Возможные эксплойты для устранения критической ошибки VMware vCenter CVE-2021-22005

37
Новый вид мошенничества

Код эксплойта, который можно использовать для удаленного выполнения кода на сервере VMware vCenter, уязвимом для CVE-2021-22005, в настоящее время распространяется в Интернете.

Ошибка была публично раскрыта ранее на этой неделе, когда VMware также ее исправила, имеет критическую степень серьезности 9,8 и настоятельную рекомендацию по установке доступного исправления.

Доступны технические примечания

Уязвимость затрагивает машины с vCenter Server версий 6.5, 6.7 и 7.0. Учитывая серьезность проблемы, VMware призывает администраторов действовать немедленно и предположить, что злоумышленник уже находится в сети и готов воспользоваться преимуществами.

Ранее сегодня вьетнамский исследователь безопасности Джанг опубликовал технические примечания для CVE-2021-22005, основанные на обходном пути и патче от VMware.

Подробностей достаточно, чтобы опытные разработчики создали рабочий эксплойт, который позволяет удаленно выполнять код с правами root, сказал исследователь BleepingComputer.

В конце поста Янг также предоставляет ссылку на GitHub на свою версию PoC для CVE-2021-22005. Однако это не полностью функциональный вариант, преднамеренно, чтобы не дать менее опытным злоумышленникам напрямую использовать его в атаках.

Исследователь сказал нам, что в настоящее время код ничего не может сделать, потому что его статус завершения составляет около 90%, и в нем отсутствует важная часть.

Злоумышленнику придется приложить определенные усилия, чтобы превратить его в полноценный эксплойт, но он должен быть в состоянии создать эксплойт, который будет на 100% надежным.

Тестер на проникновение и посланник Synack Николас Крассас протестировали код и подтвердили, что для его правильной работы требуются некоторые модификации. Но это доказывает, что CVE-2021-22005 можно использовать для создания бэкдора в уязвимой системе.

Скоро ожидаются атаки

Джанг создал полнофункциональный эксплойт и протестировал его в контролируемой среде. Он сказал, что он работает нормально, получая удаленное выполнение кода до того, как его обнаружит.

Злоумышленники проявили интерес к этой уязвимости вскоре после ее обнаружения. Спустя всего несколько часов после того, как патч стал доступен, компания Bad Packets, занимающаяся разведкой угроз, заметила активность сканирования, нацеленную на CVE-2021-22005 .

В настоящее время в общедоступном Интернете доступны тысячи экземпляров vCenter Server, но не все уязвимы для CVE-2021-22005. Однако злоумышленники могут найти множество целей с помощью поисковой системы устройств, подключенных к Интернету.

Учитывая серьезность уязвимости, интерес к уязвимым развертываниям vCenter Server и доступность частичного кода эксплойта PoC, разумно предположить, что атаки с использованием CVE-2021-22005, скорее всего, начнутся в ближайшее время.

Джанг сказал, что злоумышленнику средней квалификации потребуется около часа, чтобы создать работающую и надежную версию своего эксплойта. Он считает, что злоумышленники скоро начнут использовать уязвимость, и настоятельно рекомендует администраторам исправлять свои системы.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here