VÝSTRAHA: Kritická chyba RCE na serveri VMware vCenter pod aktívnym útokom

Škodliví aktéri aktívne hromadne prehľadávajú internet a hľadajú zraniteľné servery VMware vCenter, ktoré sú neopravené proti kritickej chybe spustenia vzdialeného kódu, ktorú spoločnosť riešila koncom minulého mesiaca.

Prebiehajúca aktivita bola detekovaná Bad Packets v júni 3 a včera to potvrdil bezpečnostný výskumník Kevin Beaumont. “Hromadná skenovacia aktivita zistená z 104.40.252.159, ktorá kontroluje hostiteľov VMware vSphere náchylných na vzdialené spustenie kódu,” napísal na Twitteri Troy Mursch, vedúci výskumu v Bad Packets.

Vývoj nasleduje po zverejnení proof-of-concept (PoC) zneužitia kódu RCE zameraného na chybu VMware vCenter.

Sledované ako CVE-2021-21985 (skóre CVSS 9.8), problém je dôsledkom nedostatočnej validácie vstupu v doplnku Virtual SAN (vSAN) Health Check, ktorý by útočník mohol zneužiť na vykonávanie príkazov s neobmedzenými oprávneniami v základnom operačnom systéme, ktorý je hostiteľom servera vCenter.

Hoci chybu odstránila spoločnosť VMware 25. mája, spoločnosť dôrazne vyzvala svojich zákazníkov, aby núdzovú zmenu okamžite uplatnili. „V tejto ére ransomvéru je najbezpečnejšie predpokladať, že útočník je už niekde v sieti, na pracovnej ploche a možno dokonca ovláda používateľský účet, a preto dôrazne odporúčame čo najskôr vyhlásiť núdzovú zmenu a vykonať opravu. “, povedal VMware.

Nie je to prvýkrát, čo protivníci oportunisticky hromadne prehľadávali internet a hľadali zraniteľné servery VMware vCenter. Podobná zraniteľnosť spustenia vzdialeného kódu (CVE-2021-21972), ktorá bola opravená spoločnosťou VMware vo februári, sa stala cieľom aktérov kybernetických hrozieb, ktorí sa pokúšali zneužiť neopravené systémy a prevziať kontrolu nad nimi.

Podľa Bad Packets a Binary Edge bolo v tom čase nájdených najmenej 14 858 serverov vCenter dostupných cez internet.

A čo viac, nový výskum od Cisco Talos začiatkom tohto týždňa zistil, že aktér hrozby stojaci za robotom Necro založeným na Pythone sa dostal na exponované servery VMware vCenter zneužitím rovnakej bezpečnostnej slabiny na zvýšenie schopnosti šírenia infekcie malvéru.