VMware предупреждает о критической ошибке, влияющей на все установки vCenter Server

VMware призывает клиентов исправить критическую уязвимость удаленного выполнения кода (RCE) в подключаемом модуле Virtual SAN Health Check, которая влияет на все развертывания vCenter Server.

«Эти обновления устраняют критическую уязвимость системы безопасности, и ее необходимо немедленно рассмотреть», - сказал Боб Планкерс, архитектор технического маркетинга в VMware.

«Эту уязвимость может использовать любой, кто может подключиться к vCenter Server по сети для получения доступа, независимо от того, используете ли вы vSAN или нет».

vCenter Server - это решение для управления сервером, которое помогает ИТ-администраторам управлять виртуальными машинами и виртуализированными хостами в корпоративных средах с помощью единой консоли.

В нашу эпоху программ-вымогателей безопаснее всего предположить, что злоумышленник уже находится где-то в сети, на рабочем столе и, возможно, даже контролирует учетную запись пользователя, поэтому мы настоятельно рекомендуем объявить экстренное изменение и внести исправления, как только возможно - VMware

Критическая ошибка RCE с почти идеальной степенью серьезности

Обнаруженная в частном порядке уязвимость с базовой оценкой CVSSv3 9,8 из 10 отслеживается как CVE-2021-21985 и влияет на vCenter Server 6.5, 6.7 и 7.0, согласно рекомендациям VMware по безопасности.

«Клиент vSphere (HTML5) содержит уязвимость удаленного выполнения кода из-за отсутствия проверки ввода в подключаемом модуле Virtual SAN Health Check, который по умолчанию включен в vCenter Server», - поясняет VMware.

«Злоумышленник с сетевым доступом к порту 443 может использовать эту проблему для выполнения команд с неограниченными привилегиями в базовой операционной системе, в которой размещен vCenter Server».

Согласно VMware, уязвимый «подключаемый модуль Virtual SAN Health Check включен по умолчанию во всех развертываниях vCenter Server, независимо от того, используется ли vSAN».

Сегодня компания также исправила проблему с механизмом аутентификации средней степени серьезности, которая отслеживается как CVE-2021-21986 и затрагивает подключаемые модули Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager и VMware Cloud Director Availability.

https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-bug-affecting-all-vcenter-server-installs/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • Выпущен рабочий эксплойт для ошибки VMware vCenter CVE-2021-22005

    Полный эксплойт для уязвимости удаленного выполнения кода в VMware vCenter, отслеживаемый как CVE-2021-22005, теперь широко доступен, и злоумышленники используют его в своих интересах.

    В отличие от версии, которая начала распространяться в конце прошлой недели, этот вариант можно использовать для открытия обратной оболочки в уязвимой системе, позволяя удаленным злоумышленникам выполнять код по своему выбору.

    Уязвимость не требует аутентификации и позволяет злоумышленникам загрузить файл в службу аналитики vCenter Server.

    Полноценный эксплойт готов

    В понедельник разработчик эксплойтов wvu выпустил неотредактированный эксплойт для CVE-2021-22005, который работает против конечных точек с включенным компонентом программы улучшения качества программного обеспечения (CEIP), что является состоянием по умолчанию.

    Однако VMware описывает уязвимость как доступную для использования «любым, кто может подключиться к vCenter Server по сети для получения доступа, независимо от настроек конфигурации vCenter Server».

    В техническом анализе, который был открыт на этой неделе, wvu объясняет, что делает их код на каждом этапе, начиная с запроса, который создает каталог, необходимый для обхода пути, и планирования создания обратной оболочки.

    Исследователь отмечает, что, хотя эксплойт генерирует несколько файлов, атака не регистрируется типичными решениями, и рекомендует использовать структуру аудита, которая собирает данные как о событиях, связанных с безопасностью, так и не связанных с безопасностью.

    В сообщении VMware говорится, что CVE-2021-22005 может быть использован «любым, кто может получить доступ к vCenter Server по сети», результаты индексирования машин поисковыми системами, опубликованные в общедоступном Интернете, показали, что тысячи хостов VMware vCenter доступны через Интернет.

    Приоритет установки патча

    VMware объявила о CVE-2021-22005 21 сентября с рейтингом критичности 9,8 из 10 и настоятельной рекомендацией для организаций рассмотреть «экстренное изменение» в соответствии с передовыми методами управления ИТ-услугами ITIL и исправить «как можно скорее». . »

    В своем информационном сообщении в пятницу CISA также призвала организации критической инфраструктуры с уязвимыми серверами vCenter уделить приоритетное внимание обновлению машин или применить временное решение от VMware.

    Четыре дня спустя стал доступен первый экспериментальный код эксплойта. Несмотря на инертность в исходном состоянии, код можно легко превратить в оружие для удаленного выполнения кода, и атаки могут начаться вскоре после его выпуска.

    Злоумышленники проявили интерес к этой уязвимости на ранней стадии, всего через несколько часов после того, как VMware раскрыла ее, и быстро создали рабочий эксплойт из неполного кода, который исследователь безопасности Джанг опубликовал на прошлой неделе, вместе с некоторыми техническими примечаниями.

    Теперь, когда доступен полностью рабочий эксплойт, ожидается, что количество атак увеличится, поскольку в них могут вмешаться менее квалифицированные субъекты. VMware предупреждает, что один из самых серьезных рисков для организации - стать жертвой атаки программ-вымогателей.

    https://www.bleepingcomputer.com/news/security/working-exploit-released-for-vmware-vcenter-cve-2021-22005-bug/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.