VMware: VMware предупреждает о критических уязвимостях в продуктах

отредактировано September 2023 Раздел: Уязвимости систем и приложений
VMware призывает клиентов исправить критическую уязвимость удаленного выполнения кода (RCE) в подключаемом модуле Virtual SAN Health Check, которая влияет на все развертывания vCenter Server.

«Эти обновления устраняют критическую уязвимость системы безопасности, и ее необходимо немедленно рассмотреть», - сказал Боб Планкерс, архитектор технического маркетинга в VMware.

«Эту уязвимость может использовать любой, кто может подключиться к vCenter Server по сети для получения доступа, независимо от того, используете ли вы vSAN или нет».

vCenter Server - это решение для управления сервером, которое помогает ИТ-администраторам управлять виртуальными машинами и виртуализированными хостами в корпоративных средах с помощью единой консоли.

В нашу эпоху программ-вымогателей безопаснее всего предположить, что злоумышленник уже находится где-то в сети, на рабочем столе и, возможно, даже контролирует учетную запись пользователя, поэтому мы настоятельно рекомендуем объявить экстренное изменение и внести исправления, как только возможно - VMware

Критическая ошибка RCE с почти идеальной степенью серьезности

Обнаруженная в частном порядке уязвимость с базовой оценкой CVSSv3 9,8 из 10 отслеживается как CVE-2021-21985 и влияет на vCenter Server 6.5, 6.7 и 7.0, согласно рекомендациям VMware по безопасности.

«Клиент vSphere (HTML5) содержит уязвимость удаленного выполнения кода из-за отсутствия проверки ввода в подключаемом модуле Virtual SAN Health Check, который по умолчанию включен в vCenter Server», - поясняет VMware.

«Злоумышленник с сетевым доступом к порту 443 может использовать эту проблему для выполнения команд с неограниченными привилегиями в базовой операционной системе, в которой размещен vCenter Server».

Согласно VMware, уязвимый «подключаемый модуль Virtual SAN Health Check включен по умолчанию во всех развертываниях vCenter Server, независимо от того, используется ли vSAN».

Сегодня компания также исправила проблему с механизмом аутентификации средней степени серьезности, которая отслеживается как CVE-2021-21986 и затрагивает подключаемые модули Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager и VMware Cloud Director Availability.

https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-bug-affecting-all-vcenter-server-installs/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:

Комментарии

  • Выпущен рабочий эксплойт для ошибки VMware vCenter CVE-2021-22005

    Полный эксплойт для уязвимости удаленного выполнения кода в VMware vCenter, отслеживаемый как CVE-2021-22005, теперь широко доступен, и злоумышленники используют его в своих интересах.

    В отличие от версии, которая начала распространяться в конце прошлой недели, этот вариант можно использовать для открытия обратной оболочки в уязвимой системе, позволяя удаленным злоумышленникам выполнять код по своему выбору.

    Уязвимость не требует аутентификации и позволяет злоумышленникам загрузить файл в службу аналитики vCenter Server.

    Полноценный эксплойт готов

    В понедельник разработчик эксплойтов wvu выпустил неотредактированный эксплойт для CVE-2021-22005, который работает против конечных точек с включенным компонентом программы улучшения качества программного обеспечения (CEIP), что является состоянием по умолчанию.

    Однако VMware описывает уязвимость как доступную для использования «любым, кто может подключиться к vCenter Server по сети для получения доступа, независимо от настроек конфигурации vCenter Server».

    В техническом анализе, который был открыт на этой неделе, wvu объясняет, что делает их код на каждом этапе, начиная с запроса, который создает каталог, необходимый для обхода пути, и планирования создания обратной оболочки.

    Исследователь отмечает, что, хотя эксплойт генерирует несколько файлов, атака не регистрируется типичными решениями, и рекомендует использовать структуру аудита, которая собирает данные как о событиях, связанных с безопасностью, так и не связанных с безопасностью.

    В сообщении VMware говорится, что CVE-2021-22005 может быть использован «любым, кто может получить доступ к vCenter Server по сети», результаты индексирования машин поисковыми системами, опубликованные в общедоступном Интернете, показали, что тысячи хостов VMware vCenter доступны через Интернет.

    Приоритет установки патча

    VMware объявила о CVE-2021-22005 21 сентября с рейтингом критичности 9,8 из 10 и настоятельной рекомендацией для организаций рассмотреть «экстренное изменение» в соответствии с передовыми методами управления ИТ-услугами ITIL и исправить «как можно скорее». . »

    В своем информационном сообщении в пятницу CISA также призвала организации критической инфраструктуры с уязвимыми серверами vCenter уделить приоритетное внимание обновлению машин или применить временное решение от VMware.

    Четыре дня спустя стал доступен первый экспериментальный код эксплойта. Несмотря на инертность в исходном состоянии, код можно легко превратить в оружие для удаленного выполнения кода, и атаки могут начаться вскоре после его выпуска.

    Злоумышленники проявили интерес к этой уязвимости на ранней стадии, всего через несколько часов после того, как VMware раскрыла ее, и быстро создали рабочий эксплойт из неполного кода, который исследователь безопасности Джанг опубликовал на прошлой неделе, вместе с некоторыми техническими примечаниями.

    Теперь, когда доступен полностью рабочий эксплойт, ожидается, что количество атак увеличится, поскольку в них могут вмешаться менее квалифицированные субъекты. VMware предупреждает, что один из самых серьезных рисков для организации - стать жертвой атаки программ-вымогателей.

    https://www.bleepingcomputer.com/news/security/working-exploit-released-for-vmware-vcenter-cve-2021-22005-bug/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • VMware предупреждает о критических уязвимостях в нескольких продуктах

    VMware предупредила клиентов о необходимости немедленного исправления критических уязвимостей в нескольких продуктах, которые злоумышленники могут использовать для запуска атак с удаленным выполнением кода.

    «Эта критическая уязвимость должна быть немедленно исправлена или уменьшена в соответствии с инструкциями в VMSA-2021-0011. Последствия этой уязвимости серьезны», — предупредила VMware в среду.

    «Все среды разные, имеют разную устойчивость к риску и имеют разные средства управления безопасностью и многоуровневую защиту для снижения риска, поэтому клиенты должны принимать собственные решения о том, как действовать. Однако, учитывая серьезность уязвимости, мы настоятельно рекомендовать немедленные действия».

    Патчи для пяти критических уязвимостей

    Список критических недостатков безопасности, исправленных сегодня, включает уязвимость удаленного выполнения кода на стороне сервера (CVE-2022-22954), две уязвимости обхода аутентификации ACS OAuth2 (CVE-2022-22955, CVE-2022-22956) и две уязвимости JDBC. внедрение уязвимостей удаленного выполнения кода (CVE-2022-22957, CVE-2022-22958).

    VMware также исправила ошибки высокой и средней степени серьезности, которые могли быть использованы для атак с подделкой межсайтовых запросов (CSRF) (CVE-2022-22959), повышения привилегий (CVE-2022-22960) и получения доступа к информации без авторизации (CVE- 2022-22961).

    Полный список продуктов VMware, подверженных этим уязвимостям, включает:

    VMware Workspace ONE Access (Access)
    VMware Identity Manager (vIDM)
    VMware vRealize Automation (vRA)
    VMware Cloud Foundation
    vRealize Suite Lifecycle Manager

    Компания добавила, что не обнаружила никаких доказательств того, что эти ошибки использовались в дикой природе, до того, как сегодняшние рекомендации по безопасности были опубликованы.

    На веб-сайте базы знаний VMware также есть полный список исправленных версий и ссылки для загрузки установщиков исправлений.

    акже доступен обходной путь

    VMware также предлагает обходные пути для тех, кто не может немедленно исправить свои устройства в качестве временного решения. Описанные здесь шаги требуют, чтобы администраторы выполнили предоставленный VMware сценарий на основе Python на уязвимых виртуальных устройствах.

    Тем не менее, компания заявляет, что единственный способ полностью устранить уязвимости — это применить патчи.

    «Обходные пути, хотя и удобны, не устраняют уязвимости и могут создать дополнительные сложности, которых не было бы при установке исправлений», — добавила VMware.

    «Хотя решение об исправлении или использовании обходного пути остается за вами, VMware всегда настоятельно рекомендует установить исправление как самый простой и надежный способ решения этой проблемы».

    Документ с дополнительными вопросами и ответами на критические уязвимости, исправленные сегодня, доступен здесь.

    В понедельник VMware также выпустила обновления безопасности для устранения критической уязвимости Spring4Shell RCE в VMware Tanzu Application Service для виртуальных машин, VMware Tanzu Operations Manager и VMware Tanzu Kubernetes Grid Integrated Edition (TKGI).

    https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-vulnerabilities-in-multiple-products/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Хакеры используют критическую уязвимость VMware RCE для установки бэкдоров

    Опытные хакеры активно используют критическую уязвимость удаленного выполнения кода (RCE) CVE-2022-22954, которая затрагивает VMware Workspace ONE Access (ранее называвшийся VMware Identity Manager).

    Проблема была устранена в обновлении безопасности 20 дней назад вместе с еще двумя RCE — CVE-2022-22957 и CVE-2022-22958, которые также затрагивают VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation и Менеджер жизненного цикла vRealize Suite.

    Вскоре после публичного раскрытия недостатков в открытом доступе появился код эксплойта PoC, который позволил хакерам атаковать уязвимые развертывания продуктов VMware. VMware подтвердила факт эксплуатации CVE-2022-22954.

    Теперь исследователи из Morphisec сообщают, что наблюдают за эксплуатацией со стороны субъектов продвинутой постоянной угрозы (APT), в частности, иранской хакерской группы, отслеживаемой как APT35, также известной как «Rocket Kitten».

    Детали атаки

    Злоумышленники получают первоначальный доступ к среде, используя CVE-2022-22954, единственную из трио RCE, которая не требует административного доступа к целевому серверу, а также имеет общедоступный эксплойт PoC.

    Атака начинается с выполнения команды PowerShell на уязвимой службе (Identity Manager), которая запускает стейджер.

    Затем стейджер получает загрузчик PowerTrash с сервера управления и контроля (C2) в сильно запутанной форме и загружает агент Core Impact в системную память.

    attack-flow.png

    Core Impact — это законный инструмент тестирования на проникновение, который в данном случае используется в незаконных целях, подобно тому, как Cobalt Strike развертывается в вредоносных кампаниях.

    Однако это не новый элемент. Trend Micro ранее сообщала о злоупотреблениях Core Impact со стороны APT35, активность которых началась еще в 2015 году.

    «Исследования Morphisec показали, что злоумышленники уже используют эту уязвимость (CVE-2022-22954) для запуска обратных бэкдоров HTTPS — в основном маяков Cobalt Strike, Metasploit или Core Impact», — Morphisec

    Технический директор Morphisec Майкл Горелик сообщил BleepingComputer, что злоумышленник попытался осуществить боковое перемещение в сети, но бэкдор был остановлен.

    «При привилегированном доступе эти типы атак могут быть в состоянии обойти типичные средства защиты, включая антивирус (AV) и обнаружение и реагирование конечных точек (EDR)», — добавляет Morphisec в отчете.

    https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-rce-flaw-to-install-backdoors/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • VMware предупреждает администраторов об исправлении серверов ESXi, отключении службы OpenSLP

    Сегодня компания VMware предупредила клиентов о необходимости установить последние обновления безопасности и отключить службу OpenSLP, являющуюся мишенью крупномасштабной кампании атак программ-вымогателей на открытые и уязвимые серверы ESXi из Интернета.

    Компания добавила, что злоумышленники не используют уязвимость нулевого дня и что эта служба по умолчанию отключена в выпусках программного обеспечения ESXi, выпущенных с 2021 года.

    По данным VMware, злоумышленники также нацелены на продукты, которые «значительно устарели» или уже достигли срока окончания общей поддержки (EOGS).

    «VMware не нашла доказательств того, что неизвестная уязвимость (0-day) используется для распространения программы-вымогателя, используемой в этих недавних атаках», — заявили в VMware.

    «В большинстве отчетов говорится, что прекращение общей поддержки (EOGS) и/или устаревшие продукты подвергаются известным уязвимостям, которые ранее были устранены и раскрыты в рекомендациях по безопасности VMware (VMSA).

    «Помня об этом, мы советуем клиентам выполнить обновление до последних доступных поддерживаемых выпусков компонентов vSphere для устранения известных на данный момент уязвимостей. Кроме того, VMware рекомендовала отключить службу OpenSLP в ESXi».

    Атаки программ-вымогателей ESXiArgs

    Предупреждение VMware поступило после того, как неизвестные злоумышленники начали шифровать неисправленные серверы VMware ESXi для защиты от уязвимости OpenSLP (CVE-2021-21974), которую злоумышленники, не прошедшие проверку подлинности, могут использовать для удаленного выполнения кода в атаках низкой сложности.

    Это вредоносное ПО, известное как программа-вымогатель ESXiArgs, было развернуто в рамках массивной волны продолжающихся атак, которые уже затронули тысячи уязвимых целей по всему миру (более 2400 серверов, согласно текущим данным Censys).

    Злоумышленники используют это вредоносное ПО для шифрования файлов .vmxf, .vmx, .vmdk, .vmsd и .nvra на скомпрометированных серверах ESXi и размещения заметок о выкупе под названием «ransom.html» и «Как восстановить ваши файлы.html».

    Майкл Гиллеспи из ID Ransomware проанализировал копию шифровальщика ESXiArgs и сообщил BleepingComputer, что, к сожалению, это безопасный шифровальщик без криптографических ошибок, позволяющих расшифровывать.

    Исследователь безопасности Энес Сонмез поделился руководством, которое может позволить администраторам VMware, пострадавшим от этих атак, восстановить свои виртуальные машины и восстановить данные бесплатно.

    BleepingComputer также содержит дополнительные технические сведения о программе-вымогателе ESXiArgs и специальную тему поддержки ESXiArgs, где жертвы сообщают о своем опыте этой атаки и могут получить помощь в восстановлении своих файлов.

    https://www.bleepingcomputer.com/news/security/vmware-warns-admins-to-patch-esxi-servers-disable-openslp-service/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.