Chyba zabezpečení ve VMware s hodnocením závažnosti 9,8 z 10 je aktivně využívána. Byla zjištěna alespoň jedna důvěryhodná chyba zabezpečení a ve volné přírodě došlo k úspěšným pokusům o hacknutí serverů se zranitelným softwarem.
Zranitelnost, sledovaná jako CVE-2021-21985, spočívá v vCenter ServerNástroj pro správu virtualizace ve velkých datových centrech. A Minulý týden byla zveřejněna zpráva o VMware Řekl, že zařízení vCenter používající výchozí konfigurace mají chybu, která v mnoha sítích umožňuje spuštění škodlivého kódu, když k nim lze přistupovat na portu vystaveném internetu.
Spuštění kódu, není vyžadováno žádné ověření
Výzkumník zveřejnil ve středu důkaz konceptu kódu který využívá chybu. Spolupracovník, který požádal, aby nebyl jmenován, uvedl, že exploit funguje spolehlivě a že je zapotřebí trochu více práce, aby byl kód použit ke škodlivým účelům. Může být reprodukován pomocí pěti požadavků od cURL, nástroje příkazového řádku, který přenáší data pomocí HTTP, HTTPS, IMAP a dalších populárních internetových protokolů.
Další hledač pípání o Zveřejněný exploit mi řekl, že ho dokázal upravit tak, aby získal vzdálené spuštění kódu jediným kliknutím myši.
„Dostane kód spuštěný v cílovém zařízení bez jakéhokoli mechanismu autentizace,“ uvedl výzkumník.
Jsem levák na internetu
Výzkumník Kevin Beaumont mezitím Řekl v pátek Jednou z jeho atrakcí – server připojený k internetu se zastaralým softwarem, aby mohl výzkumný pracovník sledovat aktivní skenování a zneužití – začíná vidět skenování vzdálených systémů, které hledají zranitelné servery.
Asi o 35 minut později tweetnul: „Ach, jedna z mých atrakcí se objevila na CVE-2021-21985, když jsem byl v práci, jsem překvapen, že to není mincový miner.“
Jedna z mých atrakcí přišla s CVE-2021-21985, když jsem byl v práci, a já bojuji s webovým peelingem (překvapivě to není mincový miner).
– Kevin Beaumont (@GossiTheDog) 4. června 2021
Webový shell je nástroj příkazového řádku používaný hackery po úspěšném spuštění kódu na zranitelných zařízeních. Po instalaci mají útočníci kdekoli na světě stejnou kontrolu jako legitimní úředníci.
Troy Morch ze špatných balíčků Zmínil jsem se ve čtvrtek Že jeho místo přitažlivosti také začalo přijímat skenování. V pátek podle něj probíhaly kontroly Řekl.
pod krupobitím
Nepřímou aktivitou je nejnovější bolest hlavy pro administrátory, kteří již byli pod palbou škodlivých útoků na další nebezpečné chyby zabezpečení. Od začátku roku bylo napadeno mnoho aplikací používaných ve velkých organizacích. V mnoha případech byly chyby zabezpečení nulové dny, zneužití, která se používala před vydáním opravy společností.
Včetně útoků Pulzní zabezpečená VPN zneužití zaměřené na federální agentury a dodavatele obrany, Úspěšné exploity Pro chybu v provádění kódu v řadě BIG-IP serverů prodávaných společností F5 Networks v Seattlu, Kompromisní brány firewall Sonicwall, Zero Day Use v Microsoft Exchange pro Windows Osídlení desítek tisíc organizací Ve Spojených státech Využívající organizace Fortinet VPN běží verze, které nebyly aktualizovány.
Stejně jako všechny výše uvedené exploity je vCenter v zranitelných částech velkých podnikových sítí. Jakmile útočníci získají kontrolu nad zařízeními, je často jen otázkou času, kdy budou moci přejít do částí sítě, které umožňují instalaci škodlivého spywaru nebo ransomwaru.
Správci zařízení vCenter, která dosud neopravili CVE-2021-21985, by měli nainstalovat aktualizaci, pokud je to možné, okamžitě. Nebylo by překvapením, kdyby se do pondělí stupňoval rozsah útoku.
„Přátelský průkopník popkultury. Hodně padá. Sociální média geek. Obecný fanatik do kávy. Televizní nadšenec. Potížista.“
