Выпущен рабочий эксплойт для ошибки VMware vCenter CVE-2021-22005

37
Выпущен рабочий эксплойт для ошибки VMware vCenter CVE-2021-22005

Полный эксплойт для уязвимости удаленного выполнения кода в VMware vCenter, отслеживаемый как CVE-2021-22005, теперь широко доступен, и злоумышленники используют его в своих интересах.

В отличие от версии, которая начала распространяться в конце прошлой недели, этот вариант можно использовать для открытия обратной оболочки в уязвимой системе, позволяя удаленным злоумышленникам выполнять код по своему выбору.

Уязвимость не требует аутентификации и позволяет злоумышленникам загрузить файл в службу аналитики vCenter Server.

Полноценный эксплойт наготове

В понедельник разработчик эксплойтов wvu выпустил неотредактированный эксплойт для CVE-2021-22005, который работает против конечных точек с включенным компонентом программы улучшения качества программного обеспечения (CEIP), что является состоянием по умолчанию.

Однако VMware описывает уязвимость как доступную для использования «любым, кто может подключиться к vCenter Server по сети для получения доступа, независимо от настроек конфигурации vCenter Server».

В техническом анализе, который был открыт на этой неделе, wvu объясняет, что делает их код на каждом этапе, начиная с запроса, который создает каталог, необходимый для обхода пути, и планирования создания обратной оболочки.

Исследователь отмечает, что, хотя эксплойт генерирует несколько файлов, атака не регистрируется стандартными решениями, и рекомендует использовать структуру аудита , которая собирает данные как о событиях, связанных с безопасностью, так и не связанных с безопасностью.

В сообщении VMware говорится, что CVE-2021-22005 может быть использован «любым, кто может получить доступ к vCenter Server по сети», результаты индексирования машин поисковыми системами, опубликованные в общедоступном Интернете, показали, что тысячи хостов VMware vCenter доступны через Интернет.

Приоритет установки патча

VMware объявила о CVE-2021-22005 21 сентября с рейтингом критичности 9,8 из 10 и настоятельной рекомендацией для организаций рассмотреть «экстренное изменение» в соответствии с передовыми методами управления ИТ-услугами ITIL и исправить «как можно скорее».»

В пятницу в информационном сообщении CISA также призвала организации критически важной инфраструктуры с уязвимыми серверами vCenter уделить приоритетное внимание обновлению машин или применить временное решение от VMware.

Четыре дня спустя стал доступен первый экспериментальный код эксплойта. Несмотря на инертность в исходном состоянии, код можно легко превратить в оружие для удаленного выполнения кода, и атаки начались вскоре после его выпуска.

Проанализировав неполный код, аналитик уязвимостей CERT / CC Уилл Дорманн отметил, что «недостающая часть этого PoC действительно отпугнет детей-сценаристов, но не любого решительного актера», добавив, что вскоре должен появиться полный эксплойт.

Злоумышленники проявили интерес к этой уязвимости на раннем этапе, всего через несколько часов после того, как VMware раскрыла ее, и быстро создали рабочий эксплойт из неполного кода, который исследователь безопасности Джанг опубликовал на прошлой неделе, вместе с некоторыми техническими примечаниями.

Теперь, когда доступен полностью рабочий эксплойт, ожидается, что количество атак увеличится, поскольку в них могут вмешаться менее квалифицированные субъекты. VMware предупреждает, что один из самых серьезных рисков для организации — стать жертвой атаки программ-вымогателей.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here