ហេគឃ័រចិនកេងចំណេញលើបញ្ហា Zero-day នៅក្នុងកម្មវិធី VMware វាយប្រហារវីនដូ និង លីនុច

0

ក្រុមហេគឃ័ររដ្ឋចិន UNC3886 ត្រូវគេរកឃើញថាកេងចំណេញលើបញ្ហា zero-day នៅក្នុង VMware ESXi hosts ប្រើជាទ្វារក្រោយចូលទៅក្នុងប្រព័ន្ធ Windows និងលីនុច។បញ្ហាការឆ្លងកាត់ការផ្ទៀងផ្ទាត់ VMware Tools CVE-2023-20867 (CVSS score: 3.9) អាចត្រូវប្រើ commands ដំឡើងសិទ្ធិឆ្លងកាត់ Windows, Linux និង PhotonOS (vCenter) guest VMs ដោយមិនចាំបាច់ការផ្ទៀងផ្ទាត់អត្តសញ្ញាណភ្ញៀវ (guest) ពី ESXi host ដែលត្រូវសម្របសម្រួល និងមិនមាន default logging នៅលើ VMs ភ្ញៀវទេ។ ក្រុម UNC3886 ត្រូវរកឃើញដោយក្រុមហ៊ុន Google កាលពីខែកញ្ញា ឆ្នាំ២០២២ ថាជាចារកម្មតាមអុីនធឺណិតដែលចម្លងចូល VMware ESXi និង vCenter servers ជាមួយនឹងទ្វារក្រោយ VIRTUALPITA និង VIRTUALPIE។

កាលពីដើមខែមីនា ក្រុមប្រើការកេងចំណេញដែល patched នៅក្នុង Fortinet FortiOS operating system ដើម្បីដាក់ពង្រាយនៅលើកម្មវិធីណែតវក និងអន្តរាគមន៍ជាមួយមេរោគខាងលើ។ ហេគឃ័រត្រូវរៀបរាប់ថា មានជំនាញខ្ពស់ ដែលផ្តោតលើការការពារ បច្ចេកវិទ្យា និងអង្គភាពទូរគមនាគមន៍នៅអាមេរិក ជប៉ុន និងតំបន់អាសុីប៉ាសុីហ្វិក។ អ្នកស្រាវជ្រាវថ្លែងថា ក្រុមហេគឃ័រធ្វើការស្រាវជ្រាវ និងយល់ដឹងពីបច្ចេកវិទ្យានៃកម្មវិធីដែលកំពុងតែវាយប្រហារ ដែលអាចប្រើជាអាវុធនៅក្នុងកម្មវិធី firewall និង virtualization ដែលមិនគាំទ្រ EDR solutions។

ជាផ្នែកមួយនៃការកេងចំណេញលើប្រព័ន្ធ ESXi ហេគឃ័រត្រូវអង្កេតដើម្បីប្រមូលអត្តសញ្ញាណពី vCenter servers តាមរយៈការប្រើកំហុស CVE-2023-20867 ដើម្បីប្រតិបត្តិ commands និងបញ្ជូនឯកសាររវាងភ្ញៀវ (guest) ពី ESXi host ដែលត្រូវសម្របសម្រួល។ គួរកត់សម្គាល់ដែរថា ក្រុម UNC3886 ប្រើ Virtual Machine Communication Interface (VMCI) sockets សម្រាប់ការផ្លាស់ទី និងបន្តដំណើរ ដែលអនុញ្ញាតឱ្យវាអាចបង្កើតឆាណែលសម្ងាត់រវាង ESXi host និង guest VMs។

ក្រុមហ៊ុនថ្លែងថា ការបើកឆាណែលទំនាក់ទំនងរវាង guest និង host នេះ ជាកន្លែងដែលហេគឃ័រអាចដើរតួជា client ឬ server ដែលជាមធ្យោបាយថ្មីសម្រាប់បន្តដំណើរការនៅលើទ្វារក្រោយ ESXi host ហើយក៏អាចដាក់ពង្រាយទ្វារក្រោយ និងហេគឃ័រអាចចាប់ផ្តើមដំណើរការទៅម៉ាសុីន guest ផ្សេងទៀត។ ក្រុមស្រាវជ្រាវ Summoning Team បង្ហាញពីបញ្ហាចំនួន៣ ផ្សេងគ្នានៅក្នុង VMware Aria Operations សម្រាប់ណែតវក (CVE-2023-20887, CVE-2023-20888 និង CVE-2023-20889) ដែលអាចនាំទៅរកប្រតិបត្តិការកូដពីចម្ងាយ។ ក្រុម UNC3886 បន្តបង្ហាញពីការខំប្រឹងជ្រៀតចូលក្នុងការបិទ (disable) និង tamper របស់សេវា log ដែលកំពុងតែលុប (remove) ការ log ពាក់ព័ន្ធនឹងសកម្មភាពរបស់ហេគឃ័រ។ ជាងនេះ ការសម្អាតសកម្មភាពរបស់ហេគឃ័រនៅក្នុងរយៈពេលប៉ុន្មានថ្ងៃនេះបង្ហាញពីការយកចិត្តទុកដាក់របស់ពួកគេ៕

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Disney ស៊ើបអង្កេតលើការលេចធ្លាយសារផ្ទៃក្នុង (Internal Messages)

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ហាងថ្នាំ Rite Aid ពោលថា ការបំពានទិន្នន័យកាលពីខែមិថុនា បានប៉ះពាល់ដល់មនុស្ស ២,២លាននាក់

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

មេរោគចាប់ជម្រិត SEXi ប្តូរឈ្មោះទៅ APT INC ហើយបន្តវាយប្រហារលើ VMwar ESXi

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ការផ្សាយពាណិជកម្ម Facebook ទាក់ទងនឹង Windows Desktop Themes ជាការបន្លំដើម្បីចម្លងមេរោគលួចយកព័ត៌មាន

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Kaspersky សាខានៅអាមេរិក កំពុងតែត្រៀមបិទទ្វារ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Google បង្កើនប្រាក់រង្វាន់រហូតដល់ទៅ ៥ដង សរុបចំនួន ១៥១ពាន់ដុល្លារ

LEAVE A REPLY

Please enter your comment!
Please enter your name here