Хакеры сканируют цели VMware CVE-2021-22005

62
Киберпреступность становится все более зрелой, поскольку хакеры вынуждены работать умнее

Злоумышленники уже начали нацеливаться на серверы VMware vCenter, открытые для доступа в Интернет, без исправлений критической уязвимости загрузки произвольных файлов, исправленной вчера, которая может привести к удаленному выполнению кода.

Недостаток безопасности, отмеченный как CVE-2021-22005, влияет на все развертывания vCenter Server 6.7 и 7.0 с конфигурациями по умолчанию.

Об уязвимости сообщили Георгий Носеевич и Сергей Герасимов из SolidLab LLC, и неаутентифицированные злоумышленники могут удаленно использовать ее в атаках низкой сложности, не требуя взаимодействия с пользователем.

Сканирование начинается через несколько часов после выпуска патча

Хотя код эксплойта еще не является общедоступным, текущая деятельность по сканированию уже была обнаружена компанией по анализу угроз Bad Packets, при этом некоторые из ее ловушек VMware записывают злоумышленников, проверяющих наличие критической ошибки всего через несколько часов после того, как VMware выпустила обновления безопасности.

«Активность сканирования CVE-2021-22005 обнаружена из 116 [.] 48.233.234», — ранее сегодня в Твиттере было опубликовано сообщение «Плохие пакеты», позже добавившее, что при сканировании используется информация об обходном пути, предоставленная VMware для клиентов, которые не смогли немедленно исправить свои устройства.

По данным поисковой системы Shodan для устройств, подключенных к Интернету, прямо сейчас тысячи потенциально уязвимых серверов vCenter доступны через Интернет и подвержены атакам .

Это не первый случай, когда злоумышленники сканировали и атаковали уязвимые серверы VMware vCenter.

В феврале злоумышленники провели массовое сканирование на наличие непропатченных устройств vCenter после того, как исследователи безопасности выпустили тестовый код эксплойта (PoC) для другого критического недостатка безопасности RCE (CVE-2021-21972), влияющего на все установки vCenter по умолчанию.

В июне началось сканирование серверов VMware vCenter, доступных в Интернете, которые оставались уязвимыми для эксплойтов CVE-2021-21985 RCE после публикации кода эксплойта в сети.

VMware предупреждает о входящих попытках эксплуатации

Эти текущие проверки следуют за предупреждением, выпущенным вчера VMware, чтобы подчеркнуть важность исправления серверов для устранения ошибки CVE-2021-22005 как можно скорее.

«Эту уязвимость может использовать любой, кто может подключиться к vCenter Server по сети для получения доступа, независимо от настроек конфигурации vCenter Server», — сказал Боб Планкерс , архитектор по техническому маркетингу в VMware.

«В нашу эпоху программ-вымогателей безопаснее всего предположить, что злоумышленник уже находится где-то в вашей сети, на рабочем столе и, возможно, даже контролирует учетную запись пользователя, поэтому мы настоятельно рекомендуем объявить экстренное изменение и как можно скорее установить исправление. . »

Компания предлагает обходной путь, требующий от администраторов редактировать текстовый файл на виртуальном устройстве и перезапускать службы вручную или с помощью сценария для удаления вектора эксплуатации.

VMware также опубликовала подробный документ с часто задаваемыми вопросами с дополнительными вопросами и ответами относительно уязвимости CVE-2021-22005.

«Сразу же последствия этой уязвимости серьезны, и это вопрос времени — скорее всего, минут после раскрытия — прежде чем рабочие эксплойты станут общедоступными», — добавила VMware .

«Ввиду надвигающейся в настоящее время угрозы программ-вымогателей наиболее безопасным вариантом является предположение, что злоумышленник уже может контролировать рабочий стол и учетную запись пользователя с помощью таких методов, как фишинг или целевой фишинг, и действовать соответствующим образом.

«Это означает, что злоумышленник может уже получить доступ к vCenter Server изнутри корпоративного брандмауэра, и время имеет существенное значение».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here