74/69 (IT) ประจำวันศุกร์ที่ 6 กุมภาพันธ์ 2569
CISA เปิดเผยว่ากลุ่มแรนซัมแวร์ได้เริ่มใช้ประโยชน์จากช่องโหว่ใน VMware ESXi ที่เกี่ยวข้องกับการหลบหนีจาก sandbox ของระบบเสมือน (sandbox escape) หลังจากก่อนหน้านี้ช่องโหว่ดังกล่าวถูกใช้ในการโจมตีแบบ zero-day ที่หมายเลขช่องโหว่ CVE-2025-22225 ซึ่งเป็นช่องโหว่ประเภท arbitrary write ที่อาจทำให้ผู้โจมตีที่มีสิทธิ์ภายในกระบวนการ VMX สามารถเขียนข้อมูลลงในเคอร์เนลได้ และนำไปสู่การหลบหนีจาก sandbox ได้ ทั้งนี้ Broadcom ได้ออกแพตช์แก้ไขตั้งแต่เดือนมีนาคม 2025 พร้อมกับช่องโหว่อื่น ได้แก่ CVE-2025-22226 (memory leak) และ CVE-2025-22224 (TOCTOU) ซึ่งถูกจัดเป็นช่องโหว่ที่มีการใช้โจมตีแล้ว
ช่องโหว่ทั้งสามรายการส่งผลกระทบต่อผลิตภัณฑ์ใน VMware หลายรายการ เช่น VMware ESXi, Fusion, Cloud Foundation, vSphere, Workstation และ Telco Cloud Platform โดยผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบหรือ root สามารถนำช่องโหว่มาเชื่อมโยงกันเพื่อหลบออกจากเครื่องเสมือนและเข้าควบคุมระบบหลักได้ รายงานจากบริษัท Huntress ระบุว่ากลุ่มผู้โจมตีที่ใช้ภาษาจีนมีแนวโน้มใช้ช่องโหว่เหล่านี้ในการโจมตีแบบซับซ้อนมาตั้งแต่เดือนกุมภาพันธ์ 2024 ขณะที่ CISA ได้ยืนยันเพิ่มเติมว่า CVE-2025-22225 ถูกนำไปใช้ในปฏิบัติการแรนซัมแวร์แล้ว แม้จะยังไม่มีการเปิดเผยรายละเอียดเชิงเทคนิคของการโจมตี
CISA ได้เพิ่มช่องโหว่นี้ไว้ในบัญชี Known Exploited Vulnerabilities (KEV) และสั่งให้หน่วยงานภาครัฐดำเนินการป้องกันภายในระยะเวลาที่กำหนดตาม Binding Operational Directive (BOD) 22-01 พร้อมแนะนำให้องค์กรติดตั้งแพตช์ตามคำแนะนำของผู้พัฒนา ปฏิบัติตามแนวทางด้านความปลอดภัยสำหรับบริการคลาวด์ หรือพิจารณาหยุดใช้งานผลิตภัณฑ์หากไม่สามารถลดความเสี่ยงได้ โดยผู้เชี่ยวชาญระบุว่ากลุ่มแรนซัมแวร์และผู้โจมตีที่ได้รับการสนับสนุนมักมุ่งเป้าไปยังช่องโหว่ของ VMware เนื่องจากถูกใช้งานอย่างแพร่หลายในระบบองค์กรที่เก็บข้อมูลสำคัญ นอกจากนี้ CISA ยังได้ติดตามช่องโหว่ VMware อื่น ๆ ที่ถูกใช้โจมตีอย่างต่อเนื่อง และมีรายงานว่าในปีที่ผ่านมา มีช่องโหว่ด้านความปลอดภัยอย่างน้อย 59 รายการที่ถูกจัดอยู่ในกลุ่มที่ถูกนำไปใช้ในแคมเปญแรนซัมแวร์ ที่แสดงให้เห็นถึงความเสี่ยงที่เพิ่มสูงขึ้นต่อโครงสร้างพื้นฐานด้านไอทีขององค์กรทั่วโลก
