Злоумышленники сканируют уязвимые серверы VMware после выпуска эксплойта PoC

После того, как исследователи безопасности разработали и опубликовали экспериментальный код эксплойта (PoC), нацеленный на критическую уязвимость vCenter удаленного выполнения кода (RCE), злоумышленники теперь активно сканируют уязвимые серверы VMware, доступные в Интернете.

Сканирование было обнаружено компанией Bad Packets, занимающейся разведкой угроз, всего через день после того, как VMware исправила критическую уязвимость.

Согласно информации, предоставленной BinaryEdge (более 14 000 открытых серверов) и Shodan (более 6700), тысячи непропатченных серверов vCenter по-прежнему доступны через Интернет.

Михаил Ключников из Positive Technologies обнаружил ошибку (CVE-2021-21972) осенью 2020 года и лично сообщил о ней VMware в октябре 2020 года.

Компания Positive Technologies отложила выпуск всех технических деталей на более поздний срок, чтобы дать компаниям достаточно времени для исправления своих серверов vCenter или блокировки публичного доступа к ним.

Тем не менее, они решили опубликовать вчера после того, как были выпущены как минимум два PoC-эксплойта для несанкционированной ошибки RCE и хакеры начали массовое сканирование серверов, на которых не было исправлений.

Критический RCE с публичными эксплойтами PoC

Успешное использование этой ошибки безопасности позволяет злоумышленникам захватить всю сеть организации, поскольку серверы VMware vCenter используются ИТ-администраторами для управления решениями VMware, развернутыми в их корпоративных средах, с помощью единой консоли.

«Клиент vSphere (HTML5) содержит уязвимость удаленного выполнения кода в подключаемом модуле vCenter Server», - поясняет VMware.

«Злоумышленник с сетевым доступом к порту 443 может использовать эту проблему для выполнения команд с неограниченными привилегиями в базовой операционной системе, на которой размещен vCenter Server».

https://www.bleepingcomputer.com/news/security/attackers-scan-for-vulnerable-vmware-servers-after-poc-exploit-release/
Войдите или Зарегистрируйтесь чтобы комментировать.