หน้าแรก Security CISA ยืนยันช่องโหว่ระดับวิกฤตบน VMware ESXi ถูกกลุ่มแรนซัมแวร์นำมาใช้โจมตีจริง

CISA ยืนยันช่องโหว่ระดับวิกฤตบน VMware ESXi ถูกกลุ่มแรนซัมแวร์นำมาใช้โจมตีจริง

เมื่อวันพุธที่ผ่านมา หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ออกมายืนยันว่า กลุ่มแรนซัมแวร์ได้เริ่มฉวยโอกาสโจมตีผ่านช่องโหว่ความรุนแรงสูงบน VMware ESXi ซึ่งเป็นช่องโหว่ประเภท Sandbox Escape (CVE-2025-22225) ที่ยอมรับกันว่าเคยถูกใช้ในการโจมตีแบบ Zero-day มาก่อนหน้านี้ ช่องโหว่ดังกล่าวเปิดโอกาสให้ผู้ไม่หวังดีที่มีสิทธิ์ในระดับบริหารจัดการ สามารถเขียนข้อมูลลงใน Kernel ของระบบและ “แหกคุก” ออกจากเครื่องเสมือนเพื่อเข้าควบคุมระบบหลักได้โดยตรง

แม้ว่าทาง Broadcom จะได้ออกแพตช์แก้ไขช่องโหว่ชุดนี้ ซึ่งประกอบด้วยช่องโหว่การเขียนข้อมูล (CVE-2025-22225), ข้อมูลหน่วยความจำรั่วไหล (CVE-2025-22226) และข้อผิดพลาดประเภท TOCTOU (CVE-2025-22224) ไปแล้วตั้งแต่เดือนมีนาคม 2025 แต่รายงานจากบริษัท Huntress ระบุว่า กลุ่มแฮกเกอร์ที่ใช้ภาษาจีนได้นำช่องโหว่เหล่านี้มาใช้ร่วมกัน เพื่อโจมตีเป้าหมายอย่างมีชั้นเชิงมาตั้งแต่ช่วงต้นปี 2024 ซึ่งแสดงให้เห็นถึงความพยายามในการซุ่มโจมตีอย่างต่อเนื่องก่อนที่ช่องโหว่จะถูกตรวจพบ

ผลิตภัณฑ์ที่ได้รับผลกระทบครอบคลุมเกือบทุกกลุ่มซอฟต์แวร์หลักของ VMware ไม่ว่าจะเป็น ESXi, vSphere, Fusion, Workstation ไปจนถึง Cloud Foundation และ Telco Cloud Platform ด้วยเหตุนี้ CISA จึงได้บรรจุช่องโหว่ดังกล่าวเข้าสู่บัญชีรายการช่องโหว่ที่ถูกนำมาใช้โจมตีจริง พร้อมสั่งการให้หน่วยงานรัฐบาลกลางเร่งดำเนินการอัปเดตระบบหรือจำกัดความเสี่ยงภายในกำหนดเวลาที่เข้มงวด เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับโครงสร้างพื้นฐานสำคัญ

เหตุผลที่ผลิตภัณฑ์ของ VMware ตกเป็นเป้าหมายหลักของทั้งกลุ่มแรนซัมแวร์และกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล เนื่องจากซอฟต์แวร์เหล่านี้เปรียบเสมือนหัวใจสำคัญของระบบไอทีในองค์กรขนาดใหญ่ ซึ่งมักจะเก็บข้อมูลที่มีความสำคัญสูงไว้เป็นจำนวนมาก การเจาะระบบได้เพียงจุดเดียวอาจนำไปสู่การขยายวงกว้างของการโจมตีไปทั่วทั้งเครือข่าย CISA จึงเน้นย้ำให้ผู้ใช้งานปฏิบัติตามคำแนะนำของผู้ผลิตอย่างเคร่งครัด หรือหากไม่สามารถดำเนินการแก้ไขได้ ก็ควรพิจารณายุติการใช้งานผลิตภัณฑ์นั้นทันทีเพื่อความปลอดภัย

นอกจากนี้ รายงานจาก GreyNoise ยังชี้ให้เห็นแนวโน้มที่น่ากังวลว่า ในรอบปีที่ผ่านมามีการตรวจพบช่องโหว่ความปลอดภัยถึง 59 รายการที่ถูกนำไปใช้ในแคมเปญแรนซัมแวร์อย่างเงียบ ๆ การที่ช่องโหว่ของ VMware ถูกระบุว่ามีการใช้งานจริงในปัจจุบัน จึงเป็นสัญญาณเตือนให้ทุกองค์กรต้องตื่นตัวในการบริหารจัดการช่องโหว่และไม่ละเลยการอัปเดตระบบรักษาความปลอดภัยให้ทันสมัยอยู่เสมอเพื่อรับมือกับภัยคุกคามที่วิวัฒนาการอย่างรวดเร็ว