🚨 ด่วน! ช่องโหว่ใน VMware Aria Operations เสี่ยงถูกยึดระบบ

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนผู้ดูแลระบบและหน่วยงานที่ใช้งานผลิตภัณฑ์ VMware เกี่ยวกับช่องโหว่ความปลอดภัยระดับรุนแรง (High Severity) จำนวน 3 รายการ ซึ่งอาจส่งผลให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุมระบบได้โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน

1. รายละเอียดช่องโหว่

1.1 CVE-2026-22719 (CVSS v3.1: 8.1)
ช่องโหว่ประเภท Command Injection ซึ่งอาจเปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดอันตราย (Remote Code Execution: RCE) ได้ โดยเฉพาะในช่วงกระบวนการย้ายข้อมูล (Product Migration)
1.2 CVE-2026-22720 (CVSS v3.1: 8.0)
ช่องโหว่ประเภท Stored Cross-Site Scripting (Stored XSS) ผู้โจมตีสามารถฝังสคริปต์อันตรายผ่านฟังก์ชันการสร้าง Custom Benchmarks เพื่อดำเนินการในสิทธิ์ของผู้ดูแลระบบ
1.3 CVE-2026-22721
ช่องโหว่ประเภท Privilege Escalation ที่อาจถูกใช้เพื่อยกระดับสิทธิ์เข้าถึงทรัพยากรระบบในระดับ Administrator เกินกว่าที่ได้รับอนุญาต

2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
   2.1 VMware Aria Operations: เวอร์ชันก่อน 8.18.6
   2.2 VMware Cloud Foundation: เวอร์ชันก่อน 9.0.2.0
   2.3 VMware vSphere Foundation: เวอร์ชันก่อน 9.0.2.0
   หากใช้งานเวอร์ชันต่ำกว่าที่ระบุ ถือว่ามีความเสี่ยง

3. แนวทางการแก้ไขและป้องกัน
   3.1 อัปเดตระบบเป็นเวอร์ชันล่าสุด

• VMware Aria Operations เวอร์ชัน 8.18.6 ขึ้นไป
• VMware Cloud Foundation / vSphere Foundation เวอร์ชัน 9.0.2.0
  3.2 ตรวจสอบและเฝ้าระวัง (Monitoring)
  ตรวจสอบ Log การทำงานของระบบ โดยเฉพาะในช่วงที่มีการทำ Data Migration หรือการตั้งค่าระบบที่อาจมีความผิดปกติ

4. กรณียังไม่สามารถอัปเดตได้ทันที
   4.1 ปิดการเข้าถึง Management Interface จากอินเทอร์เน็ต
   4.2 จำกัดการเข้าถึงเฉพาะ IP ภายในองค์กร หรือผ่าน VPN เท่านั้น
   4.3 ลดสิทธิ์และตรวจสอบบัญชีผู้ดูแลระบบ (Administrator)

อ้างอิง
1.https://dg.th/8y4h0zi3ed
2.https://dg.th/5jms1gdn3e
3.https://dg.th/319i0lrufz
4.https://dg.th/rpxf2wjvac