แฮกเกอร์แอบใช้ช่องโหว่ Zero Day ร้ายแรงในหลายผลิตภัณฑ์ของ VMware โจมตีองค์กรมาตั้งแต่ปี 2024
มีรายงานพบการโจมตีผ่านช่องโหว่ร้ายแรง CVE-2025-41244 ในผลิตภัณฑ์หลายตัวของ VMware ซึ่งกำลังสร้างความกังวลให้กับผู้ดูแลระบบไอทีทั่วโลก เนื่องจากสามารถเปิดทางให้ผู้โจมตีที่มีสิทธิ์ผู้ใช้ปกติบนเครื่อง สามารถยกระดับสิทธิ์ตัวเองขึ้นมาเป็น root หรือผู้ดูแลระบบได้ทันที ที่สำคัญคือช่องโหว่นี้มีมาตั้งแต่ปี 2024 แต่เพิ่งประกาศเตือนและมีแพตช์แก้ไขออกมา
โดยมีหลักฐานว่า ช่องโหว่นี้ถูกนำไปใช้งานจริงตั้งแต่เดือนตุลาคมปี 2024 โดยกลุ่มแฮกเกอร์ที่มีความเชื่อมโยงกับจีน ซึ่งนักวิจัยด้านความปลอดภัยตั้งชื่อว่า UNC5174 กลุ่มนี้เคยมีประวัติพัวพันกับการเจาะระบบและใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ชื่อดังหลายตัวมาแล้ว ไม่ว่าจะเป็น Ivanti หรือ SAP NetWeaver ทำให้หลายฝ่ายเชื่อว่าช่องโหว่ VMware ครั้งนี้อาจถูกใช้เป็นส่วนหนึ่งของการโจมตีเชิงยุทธศาสตร์
ช่องโหว่ CVE-2025-41244 ถูกค้นพบในกระบวนการทำงานของ VMware Tools และ VMware Aria Operations ซึ่งเกี่ยวข้องกับฟังก์ชันตรวจสอบไฟล์ระบบ ปัญหาเกิดจากการใช้ regular expression ที่ไม่ปลอดภัย ส่งผลให้ผู้โจมตีสามารถวางไฟล์เลียนแบบโปรแกรมสำคัญไว้ในโฟลเดอร์ที่ผู้ใช้ทั่วไปเข้าถึงได้ เช่น /tmp เมื่อระบบเรียกใช้งาน จะเผลอไปเปิดไฟล์ปลอมแทน และนั่นทำให้ผู้โจมตีสามารถสั่งงานด้วยสิทธิ์ระดับสูงสุดได้ทันที ตัวอย่างการโจมตีที่บันทึกโดยนักวิจัยคือการสร้างไฟล์ /tmp/httpd และใช้มันเพื่อเปิด shell ที่มีสิทธิ์ root
แม้การโจมตีจะต้องอาศัยการเข้าถึงระบบล่วงหน้ามาก่อน ไม่ว่าจะผ่านการเจาะจากระยะไกลหรือการขโมยบัญชีผู้ใช้ แต่เมื่อทะลุเข้ามาในระบบได้แล้ว ช่องโหว่นี้กลายเป็นเครื่องมือที่อันตราย ที่ทำให้ควบคุมระบบอย่างสมบูรณ์
ด้าน Broadcom ได้ออกแพตช์แก้ไขแล้ว โดย VMware Tools เวอร์ชันล่าสุด 12.5.4 ได้ปิดช่องโหว่นี้สำหรับระบบ Windows ส่วนฝั่ง Linux จะทยอยปล่อยแพตช์ผ่านโครงการ open-vm-tools และกระจายต่อโดยผู้ให้บริการดิสทริบิวชันต่าง ๆ ซึ่งผู้ดูแลระบบควรรีบตรวจสอบและอัปเดตทันทีเพื่อป้องกันความเสี่ยง
ผลิตภัณ์ที่ได้รับผลกระทบประกอบด้วย
- VMware Cloud Foundation 4.x and 5.x
- VMware Cloud Foundation 9.x.x.x
- VMware Cloud Foundation 13.x.x.x (Windows, Linux)
- VMware vSphere Foundation 9.x.x.x
- VMware vSphere Foundation 13.x.x.x (Windows, Linux)
- VMware Aria Operations 8.x
- VMware Tools 11.x.x, 12.x.x, and 13.x.x (Windows, Linux)
- VMware Telco Cloud Platform 4.x and 5.x
- VMware Telco Cloud Infrastructure 2.x and 3.x
สำหรับองค์กรที่ใช้งาน VMware การปล่อยให้ระบบยังอยู่บนเวอร์ชันเก่าถือเป็นความเสี่ยงโดยตรงต่อความปลอดภัยของข้อมูล เพราะหากผู้ไม่หวังดีเจาะเข้ามาได้ การยกระดับสิทธิ์ผ่านช่องโหว่นี้อาจทำให้ทั้งระบบถูกควบคุมได้ในเวลาอันสั้น ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้เร่งติดตั้งแพตช์ ตรวจสอบการกำหนดสิทธิ์การเข้าถึงระบบ และเฝ้าระวังพฤติกรรมต้องสงสัยอย่างต่อเนื่อง