274/67 (IT) ประจำวันพฤหัสบดีที่ 1 สิงหาคม 2567
หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่การข้ามการตรวจสอบสิทธิ์ใน VMware ESXi ที่ CVE-2024-37085 (คะแนน CVSS 6.8) ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV)
ในสัปดาห์นี้ Microsoft ได้เตือนว่ามีกลุ่มแรนซัมแวร์หลายกลุ่มได้กำลังใช้ประโยชน์จากช่องโหว่ที่ CVE-2024-37085 ใน VMware ESXi ซึ่งเป็นช่องโหว่การข้ามการตรวจสอบสิทธิ์ใน VMware ESXi ผู้โจมตีที่มีสิทธิ์ใน Active Directory (AD) สามารถเข้าถึง ESXi host ที่ถูกตั้งค่าให้ใช้ AD สำหรับการจัดการผู้ใช้ โดยการสร้างกลุ่ม AD ที่ถูกตั้งค่า (‘ESXi Admins’ เป็นค่าเริ่มต้น) ขึ้นมาใหม่หลังจากที่ถูกลบออกจาก AD ซึ่งบริษัทได้ออกแพตช์เพื่อแก้ไขช่องโหว่ที่ส่งผลกระทบต่อ ESXi 8.0 และ VMware Cloud Foundation 5.x ทางบริษัทไม่มีแผนที่จะออกแพตช์สำหรับเวอร์ชันเก่า ESXi 7.0 และ VMware Cloud Foundation 4.x โดย Microsoft รายงานว่ามีกลุ่มที่มีจุดประสงค์ทางการเงินหลายกลุ่ม เช่น Storm-0506, Storm-1175 และ Octo Tempest ได้ใช้ช่องโหว่นี้ในการติดตั้งแรนซัมแวร์
เพื่อป้องกันและลดความเสี่ยงจากช่องโหว่ หน่วยงานภายใต้การกำกับดูแลของ Federal Civilian Executive Branch (FCEB) จะต้องแก้ไขช่องโหว่ภายในเวลาที่กำหนด โดย CISA กำหนดให้หน่วยงานรัฐบาลต้องแก้ไขช่องโหว่นี้ภายในวันที่ 20 สิงหาคม 2024 เพื่อป้องกันการถูกใช้ประโยชน์จากช่องโหว่ดังกล่าว
