CVE-2021-22005 olarak izlenen VMware VCenter'daki Uzaktan Kod Yürütme Güvenlik Açığı için eksiksiz bir yararlanma, şimdi yaygın olarak bulunur ve tehdit aktörlerinden yararlanıyor.
Geçen haftanın sonunda dolaşmaya başlayan versiyonun aksine, bu varyantı, uzaktaki saldırganların seçtikleri kodunu yürütmesine izin veren, savunmasız bir sisteme ters bir kabuk açmak için kullanılabilir.
Güvenlik açığı kimlik doğrulaması gerektirmez ve saldırganların VCenter Server Analytics servisine bir dosyayı yüklemesini sağlar.
Pazartesi günü, Exploit yazar WVU, varsayılan durum olan Müşteri Deneyimi İyileştirme Programı (CEIP) bileşeni olan Müşteri Deneyimi İyileştirme Programı (CEIP) bileşeni olan son noktalara karşı çalışan CVE-2021-22005 için gerçekleştirilmemiş bir sömürü yayımladı.
Bununla birlikte, VMware, VCenter Server'ın yapılandırma ayarlarından bağımsız olarak, VCCenter Server'ı ağ üzerinden erişebilen herkes tarafından açıklanabilirliğini açıklar. "
Bu hafta açık bir teknik analizde, WVU, her adımda kodlarının ne yaptığını, yol geçişi için gerekli olan dizini oluşturan ve ters bir kabuğun spawn'unu planlayan bir istekle ne yaptığını açıklar.
Araştırmacı, istismarın birden fazla dosya oluşturmasına rağmen, saldırı tipik çözümler tarafından kaydedilmediğini ve hem güvenlik hem de güvenlikle ilgili olmayan olaylar hakkında veri toplayan Denetim Çerçevesini kullanmanızı önerir.
VMware'nin danışmanlığı, CVE-2021-22005'ün, "ağ üzerinden VCenter sunucusuna ulaşabilen herkes tarafından", "kamu internete maruz kalan arama motorlarının indeksleme makinelerinin sonuçları, web üzerinden erişilebilen binlerce VMware VCenter ana bilgisayarını göstermiştir.
VMware, 21 Eylül'deki CVE-2021-22005'i, 10'tan 9.8 olan kritik bir ciddiyet derecesi ve kuruluşların iTil'deki "acil bir değişikliği" olarak düşünmesi için güçlü bir öneri olduğunu açıkladı ve mümkün olan en kısa sürede "
Cuma günü bir danışmanlık içinde, CISA ayrıca makineleri güncellemeye veya VMware'den geçici geçici çözümleri uygulamak için korunmasız VCenter sunucuları ile kritik altyapı organizasyonlarını da çağırdı.
Dört gün sonra, ilk kavram kanıtı sömürüsü kodu kullanılabilir hale geldi. Orijinal durumunda inert olsa da, Kod uzaktan kod yürütülmesini sağlamak için kolayca silahlanabildi ve saldırılar serbest bırakılmasından kısa bir süre sonra başladı.
Eksik Kodu analiz ettikten sonra, Cert / CC Güvenlik Açığı Analisti Dormann, "Bu POC'un eksik kısmının gerçekten komut dosyası çocuklarını uzak tutacağını, ancak belirlenmiş bir aktör uzak tutmayacağını" belirtti.
Tehdit aktörleri, vmware'in açıklanmasından sadece saatler sonra bu güvenlik açığına ilgi göstermişlerdir ve hızlı bir şekilde bazı teknik notlarla birlikte geçen hafta son haftada serbest bırakılan eksik koddan bir çalışma istifi yaptılar.
Tamamen çalışan bir istismarla birlikte, daha az vasıflı aktörler dahil olabileceği için saldırının sayısı artması bekleniyor. Bir kuruluş için en yüksek risklerden biri olan bir fidye yazılımı saldırısının kurbanı olmak, VMware uyarılarıdır.
Kritik VMWare VCenter CVE-2021-22005 Hatalı Hackerlar
Bilgisayar korsanları VMware CVE-2021-22005 hedefleri için taranıyor, şimdi yama!
VMWare Varsayılan VCenter Server Yüklemelerinde Kritik Hatanın Uyarıları
NETGEAR, çoklu yönlendiricilerde tehlikeli kod yürütme hatasını düzeltir
Microsoft, Azure Linux Admins'ten, Omigod Hatalarını Manuel Yama Yapmalarını İstedi
Kaynak: Bleeping Computer