Злоумышленники сканируют уязвимые серверы VMware после выпуска эксплойта PoC
Раздел: Уязвимости систем и приложений
После того, как исследователи безопасности разработали и опубликовали экспериментальный код эксплойта (PoC), нацеленный на критическую уязвимость vCenter удаленного выполнения кода (RCE), злоумышленники теперь активно сканируют уязвимые серверы VMware, доступные в Интернете.
Сканирование было обнаружено компанией Bad Packets, занимающейся разведкой угроз, всего через день после того, как VMware исправила критическую уязвимость.
Согласно информации, предоставленной BinaryEdge (более 14 000 открытых серверов) и Shodan (более 6700), тысячи непропатченных серверов vCenter по-прежнему доступны через Интернет.
Михаил Ключников из Positive Technologies обнаружил ошибку (CVE-2021-21972) осенью 2020 года и лично сообщил о ней VMware в октябре 2020 года.
Компания Positive Technologies отложила выпуск всех технических деталей на более поздний срок, чтобы дать компаниям достаточно времени для исправления своих серверов vCenter или блокировки публичного доступа к ним.
Тем не менее, они решили опубликовать вчера после того, как были выпущены как минимум два PoC-эксплойта для несанкционированной ошибки RCE и хакеры начали массовое сканирование серверов, на которых не было исправлений.
Критический RCE с публичными эксплойтами PoC
Успешное использование этой ошибки безопасности позволяет злоумышленникам захватить всю сеть организации, поскольку серверы VMware vCenter используются ИТ-администраторами для управления решениями VMware, развернутыми в их корпоративных средах, с помощью единой консоли.
«Клиент vSphere (HTML5) содержит уязвимость удаленного выполнения кода в подключаемом модуле vCenter Server», - поясняет VMware.
«Злоумышленник с сетевым доступом к порту 443 может использовать эту проблему для выполнения команд с неограниченными привилегиями в базовой операционной системе, на которой размещен vCenter Server».
https://www.bleepingcomputer.com/news/security/attackers-scan-for-vulnerable-vmware-servers-after-poc-exploit-release/
Сканирование было обнаружено компанией Bad Packets, занимающейся разведкой угроз, всего через день после того, как VMware исправила критическую уязвимость.
Согласно информации, предоставленной BinaryEdge (более 14 000 открытых серверов) и Shodan (более 6700), тысячи непропатченных серверов vCenter по-прежнему доступны через Интернет.
Михаил Ключников из Positive Technologies обнаружил ошибку (CVE-2021-21972) осенью 2020 года и лично сообщил о ней VMware в октябре 2020 года.
Компания Positive Technologies отложила выпуск всех технических деталей на более поздний срок, чтобы дать компаниям достаточно времени для исправления своих серверов vCenter или блокировки публичного доступа к ним.
Тем не менее, они решили опубликовать вчера после того, как были выпущены как минимум два PoC-эксплойта для несанкционированной ошибки RCE и хакеры начали массовое сканирование серверов, на которых не было исправлений.
Критический RCE с публичными эксплойтами PoC
Успешное использование этой ошибки безопасности позволяет злоумышленникам захватить всю сеть организации, поскольку серверы VMware vCenter используются ИТ-администраторами для управления решениями VMware, развернутыми в их корпоративных средах, с помощью единой консоли.
«Клиент vSphere (HTML5) содержит уязвимость удаленного выполнения кода в подключаемом модуле vCenter Server», - поясняет VMware.
«Злоумышленник с сетевым доступом к порту 443 может использовать эту проблему для выполнения команд с неограниченными привилегиями в базовой операционной системе, на которой размещен vCenter Server».
https://www.bleepingcomputer.com/news/security/attackers-scan-for-vulnerable-vmware-servers-after-poc-exploit-release/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.