VMware VCenter Server'da CVE-2021-22005'e açık olan VMware VCenter sunucusundaki Uzaktan Kod yürütülmesi için kullanılabilecek Kod, bugün piyasaya sürüldü ve saldırganlar zaten kullanıyor.
VMware de ele alındığında, bu hafta daha erken açıklanan, böcek, 7.8 kritik bir ciddiyet derecesi ve mevcut yamayı kurmak için güçlü bir öneri ile birlikte gelir.
Güvenlik açığı, VCenter Server sürüm 6.7 ve 7.0 çalıştıran makineleri etkiler. Sorunun ciddiyeti göz önüne alındığında, VMware yöneticileri yöneticileri derhal bir rakmanın ağda, avantaja girmeye hazır olduğu varsayımıyla hareket etmeye çağırır.
Maruz kalan VCenter sunucuları şu anda çeşitli ülkelerden birden fazla limandan hedeflenmektedir, Tehdit İstihbarat Şirketi, bugün BleepingComputer ile paylaşılan kötü paketler; VMware bunu, TVE-2021-22005 için güvenlik danışmanlığına bir güncellemede onayladı, keyfi bir dosya yükleme güvenlik açığı:
"VMware, CVE-2021-22005'in vahşi doğada sömürüldüğü raporları doğruladı"
Bad Packets tarafından kaydedilen veriler, VMware Honeypot'larına 16:21 (GMT), ABD, ABD, Romanya, Hollanda, Çin ve Singapur'dan kaynaklanan 16:21 (GMT) vurmaya başlayan saldırıları gösterir.
VMWare güvenlik sorununu açıkladıktan ve bir yama yayımladıktan kısa bir süre sonra bu saldırıların belirtileri kısa bir süre sonra görüldü. Sadece saatler sonra, Kötü paketler, CVE-2021-22005'i hedef alan tarama aktivitesini gördü.
Bad Paketler'de Baş Araştırma Görevlisi olan Troy Mursch, BleepingComputer'a, HoneyPots'a karşı gördüğü saldırıların, bugünün daha önce Vietnam Güvenlik Araştırmacısı Jang tarafından yayınlanan eksik bir istismarına dayanan kod kullandığını söyledi.
JANG, geçici çözümü ve vmware'den yamaya dayanarak CVE-2021-22005 için teknik notlar yayınladı. Araştırmacı, araştırmacının BleepingComputer'a anlattığı için, deneyimli geliştiricilerin, uzak kod yürütülmesine izin veren çalışma bir istismar oluşturmaları için yeterlidir.
Gönderinin sonunda JANG ayrıca CVE-2021-22005 için POC versiyonuna bir bağlantı sağlar. Yine de, kasıtlı olarak, daha az yetenekli tehdit aktörlerinin doğrudan saldırılarda kullanılmasını önlemek için tamamen işlevsel bir varyantı değildir.
Araştırmacı, mevcut formunda kodun zarar görmediğini, çünkü uzaktaki kod yürütülmesine yol açan önemli kısmı eksik olduğundan söylemiştir.
Bir rakip, tam teşekküllü bir istismar haline getirmek için biraz çaba sarf etmek zorunda kalacaktı, ancak% 100 güvenilir bir istismar oluşturabilmeleri gerekir.
Penetrasyon Test Cihazı ve Synack Envoy Nicolas Krassas kodu test etti ve düzgün çalışmak için bazı değişikliklere ihtiyaç duyduğunu onayladı. Ancak, CVE-2021-22005'in savunmasız bir sistemde bir arka kapı oluşturmak için kullanılabileceğini kanıtlamaktadır.
Jang tamamen işlevsel bir sömürü oluşturdu ve kontrollü bir ortamda test etti. Tespiti yakalamadan önce tam olarak iyi çalıştığını, tam olarak çalıştığını söyledi.
Şu anda, İnternet bağlantılı cihazlar için arama motorları, genel İnternet'e maruz kalan Binlerce VMware VCenter Server örneğini göstermektedir. Shodan 5.000'den fazla makineyi aldı, iken Censys'de kaba bir arama 6.800 civarında gösteriliyor.
Yine de tüm sunucular CVE-2021-22005'e karşı savunmasız değildir. Censys, bu internet yüzlü ana bilgisayarların 3,264'ünün "potansiyel olarak savunmasız olduğu" ve 436'nın yamalandığını belirtir.
Yine de potansiyel hedeflerin sayısı oldukça yüksektir ve tehdit aktörlerinin korunmasız makineleri taramaya erken ilgisi göz önüne alındığında, saldırıların yakın olduğu sonucuna varmak kolaydır.
BleepingComputer'la ilgili olarak konuşlandırılmasıyla konuşurken, JANG, ortalama vasıflı bir rakip, çalışma, güvenilir bir versiyon oluşturmak için bir saat kadar ihtiyaç duyulduğunu söyledi. Yöneticilerin, CVE-2021-22005'teki saldırılara karşı savunmaya karşı sistemlerini düzeltmelerini şiddetle tavsiye eder.
ABD Siber Güvenlik ve Altyapı Yaşama Ajansı (CISA), VMWare'den gelen güncellemeleri veya Termorary geçici çözümünü uygulamak için korunmasız VCenter dağıtımlarıyla kritik infrastrüktör organizasyonlarını desteklemektedir.
Censys'lerden bir yazı, bir uzaktan kod yürütme istismarı, halka açık alanda yayınlanan teknik detaylara dayanarak oluşturulması zor olmadığını açıklıyor:
"Blog yayındaki kıvır temelli istismar, doğrudan kod yürütülmesi göstermez, ancak bu yazıdaki bilgileri bu görevdeki bilgileri Linux işletim sistemi hakkında bazı bilgilerle elde etmek için kullanabilir. Censys bu detayı bırakmaya karar verdi. Fırsatçı tarama zaten gerçekleşiyor ve VMware'nin geçici çözümüne özel savunmasız bitiş noktasını değerlendiriyor. "
Araştırmacı ayrıca bir saldırganın güvenlik açığından nasıl yararlanabileceğini göstermek için bir video yayınladı:
Güncelleme [24 Eylül, 2021 - 17:41 EST]: Yayıncılıktan kısa bir süre sonra, BleepingComputer, bilgisayar korsanlarının güvenlik araştırmacısı Jang tarafından yayınlanan kodu kullanarak CVE-2021-22005'ü kullanmaya başladığını öğrendi. Makaleyi saldırılar hakkında bilgi ile güncelledik.
Araştırmacı, Apple'ın düzeltmeyi reddettiği üç iOS sıfır gün düştü.
Forumları Hacking'te Paylaşılan Windows MSHTML Sıfır-Gün Kullanımı
Cryptominers yüklemek için ATLASSIAN CONFLICE FLAW aktif olarak kullanıyor
Cisco, Halka Açık Exploit ile Eleştirel Kimlik Doğrulama Bypass Hatası Düzeltti
Bilgisayar korsanları VMware CVE-2021-22005 hedefleri için taranıyor, şimdi yama!
Kaynak: Bleeping Computer