ขอบคุณภาพประกอบ thehackernews.com
หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Securi ty Agency – CISA) ได้เพิ่มช่องโหว่จำนวน 2 รายการ ที่ส่งผลกระทบในระดับร้ายแรงต่อซอฟต์แวร์สำหรับสำรองและกู้คืนข้อมูลในระบบเสมือนที่ชื่อ Veeam ลงในรายการแคตตาล็อกช่องโหว่ที่ทราบแล้วของ CISA (Known Exploited Vulnerabilities – KEV) ซึ่งพบการแสวงประโยชน์อย่างกว้างขวาง
โดยข้อบกพร่องดังกล่าวซึ่งได้รับหมายเลขการติดตาม CVE-2022-26500 และ CVE-2022-26501 ที่มีระดับความรุนแรงของผลกระทบอยู่ที่ 9.8 จากระบบการให้คะแนน CVSS ซึ่งสามารถใช้ประโยชน์เพื่อควบคุมระบบเป้าหมาย โดยช่องทางการสื่อสาร TCP 9380 ตามค่าเริ่มต้นของ Veeam อนุญาตให้ผู้ใช้ที่ไม่ได้ยืนยันตัวตนสามารถเข้าถึงฟังก์ชัน API ภายในได้ ซึ่งผู้โจมตีจากระยะไกลอาจส่งข้อมูลที่อาจเป็นคำสั่งที่เป็นอันตรายได้ ทั้งนี้ ปัญหาที่ส่งผลกระทบต่อผลิตภัณฑ์รุ่น 9.5, 10 และ 11 ได้รับการแก้ไขแล้วในรุ่น 10a และ 11a ซึ่งผู้ใช้ Veeam Backup & Replication 9.5 ควรปรับปรุงเป็นรุ่นที่รองรับ
ช่องโหว่ดังกล่าวใน Veeam ถูกค้นพบและรายงานเมื่อ 16 มี.ค.65 โดยนาย Nikita Petrov นักวิจัยด้านความปลอดภัยของบริษัท Positive Technologies ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอร์ของรัสเซีย ระบุว่าช่องโหว่เหล่านี้น่าจะถูกนำไปใช้แสวงหาประโยชน์จากการโจมตีจริง และอาจทำให้หลายองค์กรตกอยู่ในสภาวะความเสี่ยงอย่างมาก จึงเป็นเหตุผลที่ต้องมีการติดตั้งตัวแก้ไขให้เร็วที่สุดเท่าที่จะทำได้ หรืออย่างน้อยก็ควรมีมาตรการเพื่อตรวจจับกิจกรรมที่ผิดปกติเกี่ยวกับผลิตภัณฑ์เหล่านี้
อย่างไรก็ดี รายละเอียดเกี่ยวกับการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ยังไม่เป็นที่ปรากฏแน่ชัด แต่บริษัทด้านความปลอดภัยทางไซเบอร์ CloudSEK ได้เปิดเผยเมื่อเดือนตุลาคมที่ผ่านมาว่า มีแนวโน้มที่ผู้คุกคามหลายรายโฆษณาเกี่ยวกับเครื่องมือสำหรับการโจมตีด้วยตัวดำเนินการคำสั่งจากระยะไกลแบบเต็มรูปแบบโดยใช้ข้อบกพร่องทั้งสองในทางที่ผิด ซึ่งผลที่ตามมาที่เป็นไปได้บางประการของการแสวงหาผลประโยชน์ที่ประสบความสำเร็จ ได้แก่ การติดแรนซัมแวร์ การโจรกรรมข้อมูล และการปฏิเสธการให้บริการ ทำให้ผู้ใช้จำเป็นต้องทำการปรับปรุงแก้ไขโดยเร็ว
ที่มา : https://thehackernews.com/2022/12/cisa-alert-veeam-backup-and-replication.html
