รายละเอียด

VMware vRealize Log Insight เป็นโปรแกรมเพื่อบันทึกรวบรวม log และอุปกรณ์การวิเคราะห์ที่ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบ log ของแอปพลิเคชัน การติดตามเครือข่าย การกำหนดค่าไฟล์ ข้อความ และข้อมูลประสิทธิภาพ ซึ่งช่วยแก้ไขปัญหาสภาพแวดล้อมส่วนตัว ไฮบริด และมัลติคลาวด์ ตลอดจนดำเนินการตรวจสอบความปลอดภัยและทดสอบการปฏิบัติตามข้อกำหนดต่าง ๆ ได้

    ทาง VMware ปล่อยแพตช์ให้สามารถอัปเดตแล้ว และทีมนักวิจัยด้านความปลอดภัยของ Horizon3 Attack จะจำลองการโจมตีผ่านช่องโหว่ในสัปดาห์หน้า เพื่อสั่งประมวลผลคำสั่งจากระยะไกลบนอุปกรณ์ VMware vRealize Log Insight ที่ไม่ได้แพตช์

ช่องโหว่ที่ได้รับการแก้ไขที่ map กับ MITRE ATT&CK ซึ่งตรงกับ Tactic: Initial Access (TA0001) Technique: Exploit Public-Facing Application (T1190) มีดังนี้

• CVE-2022-31704: ช่องโหว่ Broken Access Control
• CVE-2022-31706: ช่องโหว่ Directory Traversal
• CVE-2022-31710: ช่องโหว่ Deserialization
• CVE-2022-31711: ช่องโหว่ Information Disclosure

ระบบที่ได้รับผลกระทบ

VMware vRealize Log Insight เวอร์ชันต่ำกว่า 8.10.2

ผลกระทบ

• ผู้ไม่หวังดีสามารถสั่งประมวลผลคำสั่งอันตรายจากระยะไกลได้ หากทำการโจมตีจากช่องโหว่ได้สำเร็จ

คำแนะนำ

• ผู้ใช้งานโปรแกรมที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวควรอัพเดตโปรแกรมให้เป็นเวอร์ชันล่าสุด ผ่านเว็บไซต์ ซอฟต์แวร์ หรือวิธีการแก้ปัญหาจาก VMware โดยตรง และให้ทำการอัพเดตแพตช์ในระบบที่มีช่องโหว่ทันทีหลังจากที่ได้ทดสอบการอัพเดตแพตช์แล้ว (M1051: Update Software)

• ใช้หลักฐานรับรองความถูกต้องตั้งแต่สองอย่างขึ้นไปเพื่อรับรองความถูกต้องกับระบบ เช่น ชื่อผู้ใช้และรหัสผ่าน นอกจากนั้นใช้โทเค็นจากอีเมล โทรศัพท์ หรือตัวสร้างโทเค็น  (M1032: Multi-factor Authentication)

• ป้องกันการเข้าถึงการแชร์ไฟล์ การเข้าถึงระบบจากระยะไกล การเข้าถึงบริการที่ไม่จำเป็น โดยใช้กลไกในการจำกัดการเข้าถึงอาจรวมถึงการใช้ Network concentrator, RDP gateway เป็นต้น (M1035: Limit Access to Resource Over Network)

• เรียกใช้ซอฟต์แวร์ทั้งหมดผ่านผู้ใช้ที่มีสิทธิ์ต่ำ (ไม่มีสิทธิ์ผู้ดูแลระบบและ root) เพื่อลดผลกระทบของการโจมตีที่ประสบความสำเร็จ (M1026: Privileged Account Management)