หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐฯ ได้ประกาศว่าช่องโหว่ความรุนแรงระดับวิกฤตของ VMware vCenter Server (CVE-2024-37079) กำลังถูกใช้ในการโจมตีจริง และได้ออกคำสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ทำการแก้ไขเซิร์ฟเวอร์ที่เกี่ยวข้องภายในสามสัปดาห์ ช่องโหว่นี้เป็นข้อบกพร่องแบบ heap overflow ในการใช้งานโปรโตคอล DCERPC ซึ่งอนุญาตให้ผู้โจมตีที่มีสิทธิ์เข้าถึงเครือข่ายสามารถดำเนินการโค้ดจากระยะไกลได้โดยไม่ต้องใช้สิทธิ์หรือการโต้ตอบจากผู้ใช้ Broadcom ยืนยันว่ารับทราบถึงการโจมตีที่เกิดขึ้นแล้ว และเน้นย้ำว่าไม่มีวิธีการแก้ไขชั่วคราวอื่นใดนอกจากต้องติดตั้งแพตช์ความปลอดภัย.
Severity: วิกฤต
System Impact:
- VMware vCenter Server (แพลตฟอร์มการจัดการ Broadcom VMware vSphere)
- VMware Cloud Foundation
Technical Attack Steps:
- ผู้โจมตีที่มีสิทธิ์เข้าถึงเครือข่ายไปยัง vCenter Server ส่งแพ็คเก็ตเครือข่ายที่สร้างขึ้นเป็นพิเศษ
- แพ็คเก็ตดังกล่าวใช้ประโยชน์จากข้อบกพร่อง heap overflow ในการใช้งานโปรโตคอล DCERPC
- การโจมตีนำไปสู่การเรียกใช้โค้ดจากระยะไกล (RCE)
- การโจมตีมีความซับซ้อนต่ำ ไม่ต้องมีสิทธิ์บนระบบเป้าหมาย หรือการโต้ตอบจากผู้ใช้
Recommendations:
Short Term:
- หน่วยงาน Federal Civilian Executive Branch (FCEB) ของสหรัฐฯ ต้องทำการแก้ไขระบบที่มีช่องโหว่ภายในวันที่ 13 กุมภาพันธ์ 2026
- ประยุกต์ใช้แพตช์ความปลอดภัยที่ Broadcom ออกให้สำหรับ vCenter Server และ Cloud Foundation เวอร์ชันล่าสุดทันที เนื่องจากไม่มีวิธีการแก้ไขชั่วคราวสำหรับ CVE-2024-37079
Long Term:
- ดำเนินการอัปเดตระบบ VMware vCenter Server และ Cloud Foundation ให้เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ เพื่อแก้ไขช่องโหว่ที่ค้นพบ
- ตรวจสอบและประเมินความปลอดภัยของโครงสร้างพื้นฐาน VMware อย่างต่อเนื่อง และทำการแก้ไขช่องโหว่อื่นๆ ที่ CISA หรือ Broadcom เคยแจ้งเตือนก่อนหน้านี้ เพื่อลดความเสี่ยงจากการโจมตีในอนาคต
Share this content: