CVE-2021-21972 漏洞导致 6,700 台 VMware 服务器在线暴露

sugar 2021-02-26
专栏 - 资讯 发布于 2021-02-26 10:11:48 阅读 136 评论 0

概念验证利用代码已于周三早些时候在线发布,并且已经检测到针对易受攻击的VMware系统的主动扫描。

目前,有超过6,700台VMware vCenter Server处于在线状态,容易受到一种新的攻击,这种攻击可能会让黑客接管未打补丁的设备,并有效地控制公司的整个网络。

威胁情报公司Bad Packets表示,目前正在扫描VMware vCenter设备。

超过6,700台VMware服务器在线暴露

在一名中国安全研究人员在他们的博客上发布针对CVE-2021-21972的漏洞的概念验证代码后,扫描已于今天早些时候开始。

此漏洞影响vSphere Client(HTML5),这是VMware vCenter的插件,VMware vCenter是一种服务器类型,通常作为大型集中管理实用程序部署在大型企业网络中,IT人员可以通过该实用程序管理安装在本地工作站上的VMware产品。

去年,安全公司Positive Technologies发现攻击者可以针对此vCenter插件的HTTPS接口,并在设备上以提升的特权执行恶意代码,而无需进行身份验证。

由于vCenter Server在公司网络中的核心作用,因此该问题被归类为高度关键,并私下报告给VMware,该公司于2021年2月23日昨天发布了正式补丁。

由于在其网络上运行vCenter软件的公司众多,Positive Technologies 最初计划将有关此Bug的详细信息保密,直到系统管理员有足够的时间来测试和应用补丁为止。

但是,中国研究人员和其他人员发布的概念验证代码有效地拒绝了公司申请该补丁程序的宽限期,并且开始了对黑客在线连接的易受攻击的vCenter系统的免费全面扫描。赶在竞争对手帮派面前妥协系统。

更糟糕的是,此漏洞的利用也是一个单行cURL请求,即使是低技能的威胁参与者也可以轻松地自动进行攻击。

超过6,700台VMware服务器在线暴露

根据Shodan的查询,目前有超过6,700台VMware vCenter服务器连接到了互联网。如果管理员未能应用昨天的CVE-2021-21972补丁,那么所有这些系统现在都容易受到接管攻击。

VMware非常认真地对待此漏洞,并在10分(最高10分)中给出了9.8严重等级,并敦促客户尽快更新其系统。

由于VMware vCenter Server在企业网络中扮演着至关重要的角色,因此,如果对该设备进行妥协,攻击者就可以访问通过中央服务器连接或管理的任何系统。

这些是威胁行为者(称为“网络访问代理”)喜欢妥协然后在地下网络犯罪论坛上出售给勒索软件帮派的设备的类型,勒索软件帮派随后对受害者的文件进行加密并要求巨额勒索。此外,去年,像Darkside和RansomExx这样的勒索软件帮派已经开始追随VMware系统,显示出针对这些基于VM的企业网络的有效性。

由于PoC现已公开发布,Positive Technologies还决定发布有关该漏洞的深入技术报告,以便网络防御者可以了解漏洞利用的工作方式,并准备其他防御或取证工具以检测过去的攻击。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!