Vmware แจ้งได้ทำการ Patch ช่องโหว่ Command Injection ในระดับ Critical บนระบบ VMware Aris Operation Networks (ชื่อเดิมคือ vRealize Network Insight) ซึ่งกำลังถูกใช้โจมตีประโยชน์จากการโจมตีช่องโหว่นี้อยู่เป็นวงกว้าง

ช่องโหว่ดังกล่าวได้รับหมายเลข CVE คือ CVE-2023-20887 ซึ่งผลกระทบของช่องโหว่นี้คือผู้ไม่ประสงค์ดีสามารถเข้าถึงระบบ Production Network ได้ผ่านการโจมตีด้วยเทคนิค command injection attack และผลลัพธ์ที่ได้จะส่งผลให้เกิดการส่งคำสั่งอันตรายไปยังระบบจากภาพนอก (remote code execution)

จากข้อมูลอัปเดทล่าสุดได้มีการสอบถามไปยังผู้ให้บริการ virtualization services provider เมื่อวันที่ June 20 พบว่ามีการโจมตีจริงแล้วแต่ยังไม่มีข้อมูลและรายละเอียดเชิงลึกเพิ่มเติมแต่อย่างใด

‍

ทางด้านผู้ให้บริการ threat intelligence firm ชื่อ GreyNoise ได้โชว์ข้อมูลการโจมตีไปยังระบบ VMware Aris Operation Networks บนโลก Internet โดยจับจาก 2 IP Address ที่ตั้งอยู่ที่ประเทศ Netherlands สามารถชมได้ที่

https://viz.greynoise.io/.../vmware-aria-operations-for...

‍

ปัจจุบันมีนักวิจัยด้านความปลอดภัยจาก Summoning Team ได้ออกมาวิเคราะห์ช่องโหว่และทดสอบ Proof-of-Concept การโจมตีช่องโหว่ดังกล่าว และได้มีการเปิดเผย python script ที่ใช้ในการ Proof-of-Concept การโจมตี CVE-2023-20887 สามารถติดตามได้ที่

https://summoning.team/.../vmware-vrealize-network.../

‍

คำแนะนำช่องโหว่นี้ส่งผลกระทบต่อ VMware Aria Operations Networks versions 6.x

  ขอแนะนำให้ผู้ใช้ VMware Aris Operation Networks อัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น  VMware ได้ทำการปล่อย version สำหรับแก้ไขช่องโหว่ (Path) ได้แก่ versions 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9, และ 6.10

‍

อ้างอิง

 https://thehackernews.com/.../alert-hackers-exploiting...

 https://summoning.team/.../vmware-vrealize-network.../

 https://github.com/sinsinology/CVE-2023-20887

 https://viz.greynoise.io/.../vmware-aria-operations-for...

‍