ช่องโหว่ RCE ระดับ Critical ใน VMware vCenter Server ถูกใช้ในการโจมตีแล้ว

413/67 (IT) ประจำวันพุธที่ 20 พฤศจิกายน 2567

Broadcom เตือนว่าผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่จำนวนสองรายการใน VMware vCenter Server ซึ่งหนึ่งในนั้นเป็นช่องโหว่ระดับ Critical ที่สามารถควบคุมระบบจากระยะไกลได้ (Remote Code Execution หรือ RCE) ที่หมายเลข CVE-2024-38812 ถูกพบจากนักวิจัยด้านความปลอดภัยของ TZL ในระหว่างการแข่งขันแฮก “Matrix Cup 2024” ที่จัดขึ้นในประเทศจีน เป็นปัญหา heap overflow ในโปรโตคอล DCE/RPC ของ vCenter ซึ่งช่องโหว่นี้ส่งผลกระทบกับผลิตภัณฑ์ที่ใช้ vCenter เช่น VMware vSphere และ VMware Cloud Foundation ส่วนช่องโหว่ที่ถูกใช้โจมตีอีกตัวหนึ่งเป็นการยกระดับสิทธิ์ (Privilege Escalation) ที่หมายเลข CVE-2024-38813 ซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root ผ่านแพ็กเก็ตเครือข่ายที่สร้างขึ้นโดยเฉพาะ

Broadcom ระบุว่าช่องโหว่ทั้งสองรายการ (CVE-2024-38812 และ CVE-2024-38813) มีการถูกใช้งานในการโจมตีจริง โดย บริษัทได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขปัญหาดังกล่าวตั้งแต่เดือนกันยายน แต่ภายหลังพบว่าการแก้ไขช่องโหว่ CVE-2024-38812 ยังไม่สมบูรณ์ จึงได้แนะนำให้ผู้ดูแลระบบดำเนินการอัปเดตแพตช์ล่าสุดโดยด่วน เนื่องจากไม่มีวิธีการแก้ไขหรือปิดช่องโหว่ชั่วคราวสำหรับปัญหานี้ นอกจากนี้ Broadcom ยังได้ออกคำแนะนำเพิ่มเติมเกี่ยวกับการติดตั้งอัปเดตและปัญหาที่อาจเกิดขึ้นกับระบบที่ทำการอัปเดตไปแล้ว    

ทั้งนี้กลุ่มแรนซัมแวร์และกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ มักจะมุ่งเป้าการโจมตีไปที่ช่องโหว่ใน VMware vCenter อยู่บ่อยครั้ง เช่น เมื่อต้นปีที่ผ่านมา Broadcom เปิดเผยว่ามีกลุ่มแฮกเกอร์จีนได้ใช้ประโยชน์จากช่องโหว่ vCenter (CVE-2023-34048) ซึ่งเป็นช่องโหว่ Zero-Day มาตั้งแต่ปลายปี 2021 โดยกลุ่มนี้ใช้ช่องโหว่ดังกล่าวเพื่อปล่อยมัลแวร์ VirtualPita และ VirtualPie บนเซิร์ฟเวอร์ ESXi

แหล่งข่าว https://www.bleepingcomputer.com/news/security/critical-rce-bug-in-vmware-vcenter-server-now-exploited-in-attacks/