VMware ESXi Zero-day ถูกใช้โจมตีก่อนเปิดเผย
⚠️ ช่องโหว่ VMware ESXi Zero-day อาจถูกโจมตีก่อนเปิดเผยนานกว่า 1 ปี
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์พบหลักฐานใหม่ที่น่ากังวลว่า ช่องโหว่ VMware ESXi Zero-day อาจถูกกลุ่มแฮกเกอร์ใช้โจมตีจริง ก่อนมีการเปิดเผยอย่างเป็นทางการนานกว่า 1 ปี 🚨
รายงานจาก Huntress บริษัทด้าน Managed Security ระบุว่า กลุ่มผู้โจมตีที่ใช้ภาษาจีนเป็นหลัก ได้ใช้ SonicWall VPN ที่ถูกเจาะระบบ เป็นจุดเริ่มต้นในการส่งชุดเครื่องมือโจมตี (Exploit Toolkit) เพื่อเจาะทะลุจาก Virtual Machine (VM) ไปยังระดับ ESXi Hypervisor โดยตรง 🧩
🔓 เจาะลึกช่องโหว่ VMware ESXi ที่ถูกนำมาใช้
ชุดการโจมตีดังกล่าวเชื่อมโยงกับช่องโหว่สำคัญ 3 รายการ ซึ่ง Broadcom เปิดเผยในเดือนมีนาคม 2025 ได้แก่
-
CVE-2025-22226 (Severity 7.1)
ช่องโหว่ HGFS ทำให้รั่วไหลข้อมูลหน่วยความจำจาก VMX process -
CVE-2025-22224 (Severity 9.3 – Critical)
ช่องโหว่ VMCI แบบ TOCTOU เปิดทางให้เขียนหน่วยความจำผิดตำแหน่ง และรันโค้ดระดับ VMX ได้ 💥 -
CVE-2025-22225 (Severity 8.2)
ช่องโหว่ Arbitrary Write ที่ช่วยให้หลุดจาก VM sandbox ไปยัง Kernel ของ ESXi
Broadcom เคยเตือนว่า หากผู้โจมตีมีสิทธิ์ระดับ Admin ก็สามารถนำช่องโหว่เหล่านี้มาเชื่อมต่อกัน (Exploit Chain) เพื่อยึด Hypervisor ได้ทั้งหมด 🛑
🧠 หลักฐานชี้ Exploit ถูกพัฒนาตั้งแต่ปี 2024
นักวิจัยจาก Huntress พบเส้นทางไฟล์ (PDB Path) ภายในชุด Exploit ที่มีวันที่ย้อนหลังไปถึง กุมภาพันธ์ 2024 📅 ซึ่งบ่งชี้ว่าช่องโหว่นี้อาจถูกใช้งานจริงก่อนจะถูกประกาศเป็น Zero-day อย่างเป็นทางการ
นอกจากนี้ ชื่อโฟลเดอร์ยังสื่อถึงการโจมตี ESXi 8.0 Update 3 ทุกเวอร์ชัน อีกด้วย
🧰 โครงสร้างชุดเครื่องมือโจมตี (Exploit Toolkit)
ชุดเครื่องมือดังกล่าวประกอบด้วยหลายส่วน ทำงานร่วมกันอย่างเป็นระบบ เช่น
-
MAESTRO – ควบคุมกระบวนการ VM Escape และโหลดไดรเวอร์โจมตี
-
MyDriver.sys – Kernel Driver ที่รันโค้ดเพื่อหลุดออกจาก VM
-
VSOCKpuppet – Backdoor บน ESXi Host ใช้สื่อสารผ่าน VSOCK หลบการตรวจจับเครือข่าย 🔍
-
GetShell Plugin – เครื่องมือเชื่อมต่อจาก VM เพื่อควบคุม ESXi Host
รูปแบบนี้สะท้อนถึงความซับซ้อนระดับ Advanced Persistent Threat (APT) อย่างชัดเจน 🧠⚙️
🌐 ใครคือเป้าหมาย และองค์กรควรรับมืออย่างไร
Huntress เชื่อว่าผู้โจมตีใช้บัญชี Domain Admin ที่ถูกขโมย เพื่อเคลื่อนที่ภายในระบบ (Lateral Movement), ดูดข้อมูล และควบคุม ESXi โดยสมบูรณ์
สำหรับองค์กรที่ใช้งาน VMware ESXi โดยเฉพาะในระดับ Enterprise ควรดำเนินการดังนี้ทันที 👇
✅ อัปเดตแพตช์ ESXi เป็นเวอร์ชันล่าสุด
✅ ตรวจสอบและอัปเดต SonicWall VPN
✅ ใช้ YARA / Sigma Rules เพื่อเฝ้าระวัง
✅ แยก Network Segment ของระบบ Virtualization
องค์กรที่ไม่มีทีม Security เฉพาะทาง แนะนำให้ใช้ IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ เพื่อช่วยตรวจสอบ ป้องกัน และรับมือภัยคุกคามขั้นสูงแบบนี้ได้อย่างทันท่วงที 🔐🛡️
📌 สรุป
เหตุการณ์นี้ตอกย้ำว่า Zero-day ไม่ได้เริ่มต้นในวันที่ถูกประกาศ แต่ผู้โจมตีอาจใช้งานมันมานานแล้ว องค์กรจึงต้องให้ความสำคัญกับการเฝ้าระวังเชิงรุก และการดูแลระบบโดยผู้เชี่ยวชาญด้าน IT และ Cybersecurity อย่างต่อเนื่อง 🚀
ที่มา – https://www.bleepingcomputer.com/news/security/vmware-esxi-zero-days-likely-exploited-a-year-before-disclosure/