Tehdit aktörleri, dün Kod yürütülmesine yol açabilecek, eleştirel bir rasgele dosya yükleme güvenlik açığına karşı açığa çıkan İnternet açığa çıkan VMware VCenter sunucularını hedeflemiştir.
CVE-2021-22005 olarak izlenen güvenlik hatası, tüm VCenter Server 6.7 ve 7.0 dağıtımlarını varsayılan yapılandırmalarla etkiler.
Kusur, George Noseevich ve Sergey Gerasimov tarafından SolidLAB LLC tarafından bildirildi ve kimliği doğrulanmamış saldırganlar, kullanıcı etkileşimi gerektirmeden düşük karmaşıklıktaki saldırılarda uzaktan sökülebilir.
Kullanıcı kod henüz halka açık olmasa da, devam eden tarama faaliyeti zaten Tehdit İstihbarat Şirketi Bad Paketleriyle, VMware Honeypores'ın bir kısmı, VMware'in güvenlik güncelleştirmelerinden sadece birkaç saat sonra kritik hatanın varlığına ilişkin saldırganları kaydetti.
"CVE-2021-22005 Tarama etkinliği 116 [.] 48.233.234 tarihinden itibaren tespit edildi," Bad Paketler bugün daha önce tweetled, daha sonra, taramaların, uygulamalarını hemen düzeltemeyen müşteriler için VMware tarafından sağlanan geçici bilgi bilgileri kullanıyor.
Şu anda, internet üzerinden binlerce potansiyel olarak savunmasız VCenter sunucuya ulaşılabilir ve İnternet bağlantılı cihazlar için Shodan arama motoruna göre saldırılara maruz kalır.
Bu, ilk kez tehdit aktörlerinin taranması ve savunmasız VMware VCenter sunucularını saldırdığı ve saldırdı.
Şubat ayında, güvenlik araştırmacılarından sonra toplanan vcenter cihazları için toplanan saldırganlar kitlesi, kavram kanıtı (POC) başka bir kritik RCE güvenlik hatası için (CVE-2021-21972) için Kod (CVE-2021-21972) Kodunu çıkardı.
Haziran ayında, tarama, İnternet açısından ortaya çıkan VMware VCenter sunucuları için BAŞLANGIÇ CVE-2021-21985 RCE'sine karşı savunmasız kaldı.
Bu devam eden taramalar, VMware tarafından, Mümkün olan en kısa sürede CVE-2021-22005 hatasına karşı çıkan sunucuların önemini vurgulamak için VMware tarafından verilen bir uyarı izler.
Bob Plankers, VMware'deki teknik pazarlama mimarı, VMware'deki teknik pazarlama mimarı, "VCenter Server'ı ağ üzerinden erişebilen herkes tarafından kullanılabilir.
"Ransomware'in bu döneminde, bir saldırganın ağınızın içinde bir yerde, bir masaüstünde ve belki de bir kullanıcı hesabının kontrolünde bile olduğunu varsaymak en güvenlidir, bu yüzden mümkün olan en kısa sürede acil durum değişikliği ve yamayı bildirmenizi tavsiye ediyoruz. "
Şirket, sanal cihazdaki bir metin dosyasını düzenlemesini ve hizmetleri manuel olarak yeniden başlatmasını veya kullanımı vektörünü kaldırmak için bir komut dosyasını kullanarak yöneticiler gerektiren bir geçici çözüm sağlar.
VMware ayrıca, CVE-2021-22005 kusuruna ilişkin ek soru ve cevaplar içeren ayrıntılı bir SSS belgesi yayınladı.
"Hemen, bu kırılganlığın sonuçları ciddidir ve bu bir zaman meselesidir - açıklamadan sonra muhtemel dakika - işten çıkarma işlemleri halka açıktır" dedi.
"Günümüzde fidye yazılımı tehdidi ile, en güvenli duruş, bir saldırganın bir masaüstünün ve bir kullanıcı hesabının bir masaüstünün ve bir kullanıcı hesabının kontrolünü zaten kontrol edebileceğini varsaymaktır.
"Bu, saldırganın zaten bir kurumsal güvenlik duvarı içinden VCenter sunucusuna ulaşabileceği anlamına gelir ve zamanın özünde."
VMWare Varsayılan VCenter Server Yüklemelerinde Kritik Hatanın Uyarıları
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
SonicWall, SMA 100 cihaz devralmasını sağlayan kritik hatayı düzeltir
FBI, CISA ve NSA, artan conti ransomware saldırılarını uyardı
Yeni MacOS sıfır gün böcek saldırganların uzaktan komutları çalıştırmasını sağlar
Kaynak: Bleeping Computer