ພົບຊ່ອງໂຫວ່ VMware ESXi ໃຊ້ເປັນທາງລັບໂຈມຕີ VMs

VMware ໄດ້​ມີການ​ອັບ​ເດດ​ແພັດ​ແກ້​ໄຂ (Patch) ຊ່ອງ​ໂຫວ່ ​0-Day ຊຶ່ງ​ກຸ່ມ​ແຮັກ​ເກີ​ UNC3386 ໃຊ້​ເພື່ອ​ໂຈມ​ຕີ​ Windows ແລະ​ Linux ໃນ​ລະບົບ​ Virtual Machine ແລະ ​ຕິດ​ຕັ້ງ​ Backdoor ເພື່ອ​ໂຈລະ​ກຳ​ຂໍ້​ມູນ​.

ຊ່ອງ​ໂຫວ່​ CVE-2023-20867 (CVSS: 3.9) ເປັນ​ຊ່ອງ​ໂຫວ່​ທີ່​ຜ່ານການ​ພິສູດ​ຕົວ​ຕົນ​ຂອງ​ VMware ຊຶ່ງ​ກຸ່ມ​ UNC3386 ນໍາໃຊ້​ເພື່ອ​ລັກ​​ຕິດ​ຕັ້ງ​ Backdoor “VirtualPita ແລະ​ VirtualPie” ເທິງ​ Guest ຂອງ​ເຄື່ອງ​ VM ເພື່ອ​ຍຶດ​ເຄື່ອງ​ ESXi Hypervisors ພ້ອມ​ທັງ​ຍົກ​ລະດັບ​ສິດ​ຂຶ້ນ​ເປັນ​ root, ເມື່ອ​ສາມາດ​ຍຶດ​​ລະບົບ​ໄດ້​ສຳ​ເລັດ​ຈະ​ສົ່ງ​ຜົນ​ໃຫ້​ເກີດ​ຄວາມ​ຜິດ​ພາດ​ໃນ​ການ​ດຳ​ເນີນ​ການ​ລະຫວ່າງ​ Host ແລະ​ Guest ສົ່ງ​ຜົນ​ກະທົບ​ທັງ​ດ້ານ​ການ​ຮັກສາ​ຄວາມ​ລັບ​ (Confidentiality) ແລະ ​ຄວາມ​ຖືກ​ຕ້ອງ​ (Integrity).

 

Mandiant ຊຶ່ງ​ເປັນ​ຜູ້​ຄົ້ນ​ພົບ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ ຍັງ​ລະ​ບຸ​ເພີ່ມຕື່ມ​ວ່າ​ ຜູ້​ໂຈມ​ຕີ​ຈະ​ໄດ້​ຕິດ​ຕັ້ງ​ Backdoor ໂດຍ​ສ້າງ​ VIBs (vSphere Installation Bundles) ຂຶ້ນ​ມາ​ເອງ​ ໃນ​ຂະນະ​ທີ່​ VIBs ເປັນ​ packages ​ທີ່​ຖືກ​ອອກ​ແບບ​ຂຶ້ນ​ມາ​ເພື່ອ​ຊ່ວຍ​ໃນ​ການສ້າງ​ ແລະ​ ຈັດການ​ອິມ​ເມວ​ຂອງ​ ESXi. ນອກ​ຈາກ​ນີ້​, ຍັງມີ​ການ​ເຮັດ​ວຽກ​ຮ່ວມ​ກັບ​ມັນ​ແວ​ ​(Malware) VirtualGate ຊຶ່ງ​ເປີດ​ການ​ເຊື່ອມ​ຕໍ່​ລະຫວ່າງ​ເຄື່ອງ​ Guest ແລະ​ Host​ ເຮັດໃຫ້​ສາມາດ​ເຊື່ອມ​ຕໍ່ໄປຫາ Host ຕ່າງ​ໆ​ ຜ່ານ​ Backdoor ເພື່ອ​ເຂົ້າ​ເຖິງ​ເຄື່ອງ​ Guest ໄດ້​ທັງ​ໝົດ​.

ໃນ​ອ​ະດີດ​ ກຸ່ມ​ UNC3886 ເຄີຍ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ 0-Day (CVE-2022-41328) ໃນ​ກາງປີ​ 2022 ເພື່ອ​ໂຈມ​ຕີ​ຟາຍວໍ (Firewall)​ FortiGate ແລະ ​ຕິດ​ຕັ້ງ​ Backdoor Castletap ກັບ​ Thincrust ເພື່ອ​ເຂົ້າໄປ​ສູ່​ເຄືອ​ຂ່າຍ​ຂອງ​ຜູ້​ຖືກ​ໂຈມ​ຕີ​, ກ່ມ​ UNC 3386 ເປັນ​ກຸ່ມ​ສອດແນມ​ທີ່​ໄດ້ຮັບ​ການ​ສະໜັບ​ສະໜູນ​ຈາກ​ລັດຖະບານ​ຈີນ​ ໂດຍ​ມີ​ເປົ້າ​ໝາຍ​ຫຼັກ​ ໄດ້​ແກ່​ ອົງ​ກອນ​ດ້ານ​ຄວາມໝັ້ນຄົງ, ໜ່ວຍ​ງານ​ລັດ,​ ໂທລະຄົມມະນາຄົມ ແລະ​ ອົງ​​ກອນ​ດ້ານ​ເຕັກ​ໂນ​ໂລຊີ​ໃນ​ ສະ​ຫາລັດ​ອະ​ເມລິກາ​ ແລະ ​ພູມິພາກ​ອາຊີ​ປາ​ຊີຟິກ ​ແລະ ​ຍີ່​ປຸ່ນ​ ຊຶ່ງ​ມັກ​ອາໄສ​ຊ່ອງ​ໂຫວ່​ 0-Day ຂອງ​ຟາຍວໍ ຫຼື​ Virtualization Platforms ທີ່​ບໍ່​ໄດ້ຮັບ​ການ​ຕິດ​ຕັ້ງ​ລະບົບ​ Endpoint Detection and Response (EDR).

Mandiant ຍັງ​ລະ​ບຸ​ອີກ​ວ່າ​ກຸ່ມ​ UNC3386 ເປັນ​ກຸ່ມ​ແຮັກ​ເກີ​​ທີ່​ມີ​ຫຼາຍ​ຄວາມ​ສາມາດ​ ແລະ ​ຍາກ​ຕໍ່ການ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ ຊຶ່ງ​ເຊື່ອ​ວ່າ​ຍັງມີ​ເຫຍື່ອ​ອີກ​ຫຼາຍ​ລາຍ​ ຄົົນທີ່​ຍັງ​ບໍ່​ສາມາດ​ຮັບ​ຮູ້​ເຖິງ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ ເຖິງວ່າ​ຈະ​ມີ​ມາດ​ຕະ​ການ​ດ້ານ​ຄວາມປອດໄພ​ຕິດ​ຕັ້ງ​ໄວ້​ພາຍ​ໃນ​ອົງ​ກອນ​ກໍ່​ຕາມ.

ເອກະສານອ້າງອີງ:

https://www.bleepingcomputer.com/news/security/chinese-hackers-used-vmware-esxi-zero-day-to-backdoor-vms/
https://cybertron.co.th/vmware-esxi-seeks-to-attack-vms/
 

653 Views