช้ GitLab ทุกคนควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

สำหรับคำแนะนำเกี่ยวกับวิธีการอัปเดต GitLab สามารถตรวจสอบได้ที่ https://about.

แพตซ์ด่วน! อัปเดตแพตซ์ช่องโหว่ระดับ Critical บน Chrome และ Edge

Google ได้ออกแพตซ์อัปเดตสำหรับเบราว์เซอร์ Chrome ที่มีการแก้ไขช่องโหว่ด้านความปลอดภัยกว่า 30 รายการ โดยเวอร์ชันล่าสุดที่แนะนำคือ Chrome 101.0.4951.41 สำหรับ Windows, Mac และ Linux โดยเวอร์ชันนี้ได้มีการแก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถใช้เพื่อควบคุมระบบที่มีช่องโหว่ได้

ขณะที่ Microsoft ก็แนะนำให้ผู้ใช้งาน Edge ซึ่งเป็น Chrome เวอร์ชันที่ได้รับการรับรองจาก Microsoft ให้อัปเดตด้วยเช่นกัน เนื่องจากมีช่องโหว่หลายจุดร่วมกัน

มีช่องโหว่ 7 รายการ ที่ได้รับการจัดอันดับว่าเป็นระดับความรุนแรงสูง โดยมีช่องโหว่ 5 รายการ เป็นช่องโหว่ที่เกิดขึ้นจาก “Use after free” ซึ่งเป็นปัญหาการย้ายหน่วยความจำที่ทำให้แฮ็กเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายได้ เมื่อผู้ใช้งานเข้าไปยังหน้าเว็บที่เป็นอันตรายที่ถูกสร้างขึ้น

(more…)

แฮ็กเกอร์เริ่มโจมตีช่องโหว่ Critical บน VMware CVE-2022-22954 ควรรีบอัพเดทแพตช์ทันที

proof-of-concept exploit ที่ใช้ในการโจมตีช่องโหว่บน VMware CVE-2022-22954 remote code execution vulnerability ได้ถูกปล่อยออกมาสู่สาธารณะ และพบมีการใช้ในการโจมตีเพื่อติดตั้ง coin miners

ช่องโหว่ CVE-2022-22954 ซึ่งมีระดับ CVSS: 9.8 เป็นช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ซึ่งส่งผลกระทบต่อ VMware Workspace ONE Access และ VMware Identity Manager ซึ่งเป็น 2 รุ่นที่ใช้กันอย่างแพร่หลาย

VMware ได้ออกคำแนะนำเกี่ยวกับความปลอดภัยสำหรับช่องโหว่ดังกล่าวเมื่อวันที่ 6 เมษายน 2565 โดยเตือนเกี่ยวกับความเป็นไปได้ที่ผู้โจมตีอาจมีการเข้าถึงเครือข่ายด้วยการเรียกใช้ server-side template injection ซึ่งจะส่งผลให้เกิด RCE

VMware ได้ออกอัปเดตแพตซ์สำหรับผลิตภัณฑ์ที่ได้รับผลกระทบ และ workaround ในการแก้ไขชั่วคราว ในกรณีที่ผู้ดูแลระบบยังไม่สามารถอัปเดตได้ในทันที แต่ก็ได้เน้นย้ำถึงความสำคัญในการแก้ไขช่องโหว่ดังกล่าว: “ช่องโหว่นี้ควรได้รับการแก้ไขทันทีตามคำแนะนำใน VMSA-2021-0011”

ในสัปดาห์นี้ นักวิจัยด้านความปลอดภัยจำนวนมากได้ทดสอบ proof-of-concept exploit กับช่องโหว่ CVE-2022-22954 โดยพบ proof-of-concept exploit อย่างน้อยหนึ่งรายการบน Twitter ที่มีการปล่อยออกสู่สาธารณะ ซึ่งมีความเสี่ยงที่ผู้โจมตีจะสามารถนำไปใช้ในการโจมตีได้ แต่การปล่อย proof-of-concept exploit ออกมาก็สามารถนำมาใช้เป็นเครื่องมือในการตรวจสอบระบบหลังจากการแก้ไขชั่วคราวด้วย workaround หรือการอัพเดทแพทช์ได้

ปัจจุบัน ผู้โจมตีกำลังพยายามสแกนหาโฮสต์ที่มีช่องโหว่มากขึ้น และ Bad Packets บริษัทด้านความปลอดภัยทางไซเบอร์ บอกกับ BleepingComputer ว่าพวกเขาพบความพยายามที่จะโจมตีช่องโหว่ดังกล่าว

IP address : 106.246.224.219 เป็นไอพีที่ใช้เป็นเพย์โหลด สำหรับแบ็คดอร์ Linux Tsunami ส่วนการโจมตีอื่นๆยังไม่แน่ชัด

นักวิจัยด้านความปลอดภัย Daniel Card ได้แชร์ข้อความบน Twitter ว่าช่องโหว่นี้กำลังถูกใช้เพื่อ drop coin miner payloads

เนื่องจากเริ่มพบการโจมตีโดยการใช้ช่องโหว่ดังกล่าวเป็นจำนวนมาก จึงแนะนำให้ผู้ดูแลระบบรีบดำเนินการอัปเดตแพตซ์โดยเร็วที่สุด ซึ่งในปัจจุบัน VMware มีการพบช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการ ซึ่งส่งผลกระทบต่อผลิตภัณฑ์อื่น ๆ นอกเหนือจาก Workspace One Access และ Identity Manager อีกด้วย ดังนั้นผู้ใช้งานควรตรวจสอบว่าปัจจุบันได้อัพเดทแพตซ์ของผลิตภัณฑ์ที่ตนเองใช้งานอยู่ให้เป็นเวอร์ชันปัจจุบันแล้วหรือไม่

ที่มา : bleepingcomputer