CISA ขีดเส้นตายหน่วยงานรัฐสหรัฐฯ ปิดช่องโหว่ VMware หลังพบแฮกเกอร์จีนใช้เจาะระบบข้ามปี
สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของสหรัฐอเมริกา ได้ออกคำสั่งเร่งด่วนเมื่อวันพฤหัสบดีที่ผ่านมา ให้หน่วยงานรัฐบาลกลางทุกแห่งต้องดำเนินการอัปเดตแพตช์เพื่อปิดช่องโหว่ความรุนแรงสูงในซอฟต์แวร์ VMware Tools และ Aria Operations โดยทันที หลังพบหลักฐานว่าช่องโหว่ดังกล่าวถูกกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนใช้ในการโจมตีมานานกว่าหนึ่งปีแล้ว
ช่องโหว่ที่ถูกเพิกเฉยนานนับปี
ช่องโหว่ดังกล่าวมีรหัสติดตามคือ CVE-2025-41244 เป็นช่องโหว่ประเภทการยกระดับสิทธิ์ (Privilege Escalation) ที่เปิดทางให้ผู้โจมตีซึ่งมีสิทธิ์เข้าถึงเครื่องเสมือน (Virtual Machine) ในระดับผู้ใช้ทั่วไป สามารถยกระดับสิทธิ์ของตนเองขึ้นเป็น “root” หรือผู้ดูแลระบบสูงสุดของเครื่อง VM นั้นได้ ทำให้สามารถเข้าควบคุมเครื่องได้อย่างสมบูรณ์
สิ่งที่น่ากังวลที่สุดคือ รายงานจากบริษัทความปลอดภัยไซเบอร์ NVISO ระบุว่ากลุ่มแฮกเกอร์ UNC5174 ซึ่งทาง Mandiant (บริษัทในเครือ Google) เชื่อว่าเป็นผู้รับเหมาของกระทรวงความมั่นคงแห่งรัฐของจีน (MSS) ได้ใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีเป้าหมายต่างๆ มาตั้งแต่ช่วงกลางเดือนตุลาคม ปี 2024 แล้ว
แม้ว่าทาง Broadcom จะออกแพตช์เพื่อแก้ไขช่องโหว่นี้ไปเมื่อหนึ่งเดือนก่อน แต่การที่มันถูกนำไปใช้โจมตีก่อนหน้านั้นเป็นเวลานาน ทำให้ CISA ต้องยกระดับมาตรการขั้นเด็ดขาด
เส้นตาย 3 สัปดาห์จาก CISA
CISA ได้บรรจุช่องโหว่ CVE-2025-41244 เข้าไปในบัญชี “ช่องโหว่ที่ถูกใช้โจมตีแล้ว” (Known Exploited Vulnerabilities – KEV) อย่างเป็นทางการ พร้อมทั้งออกคำสั่งปฏิบัติการที่มีผลผูกพัน (Binding Operational Directive) กำหนดให้หน่วยงานฝ่ายบริหารของรัฐบาลกลาง (FCEB) ทุกแห่ง ต้องติดตั้งแพตช์ให้แล้วเสร็จภายในวันที่ 20 พฤศจิกายน 2025
“ช่องโหว่ประเภทนี้เป็นช่องทางการโจมตีที่ผู้ไม่หวังดีนิยมใช้ และถือเป็นความเสี่ยงที่สำคัญอย่างยิ่งต่อองค์กรของรัฐ” CISA กล่าวเตือน “ขอให้ทุกหน่วยงานดำเนินการตามคำแนะนำของผู้จำหน่าย หรือยุติการใช้งานผลิตภัณฑ์ดังกล่าวหากไม่มีมาตรการแก้ไข”
กลุ่มแฮกเกอร์ UNC5174 มีประวัติโชกโชนในการโจมตีผ่านช่องโหว่ซีโร่เดย์ โดยก่อนหน้านี้เคยใช้ช่องโหว่ของผลิตภัณฑ์อื่น ๆ เช่น F5 BIG-IP และ ConnectWise ScreenConnect ในการเจาะระบบของหน่วยงานกลาโหมสหรัฐฯ, หน่วยงานรัฐบาลอังกฤษ และสถาบันต่างๆ ในเอเชียมาแล้ว
แม้ว่าคำสั่งนี้จะมีผลบังคับใช้เฉพาะกับหน่วยงานรัฐบาลกลางของสหรัฐฯ แต่ CISA ได้เน้นย้ำและแนะนำอย่างยิ่งให้องค์กรทุกแห่งทั่วโลก ทั้งภาครัฐและเอกชน รีบดำเนินการตรวจสอบและอัปเดตระบบของตนโดยเร็วที่สุด เพื่อป้องกันไม่ให้ตกเป็นเหยื่อของการโจมตีที่ยังคงดำเนินอยู่นี้