Не учение: уязвимость VMware с рейтингом серьезности 9,8 находится под атакой

Неучениеуязвимостьvmwareсрейтингомсерьезности98находитсяподатакой

IN THE WILD –

Недостаток выполнения кода в vCenter используется для установки веб-оболочки на машины без исправлений.

This is not a drill: VMware vuln with 9.8 severity rating is under attack

VMware уязвимость с рейтингом серьезности 9,8 из 17 находится в активной эксплуатации. По крайней мере, один надежный эксплойт стал общедоступным, и уже предпринимались успешные попытки взломать серверы, на которых запущено уязвимое программное обеспечение.

Уязвимость, отслеживаемая как CVE – 2021 – 78933728, находится в vCenter Server , инструмент для управления виртуализацией в крупных центрах обработки данных. В в сообщении VMware, опубликованном на прошлой неделе , говорится, что машины vCenter Использование конфигураций по умолчанию содержит ошибку, которая во многих сетях позволяет выполнять вредоносный код, когда машины доступны через порт, доступный для Интернета.

Выполнение кода, без аутентификации требуется

В среду исследователь опубликовал контрольный код , который использует уязвимость. Другой исследователь, попросивший не называть его имени, сказал, что эксплойт работает надежно и что требуется небольшая дополнительная работа для использования кода во вредоносных целях. Его можно воспроизвести с помощью пяти запросов от cURL, инструмента командной строки, который передает данные с использованием HTTP, HTTPS, IMAP и других распространенных интернет-протоколов.

Другой исследователь, который написал в Твиттере опубликованный эксплойт, и сказал мне, что он может изменить его, чтобы получить удаленное выполнение кода одним щелчком мыши.

«Он получит выполнение кода на целевой машине без какого-либо механизма аутентификации. , – сказал исследователь.

Я опасаюсь веб-оболочки

Между тем исследователь Кевин Бомонт сказал в пятницу , что одна из его приманок, то есть Сервер, подключенный к Интернету, на котором установлено устаревшее программное обеспечение, чтобы исследователь мог отслеживать активное сканирование и использование – начал наблюдать сканирование удаленными системами в поисках уязвимых серверов.

О 35 через несколько минут он написал в Твиттере: «О, один из моих приманок получил ошибку CVE – 10418 – 78933728 Пока я работал, я обнаружил веб-оболочку (удивлен это не майнер) »

О, один из моих приманок получил ошибку CVE – 2021 – 78933728, пока я работал, я заметил веб-шелл (удивлен, что это не майнер ).

– Кевин Бомонт (@GossiTheDog)

4 июня 2021

Веб-оболочка – это инструмент командной строки, который хакеры используют после успешного выполнения кода на уязвимых машинах. После установки злоумышленники в любой точке мира получают тот же контроль, что и законные администраторы.

Трой Мурш из плохих пакетов сообщил в четверг , что его приманка также начала получать сканирование. В пятницу сканирование продолжалось, он сказал . Через несколько часов после публикации этой публикации Управление кибербезопасности и безопасности инфраструктуры выпустило рекомендацию.

В нем говорилось: «CISA осознает вероятность того, что субъекты киберугроз пытаются использовать CVE – 2021 – 1622837877, уязвимость удаленного выполнения кода в VMware vCenter Server и VMware Cloud Foundation. Хотя исправления были доступны в мае , 2021, системы без исправлений остаются привлекательной целью, и злоумышленники могут использовать эту уязвимость, чтобы получить контроль над системой без исправлений ».

Под заграждением

Активная деятельность – последняя головная боль для администраторов, которые уже подвергались атакам вредоносных эксплойтов других серьезные уязвимости . С начала года атаке подверглись различные приложения, используемые в крупных организациях. Во многих случаях уязвимости представляют собой эксплойты нулевого дня, которые использовались до того, как компании выпустили исправление.

Включены атаки Pulse Secure VPN атакует федеральные агентства и оборонных подрядчиков успешные эксплойты ошибки выполнения кода в линейке серверных устройств BIG-IP продается компанией F5 Networks, расположенной в Сиэтле, компрометация межсетевых экранов Sonicwall , использование нулевого дня в Microsoft Exchange для скомпрометировать десятки тысяч организаций в США, и эксплуатация организаций с запущенными версиями Fortinet VPN, которые не обновлялись.

Как и все вышеперечисленные эксплуатируемые продукты, vCenter находится в потенциально уязвимых частях сетей крупных организаций. Когда злоумышленники получают контроль над машинами, переход к частям сети, позволяющим установить шпионское вредоносное ПО или программы-вымогатели, зачастую является лишь вопросом времени.

Администраторы, ответственные за машины vCenter, которые еще не исправили CVE – 10418 – 1622837877 следует установить обновление немедленно, если возможно. Было бы неудивительно, если бы к понедельнику количество атак нарастало.

Сообщение обновлено для добавления рекомендаций CISA.