Een kwetsbaarheid in VMware met een ernstclassificatie van 9,8 uit 10 wordt actief uitgebuit. Er is ten minste één geloofwaardige kwetsbaarheid gedetecteerd en er zijn in het wild succesvolle pogingen geweest om servers met de kwetsbare software te hacken.
De kwetsbaarheid, bijgehouden als CVE-2021-21985, ligt in vCenter-serverEen tool voor het beheren van virtualisatie in grote datacenters. een Vorige week is er een VMware-advies gepubliceerd Hij zei dat vCenter-apparaten die standaardconfiguraties gebruiken een bug hebben waardoor in veel netwerken kwaadaardige code kan worden uitgevoerd wanneer de apparaten toegankelijk zijn op een poort die is blootgesteld aan internet.
Code-uitvoering, geen authenticatie vereist
Een onderzoeker gepost op woensdag proof of concept-code die misbruik maakt van de bug. Een collega-onderzoeker, die vroeg om niet genoemd te worden, zei dat de exploit betrouwbaar werkt en dat er wat extra werk nodig is om de code voor kwaadaardige doeleinden te gebruiken. Het kan worden gereproduceerd met behulp van vijf verzoeken van cURL, een opdrachtregelprogramma dat gegevens verzendt met behulp van HTTP, HTTPS, IMAP en andere populaire internetprotocollen.
een andere zoeker tweeten over De geposte exploit vertelde me dat hij het kon wijzigen om met een enkele muisklik externe code te kunnen uitvoeren.
“Het zorgt ervoor dat de code op het doelapparaat wordt uitgevoerd zonder enig authenticatiemechanisme”, zei de onderzoeker.
Ik ben linkshandig op internet
Onderzoeker Kevin Beaumont, ondertussen, Hij zei op vrijdag Een van de attracties – een server die is verbonden met internet met verouderde software zodat een onderzoeker actieve scans en exploits kan volgen – begint scans te zien door externe systemen die op zoek zijn naar kwetsbare servers.
Ongeveer 35 minuten later tweette hij: “Oh, een van mijn attracties dook op met CVE-2021-21985 terwijl ik aan het werk was, het verbaast me dat het geen muntmijnwerker is.”
Oh, een van mijn attracties bedacht CVE-2021-21985 terwijl ik aan het werk was, en ik worstel met webpeeling (verrassend genoeg is het geen muntzoeker).
– Kevin Beaumont (@GossiTheDog) 4 juni 2021
De webshell is een opdrachtregeltool die door hackers wordt gebruikt na succesvolle code-uitvoering op kwetsbare apparaten. Eenmaal geïnstalleerd, hebben aanvallers overal ter wereld dezelfde controle als legitieme functionarissen.
Troy Morch van slechte pakketten Ik noemde op donderdag Dat zijn aantrekkingspunt ook scans begint te ontvangen. Op vrijdag waren er controles, zei hij: Hij zei.
onder de hagel
De indirecte activiteit is de laatste hoofdpijn voor beheerders die al onder een spervuur van kwaadaardige exploits voor andere gevaarlijke kwetsbaarheden stonden. Sinds het begin van het jaar zijn veel applicaties die in grote organisaties worden gebruikt, aangevallen. In veel gevallen waren de kwetsbaarheden nul dagen, exploits die in gebruik waren voordat bedrijven een patch uitbrachten.
Aanvallen inbegrepen Pulse veilige VPN exploits gericht op federale agentschappen en defensie-aannemers, Succesvolle exploits Voor een code-uitvoeringsfout in de BIG-IP-serverlijn die wordt verkocht door het in Seattle gevestigde F5 Networks, Compromis Sonicwall Firewalls, Zero Day Use in Microsoft Exchange voor Vestiging van tienduizenden organisaties In de Verenigde Staten is de Exploiterende organisaties Fortinet VPN-versies die niet zijn bijgewerkt.
Net als alle bovenstaande exploits bevindt vCenter zich in kwetsbare delen van grote bedrijfsnetwerken. Zodra aanvallers de apparaten onder controle krijgen, is het vaak slechts een kwestie van tijd voordat ze in staat zijn om naar delen van het netwerk te navigeren waar kwaadaardige spyware of ransomware kan worden geïnstalleerd.
Beheerders van vCenter-apparaten die CVE-2021-21985 nog niet hebben gepatcht, moeten de update indien mogelijk onmiddellijk installeren. Het zou niet verwonderlijk zijn als de omvang van de aanval maandag escaleert.
“Proud coffee guru. Web pioneer. Internet expert. Social media specialist.”