VMware ESXi อาจตกเป็นเป้าโจมตีด้วย Ransomware จากช่องโหว่ CVE-2021-21974 

Computer Emergency Response Team (CERT) ของฝรั่งเศส ออกประกาศเตือนเมื่อวันศุกร์ที่ผ่านมาว่า   ESXi hypervisors ของ VMware อาจกลายเป็นเป้าหมายใหม่ในการโจมตี Ransomware เพราะระบบ Server มีช่องโหว่ CVE-2021-21974 ที่อาจทำให้ติดตั้ง Ransomware ได้

ถึงแม้ช่องโหว่นี้จะออกแพทซ์แก้ไขแล้วตั้งแต่วันที่ 23 กุมภาพันธ์ 2021 ที่ผ่านมา โดย VMware กล่าวว่าเป็นปัญหาในส่วนของ OpenSLP ที่เปิดให้เขียนข้อมูลเกินขอบเขตบนหน่วยความจำ (Overflow) ในส่วนของ Heap ที่อาจถูกใช้ในการรันโค้ดอันตรายได้ แต่ตอนนี้ผู้ให้บริการคลาวด์สัญชาติฝรั่งเศส OVHcloud ได้ออกประกาศเพิ่มเติมอีกว่า อาจมีการโจมตีลักษณะนี้เกิดขึ้นอีก เนื่องจากผู้โจมตีที่เข้ามาอยู่บนเครือข่ายเดียวกันกับเซิร์ฟเวอร์ ESXi และเข้าถึงพอร์ต 427 ได้ ก็อาจทำให้เกิดภาวะ Heap-overflow ในเซอร์วิส OpenSLP อื่น ๆ เพื่อโจมตีแบบ RCE ต่อไปได้เช่นกัน  และกล่าวอีกว่า “การโจมตีลักษณะนี้กำลังเกิดขึ้นทั่วโลก โดยเฉพาะในยุโรป จึงค่อนข้างเชื่อว่าเกี่ยวข้องกับ Ransomware ที่ใช้ภาษา Rust ชื่อ Nevada ที่เริ่มพบความเคลื่อนไหวอีกครั้งตั้งแต่ธันวาคมปีที่แล้ว ซึ่งเป็นช่วงเดียวกับ Ransomware ที่พัฒนาจาก Rust เกิดขึ้นมากมาย เช่น BlackCat, Hive, Luna, Nokoyawa, RansomExx, และ Agenda” ดังนั้น ขอให้ผู้ใช้อัปเกรด ESXi เป็นเวอร์ชันล่าสุดเพื่อลดการเกิดภัยคุกคามที่อาจเกิดขึ้น

ที่มา : thehackernews , enterpriseitpro