TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Broadcom ออกประกาศเตือนว่าช่องโหว่ Critical บน VMware vCenter Server ที่แพตช์ไปตั้งแต่เดือนมิถุนายน 2024 กำลังถูกใช้โจมตีจริงในปัจจุบัน แนะนำผู้ดูแลระบบที่ยังไม่ได้อัปเดตให้ดำเนินการโดยด่วน
ช่องโหว่ดังกล่าวคือ CVE-2024-37079 เป็นปัญหาประเภท out-of-bounds write ใน DCERPC protocol implementation ของ vCenter Server ที่ได้รับคะแนน CVSS สูงถึง 9.8 จัดอยู่ในระดับ Critical โดย DCERPC (Distributed Computing Environment/Remote Procedure Calls) เป็น protocol ที่ใช้ในการเรียก procedure และ service บนระบบระยะไกลผ่าน network ผู้โจมตีที่สามารถเข้าถึง network ของ vCenter Server สามารถส่ง packet พิเศษเพื่อรันคำสั่งบนเซิร์ฟเวอร์ได้ (Remote Code Execution)
หน่วยงาน CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่นี้เข้าใน Known Exploited Vulnerabilities (KEV) Catalog โดยกำหนดให้หน่วยงานรัฐบาลกลางต้องแพตช์ให้เสร็จภายในวันที่ 13 กุมภาพันธ์ ทั้งนี้ช่องโหว่ใน vCenter Server เป็นเป้าหมายยอดนิยมของทั้งกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลและกลุ่มอาชญากรไซเบอร์ ตัวอย่างเช่น CVE-2023-34048 ซึ่งเป็นช่องโหว่ใน DCERPC protocol เช่นกัน เคยถูกกลุ่ม APT จากจีนอย่างน้อย 3 กลุ่มใช้ในการโจมตี
ไม่น่าแปลกใจที่ช่องโหว่นี้ถูกใช้โจมตี เนื่องจากรายละเอียดทางเทคนิคถูกเปิดเผยมานานกว่าหนึ่งปีแล้ว และกลุ่มผู้โจมตีรวมถึงกลุ่มที่ได้รับการสนับสนุนจากรัฐมักใช้ประโยชน์จากข้อมูลช่องโหว่เก่าในการโจมตีใหม่ ทั้งนี้ vCenter Server ไม่ควรเปิดให้เข้าถึงได้จาก internet โดยตรง จึงมีความเป็นไปได้ว่าผู้โจมตีได้เข้าถึงระบบภายในของเหยื่อไว้ก่อนแล้ว ผู้ดูแลระบบที่ใช้งาน VMware vCenter Server ควรตรวจสอบและอัปเดตแพตช์โดยทันที
ที่มา: https://www.theregister.com/2026/01/23/critical_vmware_vcenter_server_bug/
