Уязвимость в VMware с рейтингом серьезности 9,8 из 10 находится в активной эксплуатации. Обнаружена по крайней мере одна заслуживающая доверия уязвимость, и уже предпринимались успешные попытки взломать серверы, на которых запущено уязвимое программное обеспечение.
Уязвимость, обозначаемая как CVE-2021-21985, заключается в vCenter ServerИнструмент для управления виртуализацией в крупных дата-центрах. а На прошлой неделе было опубликовано сообщение VMware. Он сказал, что устройства vCenter, использующие конфигурации по умолчанию, имеют ошибку, которая во многих сетях позволяет запускать вредоносный код, когда к устройствам можно получить доступ через порт, открытый в Интернете.
Выполнение кода, аутентификация не требуется
Исследователь опубликовал в среду доказательство концептуального кода который использует ошибку. Другой исследователь, который попросил не называть его имени, сказал, что эксплойт работает надежно и что требуется небольшая дополнительная работа, чтобы использовать код во вредоносных целях. Его можно воспроизвести с помощью пяти запросов от cURL, инструмента командной строки, который передает данные с использованием HTTP, HTTPS, IMAP и других популярных интернет-протоколов.
Другой искатель чирикать о Опубликованный эксплойт сообщил мне, что он смог изменить его, чтобы получить удаленное выполнение кода одним щелчком мыши.
«Он выполнит код на целевом устройстве без какого-либо механизма аутентификации», — сказал исследователь.
Я левша в интернете
Между тем исследователь Кевин Бомонт, Он сказал в пятницу Одна из его привлекательных сторон — сервер, подключенный к Интернету с устаревшим программным обеспечением, чтобы исследователь мог отслеживать активное сканирование и эксплойты, — начинает видеть сканирование удаленными системами в поисках уязвимых серверов.
Примерно через 35 минут он написал в Твиттере: «О, одна из моих достопримечательностей появилась с CVE-2021-21985, когда я был на работе, я удивлен, что это не майнер монет».
О, одна из моих достопримечательностей — CVE-2021-21985, когда я был на работе, и я борюсь с веб-пилингом (на удивление, это не майнер).
— Кевин Бомонт (@GossiTheDog) 4 июня 2021 г.
Веб-оболочка — это инструмент командной строки, используемый хакерами после успешного выполнения кода на уязвимых устройствах. После установки злоумышленники в любой точке мира получают тот же контроль, что и законные официальные лица.
Трой Морч из Bad Packages Я упоминал в четверг Что его место притяжения также начало получать сканирование. По его словам, в пятницу проводились проверки. Он сказал.
под градом
Непрямая активность — последняя головная боль для администраторов, которые уже столкнулись с шквалом вредоносных эксплойтов для других опасных уязвимостей. С начала года атакам подверглись многие приложения, используемые в крупных организациях. Во многих случаях уязвимости были нулевыми днями — эксплойтами, которые использовались до того, как компании выпустили патч.
Включены атаки Импульсный безопасный VPN атаки на федеральные агентства и оборонных подрядчиков, Успешные подвиги В случае ошибки выполнения кода в линейке серверов BIG-IP, продаваемых базирующейся в Сиэтле F5 Networks, Взломать брандмауэры Sonicwall, Использование нулевого дня в Microsoft Exchange для Расчеты с десятками тысяч организаций В Соединенных Штатах Эксплуатирующие организации Работающие версии Fortinet VPN не обновлялись.
Как и все вышеперечисленные эксплойты, vCenter находится в уязвимых частях крупных корпоративных сетей. Как только злоумышленники получают контроль над устройствами, это часто является лишь вопросом времени, когда они смогут перейти к частям сети, позволяющим установить вредоносное шпионское ПО или программы-вымогатели.
Администраторы устройств vCenter, которые еще не установили исправление для CVE-2021-21985, должны по возможности немедленно установить обновление. Неудивительно, что к понедельнику масштабы атаки увеличатся.