Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ພົບຊ່ອງໂຫວ່ VMware ESXi ໃຊ້ເປັນທາງລັບໂຈມຕີ VMs

ພົບຊ່ອງໂຫວ່ VMware ESXi ໃຊ້ເປັນທາງລັບໂຈມຕີ VMsVMware ໄດ້​ມີການ​ອັບ​ເດດ​ແພັດ​ແກ້​ໄຂ (Patch) ຊ່ອງ​ໂຫວ່ ​0-Day ຊຶ່ງ​ກຸ່ມ​ແຮັກ​ເກີ​ UNC3386 ໃຊ້​ເພື່ອ​ໂຈມ​ຕີ​ Windows ແລະ​ Linux ໃນ​ລະບົບ​ Virtual Machine ແລະ ​ຕິດ​ຕັ້ງ​ Backdoor ເພື່ອ​ໂຈລະ​ກຳ​ຂໍ້​ມູນ​.

ຊ່ອງ​ໂຫວ່​ CVE-2023-20867 (CVSS: 3.9) ເປັນ​ຊ່ອງ​ໂຫວ່​ທີ່​ຜ່ານການ​ພິສູດ​ຕົວ​ຕົນ​ຂອງ​ VMware ຊຶ່ງ​ກຸ່ມ​ UNC3386 ນໍາໃຊ້​ເພື່ອ​ລັກ​​ຕິດ​ຕັ້ງ​ Backdoor “VirtualPita ແລະ​ VirtualPie” ເທິງ​ Guest ຂອງ​ເຄື່ອງ​ VM ເພື່ອ​ຍຶດ​ເຄື່ອງ​ ESXi Hypervisors ພ້ອມ​ທັງ​ຍົກ​ລະດັບ​ສິດ​ຂຶ້ນ​ເປັນ​ root, ເມື່ອ​ສາມາດ​ຍຶດ​​ລະບົບ​ໄດ້​ສຳ​ເລັດ​ຈະ​ສົ່ງ​ຜົນ​ໃຫ້​ເກີດ​ຄວາມ​ຜິດ​ພາດ​ໃນ​ການ​ດຳ​ເນີນ​ການ​ລະຫວ່າງ​ Host ແລະ​ Guest ສົ່ງ​ຜົນ​ກະທົບ​ທັງ​ດ້ານ​ການ​ຮັກສາ​ຄວາມ​ລັບ​ (Confidentiality) ແລະ ​ຄວາມ​ຖືກ​ຕ້ອງ​ (Integrity).

 

Mandiant ຊຶ່ງ​ເປັນ​ຜູ້​ຄົ້ນ​ພົບ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ ຍັງ​ລະ​ບຸ​ເພີ່ມຕື່ມ​ວ່າ​ ຜູ້​ໂຈມ​ຕີ​ຈະ​ໄດ້​ຕິດ​ຕັ້ງ​ Backdoor ໂດຍ​ສ້າງ​ VIBs (vSphere Installation Bundles) ຂຶ້ນ​ມາ​ເອງ​ ໃນ​ຂະນະ​ທີ່​ VIBs ເປັນ​ packages ​ທີ່​ຖືກ​ອອກ​ແບບ​ຂຶ້ນ​ມາ​ເພື່ອ​ຊ່ວຍ​ໃນ​ການສ້າງ​ ແລະ​ ຈັດການ​ອິມ​ເມວ​ຂອງ​ ESXi. ນອກ​ຈາກ​ນີ້​, ຍັງມີ​ການ​ເຮັດ​ວຽກ​ຮ່ວມ​ກັບ​ມັນ​ແວ​ ​(Malware) VirtualGate ຊຶ່ງ​ເປີດ​ການ​ເຊື່ອມ​ຕໍ່​ລະຫວ່າງ​ເຄື່ອງ​ Guest ແລະ​ Host​ ເຮັດໃຫ້​ສາມາດ​ເຊື່ອມ​ຕໍ່ໄປຫາ Host ຕ່າງ​ໆ​ ຜ່ານ​ Backdoor ເພື່ອ​ເຂົ້າ​ເຖິງ​ເຄື່ອງ​ Guest ໄດ້​ທັງ​ໝົດ​.



ໃນ​ອ​ະດີດ​ ກຸ່ມ​ UNC3886 ເຄີຍ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ 0-Day (CVE-2022-41328) ໃນ​ກາງປີ​ 2022 ເພື່ອ​ໂຈມ​ຕີ​ຟາຍວໍ (Firewall)​ FortiGate ແລະ ​ຕິດ​ຕັ້ງ​ Backdoor Castletap ກັບ​ Thincrust ເພື່ອ​ເຂົ້າໄປ​ສູ່​ເຄືອ​ຂ່າຍ​ຂອງ​ຜູ້​ຖືກ​ໂຈມ​ຕີ​, ກ່ມ​ UNC 3386 ເປັນ​ກຸ່ມ​ສອດແນມ​ທີ່​ໄດ້ຮັບ​ການ​ສະໜັບ​ສະໜູນ​ຈາກ​ລັດຖະບານ​ຈີນ​ ໂດຍ​ມີ​ເປົ້າ​ໝາຍ​ຫຼັກ​ ໄດ້​ແກ່​ ອົງ​ກອນ​ດ້ານ​ຄວາມໝັ້ນຄົງ, ໜ່ວຍ​ງານ​ລັດ,​ ໂທລະຄົມມະນາຄົມ ແລະ​ ອົງ​​ກອນ​ດ້ານ​ເຕັກ​ໂນ​ໂລຊີ​ໃນ​ ສະ​ຫາລັດ​ອະ​ເມລິກາ​ ແລະ ​ພູມິພາກ​ອາຊີ​ປາ​ຊີຟິກ ​ແລະ ​ຍີ່​ປຸ່ນ​ ຊຶ່ງ​ມັກ​ອາໄສ​ຊ່ອງ​ໂຫວ່​ 0-Day ຂອງ​ຟາຍວໍ ຫຼື​ Virtualization Platforms ທີ່​ບໍ່​ໄດ້ຮັບ​ການ​ຕິດ​ຕັ້ງ​ລະບົບ​ Endpoint Detection and Response (EDR).

Mandiant ຍັງ​ລະ​ບຸ​ອີກ​ວ່າ​ກຸ່ມ​ UNC3386 ເປັນ​ກຸ່ມ​ແຮັກ​ເກີ​​ທີ່​ມີ​ຫຼາຍ​ຄວາມ​ສາມາດ​ ແລະ ​ຍາກ​ຕໍ່ການ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ ຊຶ່ງ​ເຊື່ອ​ວ່າ​ຍັງມີ​ເຫຍື່ອ​ອີກ​ຫຼາຍ​ລາຍ​ ຄົົນທີ່​ຍັງ​ບໍ່​ສາມາດ​ຮັບ​ຮູ້​ເຖິງ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ ເຖິງວ່າ​ຈະ​ມີ​ມາດ​ຕະ​ການ​ດ້ານ​ຄວາມປອດໄພ​ຕິດ​ຕັ້ງ​ໄວ້​ພາຍ​ໃນ​ອົງ​ກອນ​ກໍ່​ຕາມ.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/chinese-hackers-used-vmware-esxi-zero-day-to-backdoor-vms/
  2. https://cybertron.co.th/vmware-esxi-seeks-to-attack-vms/

ລາຍການຮູບ

Meesaisak 29 June 2023 796 Print