vmware zero day attack-2024

VMware Zero-Day ถูกใช้โจมตีตั้งแต่ตุลาคม 2024 เสี่ยงกระทบ Cloud และ Data Center

เลือกอ่านตามหัวข้อ

ข่าวใหญ่ในวงการ Cybersecurity นักวิจัยเปิดเผยว่า VMware Zero-Day (CVE-2025-41244) ถูกโจมตีจริงตั้งแต่เดือนตุลาคม 2024 โดยกลุ่มแฮกเกอร์จีนที่มีชื่อว่า UNC5174 ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีทำ Privilege Escalation ยกระดับสิทธิ์จาก User ธรรมดาไปจนถึง Root/Admin บน VM ส่งผลกระทบต่อทั้ง Cloud Infrastructure และ Data Center ที่ใช้งาน VM-ware ทั่วโลก แม้ทาง Broadcom จะออก Patch แล้ว แต่เหตุการณ์นี้คือสัญญาณเตือนว่า องค์กรที่ยังไม่อัปเดต กำลังเสี่ยงอย่างยิ่ง

CVE-2025-41244 คือช่องโหว่แบบไหน?

vmware zero day attack 2024
  • ประเภท Local Privilege Escalation
  • CVSS Score: 7.8 (High)
  • ผลกระทบ คือ ยึดสิทธิ์ Root บน VM
  • ระบบที่ได้รับผลกระทบ
    • VM ware Cloud Foundation 4.x – 13.x
    • VM ware vSphere Foundation 9.x, 13.x
    • VM ware Aria Operations 8.x
    • VM ware Tools 11.x–13.x (Windows/Linux)
    • VMware Telco Cloud Platform / Infrastructure

กลไกการโจมตี

ช่องโหว่มาจากการตรวจสอบ binary ที่ไม่รัดกุมในฟังก์ชัน get_version() ผู้โจมตีสามารถสร้าง binary ปลอม เช่น /tmp/httpd เพื่อหลอกระบบให้รันในสิทธิ์ Root ได้ทันที

การโจมตีผ่านไฟล์ “/tmp/httpd” และการยกระดับสิทธิ์เป็น Root

file traversal attack

หนึ่งในกลไกการโจมตีที่ถูกเปิดเผยคือ การวาง Malicious Binary ที่ตำแหน่ง /tmp/httpd บนระบบที่มีช่องโหว่ โดยแฮกเกอร์สามารถใช้ Binary ปลอมนี้เพื่อเปิด Listening Socket แบบสุ่ม เมื่อ VMware Metrics Collection Service ทำงาน → Binary ปลอมจะถูกเรียกใช้งาน ส่งผลให้เกิด Privilege Escalation จาก User ปกติขึ้นเป็น Root ได้ทันที

บริษัท Cybersecurity ในบรัสเซลส์ (NVISO Labs) ระบุว่า พบกลุ่ม UNC5174 ใช้เทคนิคนี้เพื่อวาง Binary ไว้ที่ /tmp/httpd และเปิด Root Shell ที่มีสิทธิ์สูงสุด พร้อมรันคำสั่งที่ต้องการ (Code Execution) ได้สำเร็จ แม้ในตอนนี้ยังไม่เปิดเผยรายละเอียด Payload ที่ถูกใช้จริงก็ตาม

นักวิจัยจาก NVISO Labs ให้ความเห็นเพิ่มเติมว่า

“การเลียนแบบชื่อ Binary ที่ใกล้เคียงกับระบบ (เช่น httpd) แสดงให้เห็นว่าเป็นไปได้มากที่มัลแวร์หลายสายพันธุ์อาจได้ประโยชน์จาก Privilege Escalation ที่ไม่ได้ตั้งใจ ในลักษณะนี้มานานหลายปีแล้ว”

แฮกเกอร์ UNC5174 กลุ่มผู้อยู่เบื้องหลังการโจมตี

  • กลุ่ม UNC5174 มีความเชื่อมโยงกับรัฐบาลจีน
  • เคยใช้ Zero-Day ใน Ivanti และ SAP NetWeaver
  • ใช้ช่องโหว่ VM ware ครั้งนี้เพื่อเข้าควบคุม VM และทำ Lateral Movement ใน Cloud Infrastructure

ความเสี่ยงที่อาจเกิดขึ้นต่อองค์กรไทย

  1. Data Breach แฮกเกอร์สามารถเข้าถึงข้อมูลลูกค้า และธุรกิจ
  2. Downtime บริการ Cloud หรือ Data Center อาจหยุดชะงัก
  3. Compliance Risk อาจผิดกฎหมาย PDPA และ Cybersecurity Law
  4. Cloud Takeover องค์กรที่รัน ERP, CRM หรือระบบสำคัญบน VM เสี่ยงถูกควบคุมทั้งระบบ

แนวทางป้องกัน และรับมือ

  • อัปเดต VM ware Tools เวอร์ชัน 12.5.4
  • ติดตั้ง Patch ล่าสุดจาก Broadcom (Windows/Linux)
  • ตรวจสอบ Log → หากพบ binary แปลกใน /tmp/ อาจเป็นสัญญาณการโจมตี
  • ใช้ Cloud Security Monitoring ตรวจจับพฤติกรรมผิดปกติ
  • เสริม Zero Trust และ Least Privilege จำกัดสิทธิ์การเข้าถึง VM

สรุป

การที่ VMware Zero-Day ถูกใช้โจมตีจริงนานหลายเดือน ก่อนถูกเปิดเผย แสดงให้เห็นว่าการอัปเดตระบบอย่างสม่ำเสมอและการเสริม Cloud Security ไม่ใช่ “ทางเลือก” แต่เป็น ความจำเป็นเร่งด่วน ของทุกองค์กร อย่าปล่อยให้ Cloud และ Data Center ของคุณเป็นเหยื่อ Zero-Day ปรึกษาผู้เชี่ยวชาญ Cloud Security และ Managed Hosting จาก THAI DATA HOSTING มั่นใจ ปลอดภัย และพร้อมรับมือภัยไซเบอร์

FAQ คำถามที่พบบ่อย

Q: VM ware Zero-Day คืออะไร?

A: VM ware Zero-Day คือช่องโหว่ที่ยังไม่มี Patch และถูกใช้โจมตีจริงในระบบ VM

Q: CVE-2025-41244 กระทบอะไรบ้าง?

A: กระทบ VM ware Cloud Foundation, vSphere, Aria Operations, VM ware Tools หลายเวอร์ชัน

Q: องค์กรควรทำอย่างไร?

A: รีบอัปเดต Patch, ตรวจสอบ Log, และเสริมมาตรการ Cloud Security โดยด่วน

สอบรายละเอียดเพิ่มเติม
Facebook
Twitter
Email

Related Posts

หมวดหมู่ที่น่าสนใจ