Black Hat Asia 2021

ผู้เชี่ยวชาญเตือนคนร้ายใช้ช่องโหว่เก่าบน ESXi เข้ามาปล่อยแรนซัมแวร์ แนะผู้ใช้ควรอัปเดต

มีการค้นพบความพยายามใช้ช่องโหว่เก่าบน VMware ESXi เข้ามาปล่อยแรนซัมแวร์ ด้วยเหตุนี้จึงขอแจ้งเตือนให้ผู้ใช้ได้ทำการอัปเดต

Credit: Pavel Ignatov/ShutterStock

ช่องโหว่ที่ถูกใช้งานคือ CVE-2019-5544 และ CVE-2020-3992 เกิดขึ้นกับโปรโตคอล Service Location Protocol (SLP) ที่อุปกรณ์ภายในเครือข่ายใช้คุยระหว่างกัน รวมถึงตัว ESXi ด้วย โดยคนร้ายจะสามารถส่ง SLP Request ไปยังอุปกรณ์ ESXi และนำไปสู่การเข้ายึดเครื่องได้โดยไม่ต้องไปแทรกแซง vCenter เลย 

ทั้งนี้ความพยายามลักษณะนี้ไม่ใช้ครั้งแรกเพราะเมื่อตุลาคมปีก่อนก็ถูกใช้โจมตีแล้วในผู้ใช้แรนซัมแวร์สายพันธุ์ RansomExx เพื่อมาเข้ารหัส VHD ในองค์กร ซึ่งล่าสุดเมื่อเดือนที่ผ่านมาก็มีรายงานพบการโจมตีลักษณะเช่นนี้อีกในกลุ่มผู้ใช้แรนซัมแวร์ Babuk Locker ดังนั้นก่อนที่เหตุการณ์จะรุนแรงไปกว่านี้ จึงเตือนให้ผู้ใช้งาน ESXi ทุกท่านเข้าไปอัปเดตแพตช์หรือปิดการใช้งาน SLP หากไม่จำเป็นต้องใช้ โดยศึกษาวิธีการป้องกันเพิ่มเติมได้ https://kb.vmware.com/s/article/76372 

ที่มา : https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google เปิดให้บริการ Document AI เข้าสู่สถานะพร้อมใช้งาน

Google ได้เปิดให้บริการ Document AI เข้าสู่สถานะพร้อมใช้งานแล้วหลังเปิดทดลองมาตั้งแต่ปีก่อน

Sophos เปิดตัว Next-gen Firewall XGS Series

Next-gen Firewall XGS Series เป็นโซลูชันใหม่ของ Sophos ที่ตั้งเป้าจะตอบโจทย์ในเรื่องของความคุ้มค่าในด้านราคาเทียบกับประสิทธิภาพ อีกทั้งยังชูโรงด้วยเรื่องของการทำ TLS Inspection