หน่วยงานต่างๆ มีเวลาจนถึงวันจันทร์ในการบรรเทาช่องโหว่ในห้าผลิตภัณฑ์จาก VMware ที่อนุญาตให้ผู้โจมตีเข้าถึงเชิงลึกโดยไม่จำเป็นต้องตรวจสอบสิทธิ์Cybersecurity and Infrastructure Security Agency ได้ออกคำสั่งฉุกเฉินฉบับใหม่ในวันนี้ โดยกล่าวถึงช่องโหว่ใน VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation และ vRealize Suite Lifecycle Manager ทำให้เครือข่ายส่วนกลาง และระบบที่มีความเสี่ยงในทันที
“ช่องโหว่เหล่านี้ก่อให้เกิดความเสี่ยงที่ไม่อาจยอมรับได้ต่อการรักษาความปลอดภัย
เครือข่ายของรัฐบาลกลาง” Jen Easterly ผู้อำนวยการ CISA กล่าวในการเผยแพร่ “CISA ได้ออกคำสั่งฉุกเฉินนี้เพื่อให้แน่ใจว่าหน่วยงานพลเรือนของรัฐบาลกลางดำเนินการอย่างเร่งด่วนเพื่อปกป้องเครือข่ายของพวกเขา นอกจากนี้ เราขอเรียกร้องให้ทุกองค์กรทั้งขนาดใหญ่และขนาดเล็กปฏิบัติตามคำแนะนำของรัฐบาลกลางและดำเนินการในลักษณะเดียวกันเพื่อปกป้องเครือข่ายของตน”
CISA กล่าวว่า VMware ค้นพบช่องโหว่ใหม่เป็นครั้งแรกในเดือนเมษายนและออกแพตช์ แต่สิ่งเหล่านี้เป็นช่องโหว่ใหม่ที่หน่วยงานจำเป็นต้องแก้ไขทันที CISA กล่าวว่าการเปิดรับทางไซเบอร์ใหม่คือ “การแทรกเทมเพลตฝั่งเซิร์ฟเวอร์ซึ่งอาจส่งผลให้มีการเรียกใช้โค้ดจากระยะไกล ยกระดับสิทธิ์เป็น ‘รูท’ และรับการเข้าถึงระดับผู้ดูแลระบบโดยไม่จำเป็นต้องตรวจสอบสิทธิ์”
DoD Cloud Exchange ของ Federal News Network: จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
VMware เรียกช่องโหว่นี้ว่า “วิกฤต”ในการโพสต์บนเว็บไซต์ โดยให้คะแนน 9.8 เต็ม 10
VMware ออกแพตช์สำหรับช่องโหว่ใหม่ในวันนี้เช่นกัน
“เมื่อนักวิจัยด้านความปลอดภัยพบช่องโหว่ มักจะดึงดูดความสนใจของนักวิจัยด้านความปลอดภัยคนอื่นๆ ซึ่งนำมุมมองและประสบการณ์ที่แตกต่างมาสู่การวิจัย VMware ตระหนักดีว่าการแพตช์เพิ่มเติม นั้นไม่สะดวกสำหรับเจ้าหน้าที่ฝ่ายไอที แต่เรารักษาสมดุลของข้อกังวลนั้นด้วยความมุ่งมั่นที่จะโปร่งใส ทำให้ลูกค้าของเรารับทราบข้อมูลและล้ำหน้าการโจมตีที่อาจเกิดขึ้น” บริษัทเขียนในบล็อกโพสต์
CISA กำลังขอให้หน่วยงานต่างๆ รายงานกลับมาภายในวันที่ 24 พฤษภาคม โดยใช้เครื่องมือ Cyberscope เกี่ยวกับสถานะของความพยายามในการแพตช์
“การดำเนินการที่จำเป็นเหล่านี้นำไปใช้กับสินทรัพย์ของหน่วยงานในระบบข้อมูลใด ๆ รวมถึงระบบข้อมูลที่ใช้หรือดำเนินการโดยหน่วยงานอื่นในนามของหน่วยงาน ที่รวบรวม ประมวลผล จัดเก็บ ส่ง เผยแพร่ หรือเก็บรักษาข้อมูลของหน่วยงาน” CISA เขียน “สำหรับระบบข้อมูลของรัฐบาลกลางที่โฮสต์ในสภาพแวดล้อมของบุคคลที่สาม แต่ละหน่วยงานมีหน้าที่รับผิดชอบในการบำรุงรักษาระบบข้อมูลของตนที่โฮสต์ในสภาพแวดล้อมเหล่านั้น (ได้รับอนุญาตจาก FedRAMP หรืออย่างอื่น) และรับการอัปเดตสถานะที่เกี่ยวข้องและเพื่อให้มั่นใจว่าสอดคล้องกับคำสั่งนี้ หน่วยงานควรทำงานผ่านสำนักงานโปรแกรม FedRAMP เพื่อรับการอัปเดตเหล่านี้สำหรับผู้ให้บริการคลาวด์ที่ได้รับอนุญาตจาก FedRAMP และทำงานโดยตรงกับผู้ให้บริการที่ไม่ได้รับอนุญาตจาก FedRAMP”
นี่เป็น คำสั่งฉุกเฉินฉบับ ที่ 10 ที่ CISA ออกตั้งแต่เดือนมกราคม 2019 และเป็นคำสั่งที่สองในปีงบประมาณนี้ เปิดตัวครั้งแรกในเดือนธันวาคมสำหรับหน่วยงานเพื่อ แก้ไข ช่องโหว่Log4J
ในช่วงไม่กี่เดือนที่ผ่านมา CISA ได้พยายามเปลี่ยนจากการออกคำสั่งฉุกเฉิน แต่ได้ออกคำสั่งการปฏิบัติงานที่มีผลผูกพันในเดือนพฤศจิกายน ซึ่งกำหนดให้หน่วยงานต่าง ๆ แก้ไขช่องโหว่ที่ทราบทั้งหมดสำหรับฮาร์ดแวร์และซอฟต์แวร์ในแค็ตตาล็อกที่จัดการโดย CISAภายใน 90 วันหรือน้อยกว่าสำหรับความเสี่ยงใหม่ และหกเดือนสำหรับความเสี่ยงที่มีอยู่ตั้งแต่ปี 2560 ถึง 2563
อย่างไรก็ตาม ในคำสั่งฉุกเฉินฉบับล่าสุดนี้ CISA เชื่อว่าช่องโหว่ของระบบหน่วยงานนั้นร้ายแรงมากจนต้องดำเนินการทันที
Credit :เว็บสล็อตแท้ / สล็อตเว็บตรงไม่ผ่านเอเย่นต์
