Broadcom แจ้งเตือนลูกค้าในวันนี้ (4 มีนาคม 2025) เกี่ยวกับช่องโหว่ Zero-days 3 รายการของ VMware ซึ่งถูกระบุว่ากำลังถูกนำมาใช้ในการโจมตี และได้รับการรายงานจาก Microsoft Threat Intelligence Center

ช่องโหว่ CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226 ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ VMware ESX รวมถึง VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation, และ Telco Cloud Platform

ผู้โจมตีที่มีสิทธิ์เข้าถึงในระดับผู้ดูแลระบบ หรือ root สามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อหลีกเลี่ยงการควบคุมของ sandbox ของ Virtual Machine ได้

บริษัทได้อธิบายในวันนี้ว่า "เหตุการร์นี้เป็นสถานการณ์ที่ผู้โจมตีที่บุกรุก guest OS ของ Virtual Machine และได้รับสิทธิ์การเข้าถึงระดับสูง (ผู้ดูแลระบบ หรือ root) อาจทำให้สามารถเข้าควบคุม hypervisor ได้ โดยมีข้อมูลที่เชื่อได้ว่ากำลังมีการโจมตีโดยใช้ช่องโหว่นี้อยู่จริง ๆ"

Broadcom ระบุว่า CVE-2025-22224 เป็นช่องโหว่ VCMI heap overflow ที่มีความรุนแรงระดับ Critical ซึ่งสามารถทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบใน VM ที่ถูกโจมตี สามารถรันโค้ดใน VMX process ที่ทำงานบนโฮสต์ได้

CVE-2025-22225 เป็นช่องโหว่การเขียนข้อมูลโดยพลการใน ESXi ที่สามารถทำให้ VMX process สามารถเรียกการเขียนคอร์เนลโดยพลการ ซึ่งนำไปสู่การ escape จาก sandbox ได้ ในขณะที่ CVE-2025-22226 ถูกอธิบายว่าเป็นช่องโหว่ในการเปิดเผยข้อมูลของ HGFS ที่ทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถทำให้ข้อมูลรั่วไหลจาก VMX process ได้

ช่องโหว่ของ VMware มักถูกโจมตีโดยกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับแรนซัมแวร์ และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล เนื่องจาก VMware ถูกใช้กันอย่างแพร่หลายในปฏิบัติการรเพื่อเก็บ หรือถ่ายโอนข้อมูลที่สำคัญขององค์กร

ล่าสุด Broadcom ได้ออกคำเตือนในเดือนพฤศจิกายน 2024 ว่า ผู้โจมตีได้มีการใช้ประโยชน์จากช่องโหว่ใน VMware vCenter Server สองรายการที่ได้รับการแก้ไขไปแล้วในเดือนกันยายน 2024 หนึ่งในนั้นสามารถทำให้มีการยกระดับสิทธิ์เป็น root (CVE-2024-38813) ขณะที่อีกช่องโหว่เป็นช่องโหว่ระดับ Critical ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (CVE-2024-38812) ซึ่งถูกพบในระหว่างการแข่งขัน Matrix Cup hacking 2024 ของจีนในปี 2024

ในเดือนมกราคม 2024 Broadcom ยังได้เปิดเผยว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ใน vCenter Server (CVE-2023-34048) เป็นช่องโหว่แบบ zero-day มาตั้งแต่ปลายปี 2021 เป็นอย่างน้อย เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ที่มีช่องโหว่

ที่มา : bleepingcomputer

Microsoft ออก Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025 โดยแก้ไขช่องโหว่ 55 รายการ ซึ่งรวมถึงช่องโหว่ Zero-days 4 รายการ โดยมีช่องโหว่ Zero-days 2 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตี
Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 3 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution ทั้งหมด (more…)

CISA ระบุว่าช่องโหว่ command injection (CVE-2024-12686) ใน Privileged Remote Access (PRA) และ Remote Support (RS) ของ BeyondTrust กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่องอยู่ในปัจจุบัน

ตามข้อกำหนด Binding Operational Directive (BOD) 22-01 หลังจากที่ช่องโหว่ได้ถูกเพิ่มเข้าไปใน Known Exploited Vulnerabilities catalog ของ CISA หน่วยงานของรัฐบาลกลางสหรัฐฯ จะต้องทำการแก้ไข รวมถึงรักษาความปลอดภัยเครือข่ายของตนจากการโจมตีที่มุ่งเป้าไปที่ช่องโหว่ดังกล่าวภายในสามสัปดาห์ หรือภายในวันที่ 3 กุมภาพันธ์ 2025

รวมถึง CISA ยังได้เพิ่มรายการช่องโหว่ command injection (CVE-2024-12356) อีกรายการที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์เดียวกันของ BeyondTrust ด้วย

BeyondTrust พบช่องโหว่ทั้ง 2 รายการ ในขณะที่กำลังสืบสวนเหตุการณ์โจมตี Remote Support SaaS instances บางส่วนในช่วงต้นเดือนธันวาคม โดย Hacker ได้ขโมย API key ออกไป ซึ่งต่อมาถูกนำไปใช้เพื่อรีเซ็ตรหัสผ่านสำหรับบัญชี local application

แม้ว่าการเปิดเผยข้อมูลของ BeyondTrust ในเดือนธันวาคม 2024 จะไม่ได้กล่าวถึงเรื่องนี้โดยตรง แต่คาดว่า Hacker น่าจะใช้ช่องโหว่ทั้ง 2 รายการเป็น Zero Days ในการโจมตีเข้าสู่ระบบของ BeyondTrust เพื่อเข้าถึงเครือข่ายของลูกค้า

ในช่วงต้นเดือนมกราคม 2025 กระทรวงการคลังเปิดเผยว่าเครือข่ายของกระทรวงถูกโจมตี โดยใช้รหัส API SaaS ของ Remote Support ที่ขโมยมาเพื่อเจาะระบบ BeyondTrust ที่หน่วยงานใช้งานอยู่

ตั้งแต่นั้นมา การโจมตีช่องโหว่ดังกล่าวก็ถูกเชื่อมโยงกับกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีนในชื่อ Silk Typhoon ซึ่งเป็นที่รู้จักในด้านการโจมตีเพื่อขโมยข้อมูล และกลายเป็นที่รู้จักอย่างกว้างขวางหลังจากโจมตีเซิร์ฟเวอร์ไปแล้วประมาณ 68,500 ระบบในช่วงต้นปี 2021 โดยใช้ช่องโหว่ Zero-Days ของ Microsoft Exchange Server ProxyLogon

โดยกลุ่ม Hacker ได้มุ่งเป้าไปที่สำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) โดยเฉพาะ ซึ่งเป็นหน่วยงานที่ดูแลโครงการคว่ำบาตรทางการค้า และเศรษฐกิจ และคณะกรรมการการลงทุนจากต่างประเทศในสหรัฐอเมริกา (CFIUS) ซึ่งตรวจสอบการลงทุนจากต่างประเทศเพื่อตรวจสอบความเสี่ยงต่อความมั่นคงของชาติ รวมถึงยังได้โจมตีระบบของสำนักงานวิจัยการเงินของกระทรวงการคลัง แต่ผลกระทบของเหตุการณ์นี้ยังอยู่ระหว่างการประเมิน เชื่อกันว่า Silk Typhoon ได้ใช้ BeyondTrust digital key ที่ขโมยมาเพื่อเข้าถึงข้อมูลที่ไม่เป็นความลับที่เกี่ยวข้องกับการดำเนินการคว่ำบาตรที่อาจเกิดขึ้นและเอกสารอื่น ๆ

BeyondTrust ระบุว่า ได้ติดตั้งแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ CVE-2024-12686 และ CVE-2024-12356 บน cloud instances ทั้งหมดเรียบร้อยแล้ว อย่างไรก็ตามผู้ที่ใช้งานอินสแตนซ์ที่โฮสต์ด้วยตนเองจะต้องติดตั้งแพตช์อัปเดตด้วยตนเอง

อย่างไรก็ตาม คำแนะนำด้านความปลอดภัยที่ออกเมื่อธันวาคม 2024 ของ BeyondTrust ยังไม่ได้ระบุว่าช่องโหว่ด้านความปลอดภัยทั้ง 2 รายการนี้ได้ถูกนำไปใช้ในการโจมตี

ที่มา : bleepingcomputer.

Palo Alto Networks เผยแพร่แพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการใน Next-Generation Firewalls (NGFW) (more…)

Microsoft ออก Patch Tuesday ประจำเดือนพฤศจิกายน 2024 โดยแก้ไขช่องโหว่ 91 รายการ รวมถึงช่องโหว่ zero-days 4 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย (more…)

แฮ็กเกอร์เกาหลีเหนือได้ใช้ช่องโหว่ Google Chrome (CVE-2024-7971) ในการติดตั้ง FudModule rootkit เพื่อให้ได้สิทธิ์ SYSTEM และโจมตีผ่าน Windows Kernel โดยช่องโหว่นี้เพิ่งได้รับการแก้ไขไปเมื่อไม่นานมานี้ (more…)

Microsoft แก้ไขช่องโหว่ด้านความปลอดภัยใหม่ทั้งหมด 61 รายการ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนพฤษภาคม 2024 ซึ่งรวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี (more…)

MITRE Corporation ยืนยันว่าพบเหตุการณ์ที่คาดว่ามาจากกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ ได้โจมตีระบบระบบของพวกเขาในเดือนมกราคม 2024 ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

เหตุการณ์ดังกล่าวถูกพบภายหลังจากการตรวจสอบพฤติกรรมที่น่าสงสัยใน Networked Experimentation, Research and Virtualization Environment (NERVE) ของ MITRE ซึ่งเป็นเครือข่ายความร่วมมือที่ไม่ได้ถูกจัดแบ่งประเภท ซึ่งใช้สำหรับการวิจัย และพัฒนา

MITRE ได้แจ้งฝ่ายที่ได้รับผลกระทบเกี่ยวกับการโจมตีดังกล่าว ทำการติดต่อหน่วยงานที่เกี่ยวข้อง และขณะนี้กำลังดำเนินการฟื้นฟูการทำงานของระบบ

หลักฐานที่รวบรวมได้ระหว่างการสอบสวนจนถึงตอนนี้แสดงให้เห็นว่าการโจมตีครั้งนี้ไม่ส่งผลกระทบต่อระบบเครือข่ายหลักขององค์กร หรือระบบของพันธมิตร

Jason Providakes ซีอีโอของ MITRE ระบุเมื่อวันศุกร์ที่ผ่านมาว่า “ไม่มีองค์กรใดสามารถรอดพ้นจากการโจมตีทางไซเบอร์ลักษณะนี้ ไม่แม้แต่องค์กรที่พยายามรักษาความปลอดภัยทางไซเบอร์ให้สูงที่สุดเท่าที่จะเป็นไปได้”

"MITRE จะเปิดเผยรายละเอียดของเหตุการณ์นี้ในช่วงเวลาที่เหมาะสม เนื่องจากความมุ่งมั่นที่จะดำเนินงานเพื่อประโยชน์สาธารณะ และเพื่อสนับสนุนแนวทางปฏิบัติที่ดีที่สุดที่ยกระดับความปลอดภัยขององค์กร ตลอดจนมาตรการที่จำเป็นเพื่อปรับปรุงแนวทางการป้องกันทางไซเบอร์ในปัจจุบันของอุตสาหกรรม"

MITRE CTO Charles Clancy และวิศวกรความปลอดภัยทางไซเบอร์ Lex Crumpton ยังได้อธิบายเพิ่มเติมว่า ผู้โจมตีได้โจมตีหนึ่งใน Virtual Private Networks (VPN) ของ MITRE ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

โดยผู้โจมตีสามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้โดยใช้วิธีการ session hijacking ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงโครงสร้างพื้นฐาน VMware ของเครือข่ายที่ถูกโจมตีโดยใช้บัญชีผู้ดูแลระบบที่ได้มา

ตลอดเหตุการณ์ที่เกิดขึ้น แฮ็กเกอร์ใช้การผสมผสานระหว่าง webshells และแบ็คดอร์ที่มีความซับซ้อนเพื่อรักษาการเข้าถึงระบบที่ถูกแฮ็ก และขโมยข้อมูล credentials

โดยตั้งแต่ต้นเดือนธันวาคม 2023 ช่องโหว่ด้านความปลอดภัยทั้งสองรายการ ได้แก่ auth bypass (CVE-2023-46805) และ command insert (CVE-2024-21887) ได้ถูกนำไปใช้กับมัลแวร์หลายตระกูลเพื่อวัตถุประสงค์ในการโจมตีทางไซเบอร์

Mandiant ได้เชื่อมโยงการโจมตีเหล่านี้กับกลุ่ม APT ที่ถูกติดตามในชื่อ UNC5221 ในขณะที่ Volexity รายงานว่าเห็นสัญญาณที่แสดงให้เห็นว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนกำลังใช้ประโยชน์จาก zero-days ทั้งสองรายการ

Volexity ระบุว่าแฮ็กเกอร์ชาวจีนติดตั้งแบ็คดอร์บนอุปกรณ์ Ivanti ไปมากกว่า 2,100 เครื่อง เพื่อขโมยข้อมูลบัญชี และ session จากเครือข่ายที่ถูกโจมตี ซึ่งเหยื่อมีตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรที่ใหญ่ที่สุดทั่วโลก รวมถึงบริษัทที่ติดอันดับ Fortune 500 จากกลุ่มอุตสาหกรรมต่าง ๆ

เนื่องจากการโจมตีจำนวนมาก และ attack surface ที่กว้างขวาง CISA จึงออกคำสั่งฉุกเฉินฉบับแรกของปีนี้เมื่อวันที่ 19 มกราคม 2024 โดยสั่งให้หน่วยงานรัฐบาลกลางดำเนินการเพื่อลดผลกระทบจากช่องโหว่ Zero-Day ใน Ivanti ทันที

ที่มา : bleepingcomputer.

Microsoft ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนพฤศจิกายน 2023 ซึ่งเป็นการอัปเดตสำหรับช่องโหว่ทั้งหมด 58 รายการ และเป็นช่องโหว่แบบ Zero-Day 5 รายการ

โดยเป็นการแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) 14 รายการ แต่มีเพียง 1 รายการที่มีความรุนแรงระดับ Critical โดยช่องโหว่ที่มีความรุนแรงระดับ Critical ทั้งหมด 3 รายการ ได้แก่ ช่องโหว่ Azure information disclosure, ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Windows Internet Connection Sharing (ICS) และช่องโหว่ใน Hyper-V Escape ที่ทำให้สามารถเรียกใช้งานโปรแกรมบนโฮสต์ด้วยสิทธิ์ SYSTEM (more…)

พบช่องโหว่ Zero-Days บน Microsoft Exchange จำนวน 4 รายการ ที่ทำให้ Hacker สามารถโจมตีจากภายนอกเพื่อเรียกใช้ หรือเปิดเผยข้อมูลที่มีความสำคัญบน Microsoft Exchange ที่ได้รับผลกระทบ ซึ่งถูกรายงานโดย Zero Day Initiative (ZDI) ของ Trend Micro ซึ่งรายงานช่องโหว่เหล่านี้ไปยัง Microsoft ในวันที่ 7 และ 8 กันยายน 2023 (more…)