ข่าวใหญ่ในวงการ Cybersecurity นักวิจัยเปิดเผยว่า VMware Zero-Day (CVE-2025-41244) ถูกโจมตีจริงตั้งแต่เดือนตุลาคม 2024 โดยกลุ่มแฮกเกอร์จีนที่มีชื่อว่า UNC5174 ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีทำ Privilege Escalation ยกระดับสิทธิ์จาก User ธรรมดาไปจนถึง Root/Admin บน VM ส่งผลกระทบต่อทั้ง Cloud Infrastructure และ Data Center ที่ใช้งาน VM-ware ทั่วโลก แม้ทาง Broadcom จะออก Patch แล้ว แต่เหตุการณ์นี้คือสัญญาณเตือนว่า องค์กรที่ยังไม่อัปเดต กำลังเสี่ยงอย่างยิ่ง
CVE-2025-41244 คือช่องโหว่แบบไหน?
- ประเภท Local Privilege Escalation
- CVSS Score: 7.8 (High)
- ผลกระทบ คือ ยึดสิทธิ์ Root บน VM
- ระบบที่ได้รับผลกระทบ
- VM ware Cloud Foundation 4.x – 13.x
- VM ware vSphere Foundation 9.x, 13.x
- VM ware Aria Operations 8.x
- VM ware Tools 11.x–13.x (Windows/Linux)
- VMware Telco Cloud Platform / Infrastructure
กลไกการโจมตี
ช่องโหว่มาจากการตรวจสอบ binary ที่ไม่รัดกุมในฟังก์ชัน get_version() ผู้โจมตีสามารถสร้าง binary ปลอม เช่น /tmp/httpd เพื่อหลอกระบบให้รันในสิทธิ์ Root ได้ทันที
การโจมตีผ่านไฟล์ “/tmp/httpd” และการยกระดับสิทธิ์เป็น Root
หนึ่งในกลไกการโจมตีที่ถูกเปิดเผยคือ การวาง Malicious Binary ที่ตำแหน่ง /tmp/httpd บนระบบที่มีช่องโหว่ โดยแฮกเกอร์สามารถใช้ Binary ปลอมนี้เพื่อเปิด Listening Socket แบบสุ่ม เมื่อ VMware Metrics Collection Service ทำงาน → Binary ปลอมจะถูกเรียกใช้งาน ส่งผลให้เกิด Privilege Escalation จาก User ปกติขึ้นเป็น Root ได้ทันที
บริษัท Cybersecurity ในบรัสเซลส์ (NVISO Labs) ระบุว่า พบกลุ่ม UNC5174 ใช้เทคนิคนี้เพื่อวาง Binary ไว้ที่ /tmp/httpd และเปิด Root Shell ที่มีสิทธิ์สูงสุด พร้อมรันคำสั่งที่ต้องการ (Code Execution) ได้สำเร็จ แม้ในตอนนี้ยังไม่เปิดเผยรายละเอียด Payload ที่ถูกใช้จริงก็ตาม
นักวิจัยจาก NVISO Labs ให้ความเห็นเพิ่มเติมว่า
“การเลียนแบบชื่อ Binary ที่ใกล้เคียงกับระบบ (เช่น
httpd) แสดงให้เห็นว่าเป็นไปได้มากที่มัลแวร์หลายสายพันธุ์อาจได้ประโยชน์จาก Privilege Escalation ที่ไม่ได้ตั้งใจ ในลักษณะนี้มานานหลายปีแล้ว”
แฮกเกอร์ UNC5174 กลุ่มผู้อยู่เบื้องหลังการโจมตี
- กลุ่ม UNC5174 มีความเชื่อมโยงกับรัฐบาลจีน
- เคยใช้ Zero-Day ใน Ivanti และ SAP NetWeaver
- ใช้ช่องโหว่ VM ware ครั้งนี้เพื่อเข้าควบคุม VM และทำ Lateral Movement ใน Cloud Infrastructure
ความเสี่ยงที่อาจเกิดขึ้นต่อองค์กรไทย
- Data Breach แฮกเกอร์สามารถเข้าถึงข้อมูลลูกค้า และธุรกิจ
- Downtime บริการ Cloud หรือ Data Center อาจหยุดชะงัก
- Compliance Risk อาจผิดกฎหมาย PDPA และ Cybersecurity Law
- Cloud Takeover องค์กรที่รัน ERP, CRM หรือระบบสำคัญบน VM เสี่ยงถูกควบคุมทั้งระบบ
แนวทางป้องกัน และรับมือ
- อัปเดต VM ware Tools เวอร์ชัน 12.5.4
- ติดตั้ง Patch ล่าสุดจาก Broadcom (Windows/Linux)
- ตรวจสอบ Log → หากพบ binary แปลกใน
/tmp/อาจเป็นสัญญาณการโจมตี - ใช้ Cloud Security Monitoring ตรวจจับพฤติกรรมผิดปกติ
- เสริม Zero Trust และ Least Privilege จำกัดสิทธิ์การเข้าถึง VM
สรุป
การที่ VMware Zero-Day ถูกใช้โจมตีจริงนานหลายเดือน ก่อนถูกเปิดเผย แสดงให้เห็นว่าการอัปเดตระบบอย่างสม่ำเสมอและการเสริม Cloud Security ไม่ใช่ “ทางเลือก” แต่เป็น ความจำเป็นเร่งด่วน ของทุกองค์กร อย่าปล่อยให้ Cloud และ Data Center ของคุณเป็นเหยื่อ Zero-Day ปรึกษาผู้เชี่ยวชาญ Cloud Security และ Managed Hosting จาก THAI DATA HOSTING มั่นใจ ปลอดภัย และพร้อมรับมือภัยไซเบอร์
FAQ คำถามที่พบบ่อย
Q: VM ware Zero-Day คืออะไร?
A: VM ware Zero-Day คือช่องโหว่ที่ยังไม่มี Patch และถูกใช้โจมตีจริงในระบบ VM
Q: CVE-2025-41244 กระทบอะไรบ้าง?
A: กระทบ VM ware Cloud Foundation, vSphere, Aria Operations, VM ware Tools หลายเวอร์ชัน
Q: องค์กรควรทำอย่างไร?
A: รีบอัปเดต Patch, ตรวจสอบ Log, และเสริมมาตรการ Cloud Security โดยด่วน
สอบรายละเอียดเพิ่มเติม
- 061-989-8891
- [email protected]
- Line Official : @THAIDATAHOSTING


