VMware ออกแพตช์ช่องโหว่ ESXi ที่ถูกใช้แล้วโดยแฮ็กเกอร์จากจีน

CVE-2023-20867 เป็นช่องโหว่ที่มีคะแนนความรุนแรงไม่มากนักอ้างอิงจาก VMware Advisories แต่วิธีการนำไปใช้โดยกลุ่มแฮ็กเกอร์จีนนี้มีเรื่องราวที่ค่อนข้างน่าสนใจไม่น้อย ซึ่งผู้เชี่ยวชาญของ Mandiant เป็นผู้เปิดโปงเส้นทางที่เกิดขึ้น

UNC3886 เป็นกลุ่มแฮ็กเกอร์มือพระกาฬที่เคยแสดงฝีมือด้วยการใช้ช่องโหว่ Zero-day(CVE-2022-41328) บน Fortigate Firewall ซึ่งมีการใช้ Backdoor ที่ชื่อว่า Castletap และ Thincrust ที่ไม่ค่อยเป็นที่รู้จัก ณ เวลานั้น โดยหลังจากผ่านเข้าไปได้มีการฝังตัวอย่างแยบยลใน FortiManager และ FortiAnalyzer แล้วค่อยๆเคลื่อนไหวในเครือข่าย ต่อมายังเข้าไปติดตั้ง Backdoor ในส่วนของ ESXi และ vCenter ด้วยมัลแวร์ VirtualPita และ VirtualPie ซึ่งทั้งสองเป็นจุดร่วมในการโจมตีล่าสุดด้วย โดยความสามารถในส่วน Fortinet ได้แสดงถึงความเข้าใจระบบ FortiOS และ Hardware เป็นอย่างดีที่สามารถทำ reverse engineering ซอฟต์แวร์ FortiOS

อย่างไรก็ดีคนร้ายมีเป้าหมายระดับสูงเช่น หน่วยงานป้องกันประเทศ รัฐบาล โทรคมนาคม และเทคโนโลยีในสหรัฐฯ เอเชียแปซิฟิคและญี่ปุ่น เป้าหมายที่ชื่นชอบเป็นพิเศษคือช่องโหว่ Zero-day ใน Firewall หรือ Virtualize Platform ที่มักไม่มีส่วนของ EDR ทั้งยังมีแนวโน้มใช้มัลแวร์ใหม่ๆ

ในส่วนของภาพการทำงานของ Mandiant จะเห็นได้ว่าคนร้ายสามารถเข้าถึง vCenter ได้ก่อนตามมาด้วย vpxuser credentials ของเครื่อง ESXi Host จากนั้นก็พุ่งตรงต่อเข้าไปที่ ESXi Host เพื่อไปฝัง Backdoor VirtualPita และ VirtualPie ด้วยแพ็กเกจ vSphere Installation Bundles (VIBs) ซึ่งยามปกติคือสิ่งที่ช่วยแอดมินใช้ดูแลและจัดการ ESXi image หลังจากคนร้ายสื่อสารกับ Backdoor บน Host ได้โดยตรงขั้นตอนต่อไปก็คือการใช้ช่องโหว่ CVE-2023-20867 ช่วยรันคำสั่งที่ไม่ต้องพิสูจน์ตัวตนจาก VMware Tools ในท้ายที่ส่งผู้โจมตีก็สามารถเข้าถึงตัว Guest VM โดยระหว่างการสืบสวนของ Mandiant ยังพบมัลแวร์อีกตัวที่ชื่อ VirtualGate ซึ่งรับหน้าที่เป็น Dropper ที่ทำงานใน VM Memory อีกด้วย

Credit : Mandiant

ที่มา : https://www.bleepingcomputer.com/news/security/chinese-hackers-used-vmware-esxi-zero-day-to-backdoor-vms/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ซอฟต์แวร์ Productivity เพื่อการศึกษากำลังเปลี่ยนไป: ถึงเวลาที่โรงเรียนต้องปรับตัว

ในปี 2022 Google ได้ยุติการให้บริการพื้นที่เก็บข้อมูลไม่จำกัดฟรีสำหรับสถาบันการศึกษา และ Microsoft ได้ปรับปรุงข้อเสนอด้านการศึกษาเมื่อไม่นานมานี้ ทำให้สถาบันการศึกษาต้องเผชิญกับความท้าทายครั้งใหญ่ เช่น ค่าใช้จ่ายที่เพิ่มขึ้นและฟังก์ชันการทำงานที่ลดลง การพัฒนาดังกล่าวเน้นย้ำถึงความสำคัญของการนำระบบที่มีความเสถียร สามารถขยายได้ และควบคุมได้มาใช้

Rubrik เพิ่มความสามารถการทำงานร่วมกับ AWS

Rubrik ได้ประกาศเพิ่มความสามารถใหม่ให้ Rubrik Cloud Vault กับ AWS พร้อมประกาศเตรียมเพิ่ม API สำหรับงาน Generative AI