เมนู

พบช่องโหว่ VMware ESXi ใช้เป็นทางลับโจมตี VMs

2023-06-16 VMware ESXi (1040)

VMware ได้ทำการอัปเดตแพทช์แก้ไขช่องโหว่ 0-Day ซึ่งกลุ่มแฮกเกอร์ UNC3386 ใช้เพื่อโจมตี Windows และ Linuxในระบบ Virtual Machine และติดตั้ง Backdoor เพื่อโจรกรรมข้อมูล

ช่องโหว่ CVE-2023-20867 (CVSS: 3.9) เป็นช่องโหว่ที่ข้ามผ่านการพิสูจน์ตัวตนของ VMware ซึ่งกลุ่ม UNC3386 นำไปใช้เพื่อลักลอบติดตั้ง Backdoor “VirtualPita และ VirtualPie” บน Guest ของเครื่อง VM เพื่อยึดครองเครื่อง ESXi Hypervisors พร้อมทั้งยกระดับสิทธิ์ขึ้นเป็น root ทั้งนี้ เมื่อสามารถยึดครองระบบได้สำเร็จจะส่งผลให้เกิดความผิดพลาดในการดำเนินการระหว่าง Host และ Guest ส่งผลกระทบทั้งด้านการรักษาความลับ (Confidentiality) และความถูกต้อง (Integrity)
 

Mandiant ซึ่งเป็นผู้ค้นพบการโจมตีดังกล่าว ยังระบุเพิ่มเติมว่า ผู้โจมตีจะได้ทำการติดตั้ง Backdoor โดยสร้าง VIBs (vSphere Installation Bundles) ขึ้นมาเอง ในขณะที่ VIBs เป็นแพคเกจที่ถูกออกแบบขึ้นมาเพื่อช่วยในการสร้างและจัดการอิมเมจของ ESXi นอกจากนี้ ยังมีการทำงานร่วมกับมัลแวร์ VirtualGate ซึ่งเปิดการเชื่อมต่อระหว่างเครื่อง Guest และโฮสต์ ทำให้สามารถเชื่อมต่อไปยังโฮสต์ต่างๆ ผ่าน Backdoor เพื่อเข้าเข้าถึงเครื่อง Guest ได้ทั้งหมด

ในอดีต กลุ่ม UNC3886 เคยใช้ช่องโหว่ 0-Day (CVE-2022-41328) ในช่วงกลางปี 2565 เพื่อทำการโจมตีไฟร์วอลล์ FortiGate และติดตั้ง Backdoor Castletap กับ Thincrust เพื่อเข้าไปสู่เครือข่ายของผู้ถูกโจมตี ทั้งนี้ กลุ่ม UNC 3386 เป็นกลุ่มสอดแนมที่ได้รับการสนับสนุนจากรัฐบาลจีน โดยมีเป้าหมายหลัก ได้แก่ องค์กรด้านความมั่นคง หน่วยงานรัฐ โทรคมนาคม และองค์กรด้านเทคโนโลยีในสหรัฐอเมริกา และภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น ซึ่งมักอาศัยช่องโหว่ 0-Day ของไฟร์วอลล์หรือ Virtualization Platforms ที่ไม่ได้รับการติดตั้งระบบ Endpoint Detection and Response (EDR)

Mandiant ยังระบุอีกว่า กลุ่ม UNC3386 เป็นกลุ่มแฮกเกอร์ที่มีมากความสามารถ และยากแก่การตรวจจับการโจมตี ซึ่งเชื่อว่ายังมีเหยื่ออีกหลายรายคนที่ยังไม่สามารถรับรู้ถึงการโจมตีดังกล่าว แม้ว่าจะมีมาตรการด้านความมั่นคงติดตั้งไว้ภายในองค์กรก็ตาม | กนิษฐา พุ่มผล และ ธีรสันต์ รัตนเรืองกุล

อ้างอิง: Bleeping Computer