VMware เตือนผู้ใช้งาน Workspace ONE และ vRealize เร่งอัปเดตช่องโหว่ใหม่หลังมีโค้ดสาธิตเผยแพร่ออกมา

เมื่อช่วงสัปดาห์ก่อน VMware เจ้าตลาดด้าน Virtualization ได้ออกอัปเดตช่องโหว่ร้ายแรง พร้อมกับกลุ่มช่องโหว่อีกหลายรายการที่กระทบกับผลิตภัณฑ์ Workspace ONE, Identity Manager, vRealize และ Cloud Foundation ออกมา ล่าสุดผู้แจ้งพบช่องโหว่ได้เผยแพร่โค้ดสาธิตออกมาแล้ว

Credit: ShutterStock.com

ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2022-31656 และ CVE-2022-31659 ถูกรายงานโดยคุณ Petrus Viet จาก VNG Security ซึ่งทำให้คนร้ายสามารถลัดผ่านการพิสูจน์ตัวตนและลอบรันโค้ดได้ใน Workspace ONE Access, Identity Manager และ vRealize Automation ล่าสุดผู้คนพบได้เผยแพร่โค้ดสาธิตออกมาแล้วผ่าน Medium (https://petrusviet.medium.com/dancing-on-the-architecture-of-vmware-workspace-one-access-eng-ad592ae1b6dd) รวมถึงมีแผนที่จะเผยโค้ดสาธิตช่องโหว่ที่ช่วยลัดผ่านการพิสูจน์ตัวตนอีกรายการอย่าง CVE-2022-22972 อีกด้วย

เคราะห์ดีที่ VMware รับทราบและแพตช์ออกมาตั้งแต่สัปดาห์ก่อนแล้ว จึงเตือนให้ผู้ใช้งานเร่งวางแผนการอัปเดตแพตช์ โดยสามารถศึกษาวิธีการแก้ไขหรือการทำ Workaround ได้ที่ https://kb.vmware.com/s/article/89096 และอย่างที่ทราบกันดีว่า VMware เป็นเครื่องมือระดับองค์กรที่แพร่หลายทำให้มีแนวโน้มสูงที่คนร้ายอาจจะนำช่องโหว่เหล่านี้ไปใช้เล่นงานผู้ดูแลที่ทำงานล่าช้าครับ

ที่มา : https://www.bleepingcomputer.com/news/security/vmware-warns-of-public-exploit-for-critical-auth-bypass-vulnerability/ และ https://www.bleepingcomputer.com/news/security/vmware-urges-admins-to-patch-critical-auth-bypass-bug-immediately/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

WhatsApp อัปเดตความปลอดภัย 2 รายการระดับวิกฤต บน Android และ iOS

WhatsApp เผยแพร่อัปเดตความปลอดภัย 2 รายการระดับ “วิกฤต” สำหรับแอปบน Android และ iOS สำหรับการใช้งานในส่วนของ Video Call และ Messenger  

Cloudflare ประกาศโปรเจ็ค Turnstile มุ่งหน้าทดแทนการใช้งาน CAPTCHAs สู่แนวทางใหม่

Cloudflare ได้เปิดให้ผู้สนใจสามารถเข้ามาเรียก API ในโปรเจ็คใหม่ของตนที่ชื่อ Turnstile โดยไอเดียก็คือการพิสูจน์ผู้ใช้งานด้วยมุมมองที่เหนือชั้นกว่า CAPTCHAs แบบเดิมที่ Cloudflare มองว่ายังมีหลายปัญหาที่ต้องแก้ไขและประสิทธิภาพต่ำกว่าที่ควร