เว็บไซต์ bleepingcomputer รายงานเมื่อ 22 ม.ค.67 ว่า VMware ยืนยันว่าช่องโหว่ที่ได้รับการแก้ไขเมื่อ ต.ค.66 ถูกโจมตีด้วยวิธีการเรียกใช้โค้ดจากระยะไกลของ vCenter Server ซึ่งเป็นแพลตฟอร์มการจัดการสำหรับสภาพแวดล้อม VMware vSphere ที่ช่วยให้ผู้ดูแลระบบจัดการเซิร์ฟเวอร์ ESX และ ESXi และเครื่องเสมือน (VM) ช่องโหว่นี้มีรหัสชื่อ CVE-2023-34048 (CVSS Score: 9.8/10) เป็นช่องโหว่ประเภท out-of-bounds บน Protocol DCE/RPC
นักวิจัยของ Trend Micro กล่าวว่า แฮ็กเกอร์สามารถใช้ประโยชน์จากการโจมตีระยะไกลที่มีความซับซ้อนต่ำ ส่งผลกระทบต่อเครื่องแม่ข่ายในด้านการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน ซึ่งแฮ็กเกอร์สามารถผ่านระบบโดยไม่ต้องมีการตรวจสอบสิทธิ์หรือการโต้ตอบของผู้ใช้ ซึ่งกลุ่มแฮ็กเกอร์ที่เป็นนายหน้าก็ได้พุ่งเป้าไปที่เครื่องแม่ข่ายที่ติดตั้ง vCenter Server และต้องการที่จะยึดเครื่องแม่ข่าย จากนั้นจะโพสขายในฟอรัมใต้ดินให้กับกลุ่มมัลแวร์เรียกค่าไถ่ อาทิ Royal,Black Basta, LockBit และล่าสุดคือ RTM Locker, Qilin, ESXiArgs ,Monti และ Akira
ทั้งนี้ จากข้อมูลของแพลตฟอร์มการค้นหาอุปกรณ์ที่เชื่อมต่ออยู่ผ่านอินเทอร์เน็ต (Shodan) ปัจจุบันมี เซิร์ฟเวอร์ VMware Center มากกว่า 2,000 เครื่องถูกเปิดเผยทางออนไลน์ ซึ่งอาจเสี่ยงต่อการถูกโจมตีโดยแฮ็กเกอร์
ปัจจุบัน VMware ยังไม่มีวิธีแก้ไขช่องโหว่นี้ และแนะนำให้ผู้ดูแลระบบเครื่องแม่ข่ายเฝ้าระวังอย่างเข้มงวด เช่น ควบคุมการเข้าถึงของเครื่องแม่ข่าย และปิดพอร์ตที่มีความเสี่ยง เช่น 2012/tcp, 2014/tcp และ 2020/tcp
