การจารกรรมไซเบอร์ผ่านช่องโหว่ Zero-Day บน VMware ESXi
ในช่วงต้นปี 2026 มีการเปิดเผยรายละเอียดการโจมตีทางไซเบอร์ที่มีความซับซ้อนสูง โดยกลุ่มผู้ไม่หวังดีที่เชื่อมโยงกับภูมิภาคที่ใช้ภาษาจีน สามารถเจาะทะลุระบบป้องกันของเครื่องเสมือน (Virtual Machine) เพื่อเข้าควบคุมเครื่องเซิร์ฟเวอร์หลัก (Hypervisor) ได้สำเร็จ เหตุการณ์นี้ถือเป็นกรณีศึกษาที่สำคัญในด้านความปลอดภัยของโครงสร้างพื้นฐานไอที (IT Infrastructure)
1. ลำดับเหตุการณ์
ผู้โจมตีเริ่มต้นจากการใช้ช่องโหว่บนอุปกรณ์ SonicWall VPN เพื่อเป็นประตูทางเข้าแรก (Initial Access) จากนั้นจึงทำการยกระดับสิทธิ์และเคลื่อนไหวภายในเครือข่าย จนสามารถเข้าถึงสภาพแวดล้อมของ VMware ESXi และใช้ชุดเครื่องมือเจาะระบบที่ถูกพัฒนาขึ้นเพื่อทำการ VM Escape
2. วิเคราะห์ช่องโหว่และการทำงาน (Technical Analysis)
ความสำเร็จของการโจมตีครั้งนี้เกิดจากการ "ร้อยเรียง" (Chaining) ช่องโหว่ระดับ Zero-Day จำนวน 3 รายการเข้าด้วยกัน ซึ่ง Broadcom ได้แจ้งเตือนอย่างเป็นทางการในเวลาต่อมาภายใต้รหัส
CVE-2025-22226 (คะแนนความรุนแรง 7.1): ใช้ในการทำ Information Leak เพื่อดึงข้อมูลสำคัญจากหน่วยความจำ
CVE-2025-22224 (คะแนนความรุนแรง 9.3): ใช้โจมตีส่วน VMCI เพื่อทำ Memory Corruption ในกระบวนการ VMX คือการส่งคำสั่งแปลกปลอมเข้าไปที่ส่วนการทำงานของ VM
CVE-2025-22225 (คะแนนความรุนแรง 8.2): ขั้นตอนสุดท้ายคือการทำ "The Escape" หรือการเจาะออกจาก Sandbox ของ VM ขึ้นไปรันโค้ดบนระบบปฏิบัติการของ ESXi ได้โดยตรง
3. ชุดเครื่องมือโจมตีระดับสูง (Advanced Weaponization)
นักวิจัยจาก Huntress ตรวจพบการใช้ชุดเครื่องมือชื่อ "MAESTRO" ซึ่งมีคุณลักษณะที่น่ากังวล ดังนี้
ความแนบเนียนในการสื่อสาร: มีการติดตั้งแบ็กดอร์ชื่อ VSOCKpuppet ซึ่งสื่อสารผ่านโปรโตคอล VSOCK (พอร์ต 10000) ทำให้สามารถหลบเลี่ยงการตรวจจับจากอุปกรณ์ Network Monitoring ทั่วไปได้
ระยะเวลาการเตรียมการ: พบหลักฐานว่าเครื่องมือนี้อาจถูกพัฒนาขึ้นตั้งแต่ต้นปี 2024 ซึ่งหมายความว่าผู้โจมตีมีอาวุธลับนี้อยู่ในมือนานกว่า 1 ปีก่อนที่จะมีการเปิดเผยช่องโหว่ต่อสาธารณะ
ความเป็นมืออาชีพ: ชุดซอฟต์แวร์มีการระบุคู่มือการใช้งาน (README) และโครงสร้างโฟลเดอร์ภาษาจีนตัวย่อที่บ่งชี้ว่าถูกผลิตขึ้นเพื่อการแจกจ่ายหรือจำหน่ายในตลาดมืดระดับสูง (Private Channels)
4. ความสำคัญต่อความมั่นคงปลอดภัย
เหตุการณ์นี้แสดงให้เห็นว่าผู้โจมตีในปัจจุบันไม่ได้มุ่งเน้นเพียงแค่การเจาะระบบในระดับแอปพลิเคชัน แต่พุ่งเป้าไปที่ Hypervisor ซึ่งเป็นหัวใจหลักของ Cloud และ Data Center เมื่อ Hypervisor ถูกควบคุม ผู้โจมตีจะสามารถเข้าถึงข้อมูลและระบบทั้งหมดที่รันอยู่บนโฮสต์นั้นได้ทันที
แนวทางการป้องกันและข้อเสนอแนะ
เพื่อลดความเสี่ยงจากเหตุการณ์ในลักษณะนี้ ผู้ดูแลระบบควรดำเนินการตามมาตรการดังต่อไปนี้
การบริหารจัดการแพตช์ (Vulnerability Management): ตรวจสอบและอัปเดต ESXi เป็นเวอร์ชันล่าสุดตามคำแนะนำใน VMSA-2025-0004 โดยเร่งด่วน
การรักษาความปลอดภัยที่จุดเชื่อมต่อ (Gateway Hardening): อัปเดตแพตช์อุปกรณ์ VPN และ Firewall ให้เป็นปัจจุบัน พร้อมบังคับใช้ระบบ Multi-Factor Authentication (MFA)
การเฝ้าระวังเชิงรุก (Proactive Monitoring): ตรวจสอบทราฟฟิกที่ผิดปกติผ่านโปรโตคอล VSOCK และจำกัดสิทธิ์การใช้งาน VMCI Drivers ในระดับที่จำเป็นเท่านั้น
Zero Trust Architecture: นำแนวคิดการจำกัดสิทธิ์ขั้นต่ำ (Least Privilege) มาใช้กับบัญชีผู้ดูแลระบบทุกระดับ
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner.
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #ZeroDay
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2026 Blockdit
