พบช่องโหว่ของ VMware กำหนดเป้าหมายไปที่ Botnet Operators 

พบการใช้ประโยชน์จากช่องโหว่ของ VMware หรือ ช่องโหว่ CVE-2022-22954 (CVSS 9.8) 
โดยการโจมตีล่าสุดได้กำหนดเป้าหมายไปที่ Botnet และ Log4Shell ซึ่งส่งผลกระทบต่อ VMware Workspace ONE Access และ Identity Manager Workspace ONE ช่องโหว่นี้ทำให้ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงเครือข่ายและ เรียกใช้คำสั่งจากระยะไกล (RCE) ผ่านการ Template Injection ฝั่งเซิร์ฟเวอร์ อีกทั้งยังพบการใช้ประโยชน์ 
จากช่องโหว่ CVE-2022-22960 (คะแนน CVSS 7.8) ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ (LPE)  
ใน VMware Workspace ONE Access, Identity Manager และ vRealize Automation (แพลตฟอร์มสำหรับสร้างคลาวด์ส่วนตัว) ซึ่งช่องโหว่นี้เกิดจากการอนุญาตที่ไม่เหมาะสมในสคริปต์ และอาจอนุญาตให้ผู้ไม่ประสงค์ดี 
สามารถเข้าถึงเครื่องที่ได้รับสิทธิ์รูท 

นักวิจัยของ VMware สังเกตเห็นว่าการโจมตีส่วนใหญ่นั้นเกิดจากช่องโหว่ของ VMware RCE โดยใช้รหัส PoC  
จาก GitHub และการพยายามหาช่องโหว่ส่วนใหญ่มาจากผู้ให้บริการ Botnet โดยเฉพาะ IP ที่โฮสต์ตัวแปรของมัลแวร์ Mirai Botnet แบบ DDoS อีกทั้งยังพบความพยายามในการใช้ Log4shell ด้วย 

คำแนะนำ 

  1. ควรอัพเดตแพตช์ และซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อลดการเกิดช่องโหว่ 
  1. ติดตั้ง Web Application Firewall  
  1. ควรหลีกเลี่ยงการคลิกลิงก์แปลกปลอมหรือน่าสงสัย และไม่โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ 
  1. ควรแสกนไวรัสอย่างสม่ำเสมอ 
  1. ควรสำรองไฟล์ข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform) เช่น Google Cloud เป็นต้น 
  1. ตระหนักถึงความอันตรายทางไซเบอร์ 

Ref: https://www.darkreading.com/application-security/critical-vmware-bug-exploits-continue-as-botnet-operators-jump-in 

Share