มัลแวร์ EnemyBot เพิ่มช่องโหว่ใหม่ใน VMware และ F5 BIG-IP !!

EnemyBot เป็นบ็อตเน็ตที่ใช้โค้ดจากมัลแวร์หลายชนิด กำลังขยายการเข้าถึงโดยการเพิ่มช่องโหว่ในเว็บเซิร์ฟเวอร์, ระบบจัดการเนื้อหา(CMS), IoT และอุปกรณ์ Android จุดประสงค์คือเปิดตัวการโจมตีแบบปฏิเสธการให้บริการ (DDoS) อีกทั้งมัลแวร์ยังมีโมดูลสำหรับสแกนหาอุปกรณ์เป้าหมายใหม่ และแพร่กระจาย  AT&T Alien Labs ระบุว่า EnemyBot รุ่นล่าสุดรวมช่องโหว่ได้ 24 จุด แต่มีหลายช่องโหว่ที่ไม่มีหมายเลข  CVE ซึ่งทำให้ใช้การป้องกันได้ยากขึ้น โดยข้อบกพร่องส่วนใหญ่ที่เกี่ยวข้องกับเราเตอร์และอุปกรณ์ IoT  โดยช่องโหว่ที่เพิ่มขึ้นของ EnemyBot มีดังนี้ :  CVE-2022-22954 (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ VMware Workspace  ONE Access และ VMware Identity Manager   CVE-2022-22947 (CVSS: 6.8) ช่องโหว่ใน Spring Cloud Gateway โดยผู้ไม่ประสงค์ดีสามารถสร้างคำขอ และอาจอนุญาตให้มีการดำเนินการบนโฮสต์ระยะไกลได้  CVE-2022-1388…
Read More

พบ !! ช่องโหว่ใน VMware ที่เสี่ยงต่อการถูก Auth Bypass

VMware ได้ออกมาการอัปเดตแพตช์แก้ไขช่องโหว่ด้านความปลอดภัย CVE-2022-22972 ที่ทำให้ผู้ไม่ประสงค์ดีสามารถ Bypass และ ได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบโดยไม่ต้องตรวจสอบสิทธิ์ บน Workspace ONE Access เวอร์ชัน 21.08.0.1 ต่ำลงมา และ VMware Identity Manager (vIDM) เวอร์ชัน 3.3.6 ต่ำลงมา Successful login as vRealize Automation admin (Horizon3)  ในเดือนเมษายน พ.ศ. 2565 VMware ได้แก้ไขช่องโหว่ที่สำคัญอีก 2 ช่องโหว่ ได้แก่   (CVE-2022-22954) เป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถทำการโจมตีแบบ Remote Code Execution  (CVE-2022-229600) เป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถยกระดับการใช้งานของตนเองเป็นสิทธิ์ “Root”  ใน VMware Workspace ONE Access…
Read More

พบช่องโหว่ VMware auth bypass  

นักวิจัยเผยแพร่ช่องโหว่ที่อนุญาตให้เข้าถึงระดับผู้ดูแลระบบโดยไม่ต้องตรวจสอบสิทธิ์ในผลิตภัณฑ์ VMware หลายรายการ ช่องโหว่ CVE-2022-22972  ส่งผลกระทบต่อ VMware Workspace ONE Access, Identity Manager และ vRealize Automation บริษัทเตือนว่าผู้ไม่ประสงค์ดีที่เข้าถึง Interface ของอุปกรณ์สามารถใช้เพื่อเลี่ยงการตรวจสอบสิทธิ์เพื่อเข้าถึง Local Domain Users  VMware แนะนำให้ปิดการใช้งาน Users และ Administrators ในเครื่องทั้งหมด โดยปล่อยให้ใช้งานได้เฉพาะผู้ใช้ที่จำเป็นเท่านั้น นี่เป็นเพียงวิธีแก้ปัญหาชั่วคราว และไม่ได้ลดความเสี่ยงที่ผู้ไม่ประสงค์ดีจะโจมตี โดยใช้ช่องโหว่ CVE-2022-22972   ในขณะนี้ ยังไม่มีการเปิดเผยข้อมูลที่แสดงให้เห็นว่าผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ ที่ผ่านผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ อย่างรวดเร็วหลังจากการ Update Patch โดยเฉพาะหลังจากเปิดเผยรายละเอียดทางเทคนิค  Ref: https://www.bleepingcomputer.com/news/security/researchers-to-release-exploit-for-new-vmware-auth-bypass-patch-now/ 
Read More

ผู้ไม่ประสงค์ดีใช้ช่องโหว่ RCE ของ VMware เพื่อติดตั้ง Backdoor

ผู้เชี่ยวชาญด้านความปลอดภัยตรวจพบกลุ่มผู้ไม่ประสงค์ดีชาวอิหร่านที่เรียกว่า APT35 หรือ Rocket Kitten นำช่องโหว่การเรียกใช้โค้ดระยะไกล หรือ RCE (Remote Code Execution) รหัส CVE-2022-22954 มีคะแนน CVSSv3 ที่ระดับความรุนแรง 9.8 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิของตนเองได้ และติดตั้ง Backdoor เพื่อย้อนกลับมาโจมตี ส่งผลต่อผลิตภัณฑ์ VMware Workspace ONE Access (เดิมเรียกว่า VMware Identity Manager)  ขั้นตอนการโจมตีของ APT35  ขั้นตอนการโจมตีเริ่มจากใช้คำสั่ง PowerShell บน Vulnerable service (Identity Manager) จากนั้นดึงข้อมูลชุดคำสั่ง PowerTrash จาก Command and Control (C2) Server ออกมาในรูปแบบของโค้ดที่มีความซับซ้อน และทำการโหลด Core…
Read More