TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
CISA ยืนยันว่าช่องโหว่ระดับ High บน VMware ESXi (CVE-2025-22225) ซึ่งเป็นช่องโหว่ประเภท Sandbox Escape ได้ถูกกลุ่ม Ransomware นำไปใช้โจมตีจริงแล้ว หลังจากพบว่ามีการใช้ช่องโหว่นี้ในลักษณะ Zero-day มาตั้งแต่เดือนกุมภาพันธ์ 2024
Broadcom ได้ปล่อยแพตช์แก้ไขช่องโหว่ดังกล่าวไปแล้วตั้งแต่เดือนมีนาคม 2025 พร้อมกับช่องโหว่อีก 2 รายการ ได้แก่ CVE-2025-22226 (Memory Leak) และ CVE-2025-22224 (TOCTOU Flaw) โดยทั้ง 3 รายการถูกระบุว่าเป็น Zero-day ที่ถูกใช้โจมตีจริง ช่องโหว่เหล่านี้ส่งผลกระทบต่อผลิตภัณฑ์ในตระกูล VMware ESX หลายรายการ ได้แก่ VMware ESXi, Fusion, Cloud Foundation, vSphere, Workstation และ Telco Cloud Platform โดยผู้โจมตีที่มีสิทธิ์ระดับ Administrator หรือ Root สามารถใช้ช่องโหว่ทั้ง 3 รายการร่วมกันเพื่อหลุดออกจาก Sandbox ของ Virtual Machine ได้
CISA ได้อัปเดตรายการ Known Exploited Vulnerabilities (KEV) เพื่อระบุว่า CVE-2025-22225 ถูกนำไปใช้ในแคมเปญ Ransomware แล้ว แม้จะยังไม่มีรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีเหล่านี้ ก่อนหน้านี้ CISA ได้เพิ่มช่องโหว่ดังกล่าวเข้าสู่ KEV ตั้งแต่เดือนมีนาคม 2025 และสั่งการให้หน่วยงานรัฐบาลกลางดำเนินการแพตช์ภายในวันที่ 25 มีนาคม 2025 ตามข้อกำหนดของ Binding Operational Directive (BOD) 22-01 นอกจากนี้ รายงานจากบริษัท Huntress ที่เผยแพร่เมื่อเดือนที่ผ่านมาระบุว่ากลุ่มแฮกเกอร์ที่ใช้ภาษาจีนมีแนวโน้มที่จะใช้ช่องโหว่เหล่านี้ร่วมกันในการโจมตีแบบ Zero-day มาตั้งแต่เดือนกุมภาพันธ์ 2024
กลุ่ม Ransomware และกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐมักตั้งเป้าโจมตีช่องโหว่บนผลิตภัณฑ์ VMware เนื่องจากเป็นซอฟต์แวร์ที่ถูกใช้งานอย่างแพร่หลายในระบบ Enterprise ซึ่งมักเก็บข้อมูลสำคัญขององค์กร ผู้ดูแลระบบที่ยังไม่ได้ดำเนินการแพตช์ควรเร่งอัปเดตโดยด่วน หรือหากไม่สามารถแพตช์ได้ให้พิจารณาหยุดใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบ ทั้งนี้ GreyNoise รายงานเพิ่มเติมว่า CISA ได้ระบุช่องโหว่ถึง 59 รายการว่าถูกใช้ในแคมเปญ Ransomware เมื่อปีที่ผ่านมา สะท้อนให้เห็นถึงภัยคุกคามจาก Ransomware ที่ยังคงรุนแรงขึ้นอย่างต่อเนื่อง
