พบช่องโหว่ VMware auth bypass  

นักวิจัยเผยแพร่ช่องโหว่ที่อนุญาตให้เข้าถึงระดับผู้ดูแลระบบโดยไม่ต้องตรวจสอบสิทธิ์ในผลิตภัณฑ์ VMware หลายรายการ ช่องโหว่ CVE-2022-22972  ส่งผลกระทบต่อ VMware Workspace ONE Access, Identity Manager และ vRealize Automation บริษัทเตือนว่าผู้ไม่ประสงค์ดีที่เข้าถึง Interface ของอุปกรณ์สามารถใช้เพื่อเลี่ยงการตรวจสอบสิทธิ์เพื่อเข้าถึง Local Domain Users  VMware แนะนำให้ปิดการใช้งาน Users และ Administrators ในเครื่องทั้งหมด โดยปล่อยให้ใช้งานได้เฉพาะผู้ใช้ที่จำเป็นเท่านั้น นี่เป็นเพียงวิธีแก้ปัญหาชั่วคราว และไม่ได้ลดความเสี่ยงที่ผู้ไม่ประสงค์ดีจะโจมตี โดยใช้ช่องโหว่ CVE-2022-22972   ในขณะนี้ ยังไม่มีการเปิดเผยข้อมูลที่แสดงให้เห็นว่าผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ ที่ผ่านผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ อย่างรวดเร็วหลังจากการ Update Patch โดยเฉพาะหลังจากเปิดเผยรายละเอียดทางเทคนิค  Ref: https://www.bleepingcomputer.com/news/security/researchers-to-release-exploit-for-new-vmware-auth-bypass-patch-now/ 
Read More

ผู้ไม่ประสงค์ดีใช้ช่องโหว่ RCE ของ VMware เพื่อติดตั้ง Backdoor

ผู้เชี่ยวชาญด้านความปลอดภัยตรวจพบกลุ่มผู้ไม่ประสงค์ดีชาวอิหร่านที่เรียกว่า APT35 หรือ Rocket Kitten นำช่องโหว่การเรียกใช้โค้ดระยะไกล หรือ RCE (Remote Code Execution) รหัส CVE-2022-22954 มีคะแนน CVSSv3 ที่ระดับความรุนแรง 9.8 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิของตนเองได้ และติดตั้ง Backdoor เพื่อย้อนกลับมาโจมตี ส่งผลต่อผลิตภัณฑ์ VMware Workspace ONE Access (เดิมเรียกว่า VMware Identity Manager)  ขั้นตอนการโจมตีของ APT35  ขั้นตอนการโจมตีเริ่มจากใช้คำสั่ง PowerShell บน Vulnerable service (Identity Manager) จากนั้นดึงข้อมูลชุดคำสั่ง PowerTrash จาก Command and Control (C2) Server ออกมาในรูปแบบของโค้ดที่มีความซับซ้อน และทำการโหลด Core…
Read More