พบการใช้ประโยชน์จากช่องโหว่ของ VMware หรือ ช่องโหว่ CVE-2022-22954
พบการใช้ประโยชน์จากช่องโหว่ของ VMware หรือ ช่องโหว่ CVE-2022-22954 (CVSS 9.8)
โดยการโจมตีล่าสุดได้กำหนดเป้าหมายไปที่ Botnet และ Log4Shell ซึ่งส่งผลกระทบต่อ VMware Workspace ONE Access และ Identity Manager Workspace ONE ช่องโหว่นี้ทำให้ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงเครือข่ายและ เรียกใช้คำสั่งจากระยะไกล (RCE) ผ่านการ Template Injection ฝั่งเซิร์ฟเวอร์ อีกทั้งยังพบการใช้ประโยชน์
จากช่องโหว่ CVE-2022-22960 (คะแนน CVSS 7.8) ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ (LPE)
ใน VMware Workspace ONE Access, Identity Manager และ vRealize Automation (แพลตฟอร์มสำหรับสร้างคลาวด์ส่วนตัว) ซึ่งช่องโหว่นี้เกิดจากการอนุญาตที่ไม่เหมาะสมในสคริปต์ และอาจอนุญาตให้ผู้ไม่ประสงค์ดี
สามารถเข้าถึงเครื่องที่ได้รับสิทธิ์รูท
นักวิจัยของ VMware สังเกตเห็นว่าการโจมตีส่วนใหญ่นั้นเกิดจากช่องโหว่ของ VMware RCE โดยใช้รหัส PoC
จาก GitHub และการพยายามหาช่องโหว่ส่วนใหญ่มาจากผู้ให้บริการ Botnet โดยเฉพาะ IP ที่โฮสต์ตัวแปรของมัลแวร์ Mirai Botnet แบบ DDoS อีกทั้งยังพบความพยายามในการใช้ Log4shell ด้วย
คำแนะนำ
- ควรอัพเดตแพตช์ และซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อลดการเกิดช่องโหว่
- ติดตั้ง Web Application Firewall
- ควรหลีกเลี่ยงการคลิกลิงก์แปลกปลอมหรือน่าสงสัย และไม่โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ
- ควรแสกนไวรัสอย่างสม่ำเสมอ
- ควรสำรองไฟล์ข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform) เช่น Google Cloud เป็นต้น
- ตระหนักถึงความอันตรายทางไซเบอร์
Ref: https://www.darkreading.com/application-security/critical-vmware-bug-exploits-continue-as-botnet-operators-jump-in