ช่องโหว่ Authentication Bypass บน VMware ESXi กำลังถูกโจมตี

Microsoft รายงานตรวจพบการโจมตีช่องโหว่ Authentication Bypass บน VMware ESXi

Credit: ShuterStock.com

ไมโครซอฟท์ออกคำเตือนพบกลุ่มแรนซัมแวร์กำลังมุ่งเป้าโจมตีช่องโหว่ Authentication Bypass บน VMware ESXi ช่องโหว่นี้มีรหัส CVE-2024-37085 ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยของไมโครซอฟท์ และได้รับการแก้ไขในเวอร์ชัน ESXi 8.0 U3 เมื่อวันที่ 25 มิถุนายนที่ผ่านมา ช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถเพิ่มผู้ใช้ใหม่เข้าไปในกลุ่ม ‘ESX Admins’ ซึ่งจะได้รับสิทธิ์ผู้ดูแลระบบเต็มรูปแบบบน ESXi hypervisor โดยอัตโนมัติ

ไมโครซอฟท์ระบุว่ามีแรนซัมแวร์หลายกลุ่มพยายามโจมตีระบบ hypervisor ที่เชื่อมต่อกับโดเมน ซึ่งทำให้สามารถขโมยข้อมูลที่จัดเก็บใน VM, กระจายตัวในเครือข่าย, และเข้ารหัสไฟล์บน hypervisor ได้
ไมโครซอฟท์ได้ระบุกลยุทธ์อย่างน้อยสามวิธีที่ใช้โจมตีผ่านช่องโหว่ CVE-2024-37085 ได้แก่:

  1. การเพิ่มกลุ่ม “ESX Admins” ลงในโดเมนและเพิ่มผู้ใช้
  2. การเปลี่ยนชื่อกลุ่มใดๆ ในโดเมนเป็น “ESX Admins” และเพิ่มผู้ใช้เข้ากลุ่มหรือใช้สมาชิกกลุ่มที่มีอยู่
  3. การรีเฟรชสิทธิ์ของ ESXi hypervisor

ปัจจุบันช่องโหว่ดังกล่าวถูกโจมตีโดยกลุ่มแรนซัมแวร์ที่รู้จักกันในชื่อ Storm-0506, Storm-1175, Octo Tempest และ Manatee Tempest นำไปสู่การปล่อยแรนซัมแวร์ Akira และ Black Basta ลงในระบบ โดยทำการเข้าสู่ระบบผ่านทาง Qakbot และยกระดับสิทธิ์ด้วยช่องโหว่ Windows CLFS (CVE-2023-28252) หลังจากนั้นจะมีการใช้เครื่องมือต่างๆ เช่น Cobalt Strike และ Pypykatz เพื่อขโมยบัญชีผู้ดูแลระบบของโดเมน

องค์กรต่างๆ จึงควรอัปเดตระบบ VMware ESXi ให้เป็นเวอร์ชันล่าสุด และใช้มาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น เนื่องจากการโจมตีระบบ ESXi hypervisor มีการเพิ่มขึ้นมากกว่าสองเท่าภายในช่วงสามปีที่ผ่านมา

ที่มา: https://www.bleepingcomputer.com/news/microsoft/microsoft-ransomware-gangs-exploit-vmware-esxi-auth-bypass-in-attacks/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

ขอเชิญเข้าร่วมงาน IBM Solutions Summit 2024: AI and Hybrid Cloud in Action [8 พ.ย. 2024 ณ โรงแรม InterContinental Bangkok]

IBM ขอเรียนเชิญทุกท่านเข้าร่วมงานสัมมนาใหญ่ประจำปี IBM Solutions Summit 2024: AI and Hybrid Cloud in Action ในวันที่ 8 พฤศจิกายน …

Qualcomm เปิดตัวชิป A7 Elite สำหรับระบบ Wi-Fi 7 รองรับการประมวลผล AI ในตัว

Qualcomm เปิดตัว Networking Pro A7 Elite ชิปประมวลผลสำหรับอุปกรณ์ Wi-Fi 7 รุ่นใหม่ พร้อมโมดูล AI coprocessor ในตัว