Microsoft รายงานตรวจพบการโจมตีช่องโหว่ Authentication Bypass บน VMware ESXi
ไมโครซอฟท์ออกคำเตือนพบกลุ่มแรนซัมแวร์กำลังมุ่งเป้าโจมตีช่องโหว่ Authentication Bypass บน VMware ESXi ช่องโหว่นี้มีรหัส CVE-2024-37085 ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยของไมโครซอฟท์ และได้รับการแก้ไขในเวอร์ชัน ESXi 8.0 U3 เมื่อวันที่ 25 มิถุนายนที่ผ่านมา ช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถเพิ่มผู้ใช้ใหม่เข้าไปในกลุ่ม ‘ESX Admins’ ซึ่งจะได้รับสิทธิ์ผู้ดูแลระบบเต็มรูปแบบบน ESXi hypervisor โดยอัตโนมัติ
ไมโครซอฟท์ระบุว่ามีแรนซัมแวร์หลายกลุ่มพยายามโจมตีระบบ hypervisor ที่เชื่อมต่อกับโดเมน ซึ่งทำให้สามารถขโมยข้อมูลที่จัดเก็บใน VM, กระจายตัวในเครือข่าย, และเข้ารหัสไฟล์บน hypervisor ได้
ไมโครซอฟท์ได้ระบุกลยุทธ์อย่างน้อยสามวิธีที่ใช้โจมตีผ่านช่องโหว่ CVE-2024-37085 ได้แก่:
- การเพิ่มกลุ่ม “ESX Admins” ลงในโดเมนและเพิ่มผู้ใช้
- การเปลี่ยนชื่อกลุ่มใดๆ ในโดเมนเป็น “ESX Admins” และเพิ่มผู้ใช้เข้ากลุ่มหรือใช้สมาชิกกลุ่มที่มีอยู่
- การรีเฟรชสิทธิ์ของ ESXi hypervisor
ปัจจุบันช่องโหว่ดังกล่าวถูกโจมตีโดยกลุ่มแรนซัมแวร์ที่รู้จักกันในชื่อ Storm-0506, Storm-1175, Octo Tempest และ Manatee Tempest นำไปสู่การปล่อยแรนซัมแวร์ Akira และ Black Basta ลงในระบบ โดยทำการเข้าสู่ระบบผ่านทาง Qakbot และยกระดับสิทธิ์ด้วยช่องโหว่ Windows CLFS (CVE-2023-28252) หลังจากนั้นจะมีการใช้เครื่องมือต่างๆ เช่น Cobalt Strike และ Pypykatz เพื่อขโมยบัญชีผู้ดูแลระบบของโดเมน
องค์กรต่างๆ จึงควรอัปเดตระบบ VMware ESXi ให้เป็นเวอร์ชันล่าสุด และใช้มาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น เนื่องจากการโจมตีระบบ ESXi hypervisor มีการเพิ่มขึ้นมากกว่าสองเท่าภายในช่วงสามปีที่ผ่านมา