ผู้เชี่ยวชาญเตือนคนร้ายใช้ช่องโหว่เก่าบน ESXi เข้ามาปล่อยแรนซัมแวร์ แนะผู้ใช้ควรอัปเดต

มีการค้นพบความพยายามใช้ช่องโหว่เก่าบน VMware ESXi เข้ามาปล่อยแรนซัมแวร์ ด้วยเหตุนี้จึงขอแจ้งเตือนให้ผู้ใช้ได้ทำการอัปเดต

Credit: Pavel Ignatov/ShutterStock

ช่องโหว่ที่ถูกใช้งานคือ CVE-2019-5544 และ CVE-2020-3992 เกิดขึ้นกับโปรโตคอล Service Location Protocol (SLP) ที่อุปกรณ์ภายในเครือข่ายใช้คุยระหว่างกัน รวมถึงตัว ESXi ด้วย โดยคนร้ายจะสามารถส่ง SLP Request ไปยังอุปกรณ์ ESXi และนำไปสู่การเข้ายึดเครื่องได้โดยไม่ต้องไปแทรกแซง vCenter เลย 

ทั้งนี้ความพยายามลักษณะนี้ไม่ใช้ครั้งแรกเพราะเมื่อตุลาคมปีก่อนก็ถูกใช้โจมตีแล้วในผู้ใช้แรนซัมแวร์สายพันธุ์ RansomExx เพื่อมาเข้ารหัส VHD ในองค์กร ซึ่งล่าสุดเมื่อเดือนที่ผ่านมาก็มีรายงานพบการโจมตีลักษณะเช่นนี้อีกในกลุ่มผู้ใช้แรนซัมแวร์ Babuk Locker ดังนั้นก่อนที่เหตุการณ์จะรุนแรงไปกว่านี้ จึงเตือนให้ผู้ใช้งาน ESXi ทุกท่านเข้าไปอัปเดตแพตช์หรือปิดการใช้งาน SLP หากไม่จำเป็นต้องใช้ โดยศึกษาวิธีการป้องกันเพิ่มเติมได้ https://kb.vmware.com/s/article/76372 

ที่มา : https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ปกป้องข้อมูลและกู้สถานการณ์จาก Ransomware โดยอัตโนมัติ ด้วย IBM FlashSystem Cyber Vault

ทุกวันนี้ การรับมือกับ Ransomware ได้กลายเป็นหนึ่งในหน้าที่พื้นฐานของเหล่าผู้ดูแลระบบ IT ภายในองค์กรไปแล้ว และแน่นอนว่าเหล่าผู้พัฒนาโซลูชันระบบต่างๆ ที่เกี่ยวข้องกับการบริหารจัดการข้อมูล โดยเฉพาะ Enterprise Storage เองต่างก็ได้มีการพัฒนาความสามารถใหม่ๆ ขึ้นมาอย่างต่อเนื่องเพื่อช่วยเหล่าผู้ดูแลระบบ IT ในการรับมือกับภัยคุกคามดังกล่าว

[Video] รู้จักโซลูชัน IBM FlashSystem Cyber Vault: ปกป้องข้อมูลสำคัญของธุรกิจจาก Ransomware แบบอัตโนมัติ

ธุรกิจองค์กรสามารถเลือกใช้ IBM FlashSystem Cyber Vault ในการรับมือกับ Ransomware ในแบบอัตโนมัติได้อย่างเหมาะสมตามความต้องการ ต่อยอดจากการใช้เพียง IBM FlashSystem และ IBM Safeguarded Copy เพื่อปกป้องข้อมูล Snapshot จากการถูกโจมตีเพียงเท่านั้นได้