Broadcom ได้ปล่อยแพตช์แก้ไขช่องโหว่ที่ร้ายแรงจากการเรียกใช้โค้ดระยะไกล (RCE) ใน VMware vCenter Server
สรุปข้อมูล
Broadcom ได้แก้ไขช่องโหว่ร้ายแรงใน VMware vCenter Server (CVE-2024-38812) ซึ่งสามารถใช้ในการโจมตีระยะไกลได้ โดยช่องโหว่นี้เกิดจากจุดอ่อนในโปรโตคอล DCE/RPC จึงทำให้ผู้โจมตีสามารถควบคุม Server ที่ไม่ได้รับการอัพเดต ช่องโหว่นี้ยังส่งผลกระทบต่อผลิตภัณฑ์อื่น ๆ ของ vCenter เช่น VMware vSphere และ VMware Cloud Foundation ด้วย ซึ่งปัจจุบัน Broadcom ได้ปล่อยแพตช์แก้ไขสำหรับช่องโหว่นี้แล้ว และยังไม่ได้รับรายงานว่ามีผู้ได้รับผลกระทบจากการโจมตีของช่องโหว่ดังกล่าว
รายละเอียดช่องโหว่
ช่องโหว่ CVE-2024-38812 (คะแนน CVSS : 9.8) ช่องโหว่ฮีปโอเวอร์โฟลว์ในการใช้งานโปรโตคอล DCE/RPC บน vCenter ผู้โจมตีที่เข้าถึงเครือข่ายไปยังเซิร์ฟเวอร์ vCenter อาจก่อให้เกิดช่องโหว่นี้โดยการส่งแพ็กเก็ตเครือข่ายที่สร้างขึ้นเป็นพิเศษซึ่งอาจนำไปสู่การเรียกใช้โค้ดจากระยะไกล
รายละเอียดเชิงเทคนิค
ช่องโหว่ CVE-2024-38812 ใน VMware vCenter Server นั้นเป็นการเพิ่มระดับสิทธิ์ให้เป็นระดับสูงได้โดยผ่าน packet ที่ถูกสร้างขึ้นมา โดยผู้โจมตีจะสามารถควบคุมโค้ดจากระยะไกลได้ โดยช่องโหว่ดังกล่าวยังใช้เพื่อโจมตี Server vCenter เป็นช่องโหว่ที่มีการติดตั้ง backdoor VirtualPita และ VirtualPie บนโฮสต์ ESXi ผ่านไฟล์ vSphere Installation Bundles (VIBs) จึงทำให้การโจมตีนี้อาจทำให้ผู้โจมตีเข้าถึงระบบและควบคุมระบบ
ผลกระทบจากการโจมตี
องค์กรอาจประสบกับความเสียหายจากการเข้าถึงข้อมูลที่ไม่อนุญาตและการควบคุมระบบโดยไม่ได้รับอนุญาตจาก ผู้โจมตี ซึ่งสามารถทำให้ข้อมูลสำคัญรั่วไหลและส่งผลกระทบต่อการทำงานของระบบ รวมถึงการหยุดทำงานที่อาจเกิดขึ้น ซึ่งส่งผลให้เกิดการขัดข้องในกระบวนการดำเนินงาน
คำแนะนำ
- ควรอัพเดตแพตซ์ล่าสุดโดย ผู้ดูแลระบบควรอัพเดต vCenter Server และผลิตภัณฑ์ที่เกี่ยวข้องทันทีตามคำแนะนำใน VMware Security Advisory เพื่อป้องกันการถูกโจมตี
- ในสำหรับองค์กรที่ยังไม่สามารถติดตั้งแพตช์ได้ทันที ควรควบคุมการเข้าถึงเครือข่ายและส่วนที่เกี่ยวข้องกับ vSphere อย่างเคร่งครัด
- ควรตรวจสอบความปลอดภัยของระบบ เช่น การตั้งค่า Firewall และ การกำหนดนโยบายอื่น ๆ ขององค์กรที่ควรต้องปรับใช้เพื่อเพิ่มความปลอดภัย
แหล่งอ้างอิง
