เมื่อวันที่ 23 กันยายน 2564 VMware ได้ออกประกาศถึงช่องโหว่ร้ายแรงบน vCenter โดยมีระดับความรุนแรง CVSSv3 Score อยู่ที่ 9.8 คะแนน ซึ่งถือว่าเป็นความรุนแรงระดับวิกฤต (Critical) โดยช่องโหว่ CVE-2021-22005 นี้เกิดขึ้นบน vCenter Analytics Service ที่เวอร์ชันก่อนหน้า 6.7U3o ข้อมูลจากบริษัท Palo Alto แจ้งว่า ช่องโหว่ดังกล่าวทำให้ผู้ไม่หวังดีสามารถเข้าถึงระบบเครือข่ายผ่าน port 443 และอัปโหลดไฟล์พิเศษ บน vCenter Server จนนำไปสู่การ Execute Code หรือการโจมตีต่าง ๆ

ผู้เชี่ยวชาญด้าน Cybersecurity จาก Kaspersky กล่าวว่า “ช่องโหว่จะทวีความรุ่นแรงมากยิ่งขึ้นตามเวลา และจะรุ่นแรงยิ่งขึ้นเมื่อวิธีการ Exploits ถูกเปิดเผยต่อสาธารณะ

ต่อมาเมื่อวันที่ 28 กันยายน 2564 ได้มีการสาธิตการโจมตีจากผู้เชียวชาญที่นำช่องโหว่ซึ่งสามารถประยุกต์ใช้ได้จริง และค้นพบแม้ว่า Endpoint จะมีการเปิดใช้งาน Feature : Customer Experience Improvement program (CEIP) ก็ยังคงมีช่องโหว่ดังกล่าว  และแจ้งเตือนให้ดำเนินการ Workaround โดยเร็วที่สุดตามคำแนะนำ หรือทำการอับเดต Patch

ผลิตภัณฑ์ที่ส่งผลกระทบ

vCenter เวอร์ชันก่อนหน้า 6.7 U3o ทั้งหมด

วิธีการป้องกัน

ดำเนินการอัปเดตเวอร์ชันล่าสุด 6.7 U3o หรือดำเนินการ Workaround

ขั้นตอนการ Workaround vCenter Version 6.7 U3o and earlier
  1. ดำเนินการสร้างสำเนา Back up โดย command cp /etc/vmware-analytics/ph-web.xml /etc/vmware-analytics/ph-web.xml.backup
  2. ดำเนินการ edit ph-web.xml โดย command vi /etc/vmware-analytics/ph-web.xml
  3. จากนั้นเพิ่ม <!– และ –> เพื่อ comment
    • หากเป็นเวอร์ชัน 6.7U1b หรือเวอรชั่นก่อนหน้า ทางผู้เชี่ยวชาญ แนะนำว่าให้ comment ส่วนหัวข้อ services “phTelemetryServlet” เท่านั้น

comment ตามรูปสำหรับ เวอร์ชั่น 6.7 U1b และก่อนหน้าทั้งหมด

รูปตามข้อ 3.1 : comment ตามรูปสำหรับ เวอร์ชั่น 6.7 U1b และก่อนหน้าทั้งหมด

  • หากเป็นเวอร์ชั่น 6.7U2 จนถึงเวอร์ชั่นก่อน 6.7 U3o ทางผู้เชี่ยวชาญ แนะนำว่าให้ comment ส่วนหัวข้อ services “phTelemetryServlet”, “phPhApiServlet” และ “phPhStgApiServlet”

Comment สำหรับ 6.7U2 จนถึงเวอร์ชั่นก่อน 6.7 U3o

รูปตามข้อ 3.2 : Comment สำหรับ 6.7U2 จนถึงเวอร์ชั่นก่อน 6.7 U3o

  1. ดำเนินการ Restart โดย command service-control –restart vmware-analytics
  2. ดำเนินการตรวจสอบผลการ workaround โดย command curl –X POST “http://localhost:15080/analytics/telemetry/ph/api/hyper/send?_c&_i=test” –d “Test_Workaround” –H “Content-Type: application/json” –V 2>&1 | grep HTTP

หาก workaround สำเร็จ จะขึ้น status 404

รูปตามข้อที่ 5 : หาก workaround สำเร็จ จะขึ้น status 404

คำอธิบายเพิ่มเติม

vCenter Analytics Service มีความสามารถในการวิเคราะห์ข้อมูลได้อย่างรวดเร็วในระดับ Real-time Analytic ที่จะช่วยจัดการกับข้อมูลต่างๆได้อย่างรวดเร็วและนำไปใช้ได้อย่างประสิทธิภาพสูงสุด

Customer Experience Improvement program (CEIP) เป็น feature ที่จะส่งข้อมูลพื้นฐานที่ไม่ระบุชื่อเกี่ยวกับวิธีที่ผู้ใช้บริการใช้โปรแกรม, อุปกรณ์, ชนิดและจำนวนข้อผิดพลาดที่ผู้ใช้บริการพบ และความเร็วของบริการต่างๆ ไปยังไมโครซอฟท์โดยอัตโนมัติ ข้อมูลเหล่านี้จะถูกรวมเข้ากับข้อมูล CEIP อื่นๆ เพื่อช่วยให้ไมโครซอฟท์สามารถแก้ปัญหาและ พัฒนาผลิตภัณฑ์และฟีเจอร์ที่ผู้ใช้บริการใช้

Common Vulnerability Scoring System หรือ คะแนน CVSS คือ มาตรฐานการชี้วัดความรุนแรงของช่องโหว่ด้านความปลอดภัยของระบบคอมพิวเตอร์ โดยคะแนนชี้วัดความรุนแรงตั้งแต่ 0-10 คะแนนเพื่อเป็นจุดเปรียบเทียบระหว่างช่องโหว่และจัดลำดับความสำคัญในการแก้ไขช่องโหว่

ช่องโหว่ที่ได้รับคะแนน CVSS ตั้งแต่ 9.0 -10.0 ถือว่าได้ว่าเป็นช่องโหว่ที่มีความรุนแรงระดับวิกฤต ต้องเร่งแก้ไขโดยด่วน มีความเสี่ยงสูงที่จะโดนโจมตีได้ง่าย และเสี่ยงต่อการถูกเข้าควบคุมระบบได้ทั้งหมด และยังไม่มีวิธีการแก้ไข

อ่านเพิ่มเติมได้ที่บทความ : คะแนน CVSS คืออะไร? คำนวนและอ่านผลอย่างไร?

References

CVE-2021-22005 ช่องโหว่ Critical บน VMware vCenter เร่ง Update หรือ Workaround ด่วน !!!