6000 台 VMware vCenter 设备，易受到远程攻击

据悉，该漏洞名为CVE-2021-21972，如果被利用，它可使黑客能够执行任意命令，危及vCenter服务器，并可能获得访问敏感数据的权限。

该漏洞是在vSphere Client (HTML5)中发现的，这是VMware vCenter的一个插件，通常作为一个管理接口访问安装在大型企业网络工作站上的VMware主机。该界面允许管理员创建和管理虚拟机以及主机资源。

Positive Technologies研究人员Mikhail Klyuchnikov说，通过利用这个漏洞，未经授权的用户可以发送一个经过特别设计的请求，最终得以在服务器上执行任意命令。

Klyuchnikov说:“在获得了这样的机会之后，攻击者就可以发起这种攻击，成功地穿越公司网络，并访问存储在被攻击系统中的数据（例如有关虚拟机和系统用户的信息）。如果可以从互联网访问易受攻击的软件，则将使外部攻击者能够侵入公司的外部范围并访问敏感数据。这个漏洞是危险的，因为它可以被任何未经授权的用户使用。”

安全公司KnowBe4的安全意识倡导者Javvad Malik说，组织应优先考虑修补任何VMware vCenter设备。

Positive Technologies公司表示，在全世界6000多台VMware vCenter设备中，26%位于美国，其余位于德国、法国、中国、英国、加拿大、俄罗斯、中国台湾、伊朗和意大利。

然而安全公司的研究人员报告，利用这个漏洞的主要威胁来自内部人士或其他人士，他们使用如社交工程或Web漏洞等方法穿透了网络边界的保护，从而可以访问内部网络。

2020年8月，Positive Technologies发表了关于外部渗透测试的研究报告，并成功进入网络边界，获得93%的公司的本地网络资源。

研究人员指出:“尽管90%以上的VMware vCenter设备完全位于外围，但根据Positive Technologies analytics的估计，其中一些设备可以进行远程访问。”

此外，Positive Technologies还发现了一个VMware vCenter Server漏洞CVE-2021-21973，该漏洞允许未经授权的用户向vCenter Server插件发送POST请求，导致信息泄露。这可以促使黑客进行进一步的攻击，使他们能够扫描公司的内部网络，并获得有关各种服务的开放端口的信息。

Positive Technologies建议从VMware安装更新，并从组织范围内删除vCenter Server接口，将其分配到内部网络中具有受限访问列表的单独VLAN。

安全公司Synopsys的高级安全工程师鲍里斯·西波特指出：“即使像VMware这样的公司确保向其客户提供安全的软件，该版本发布后仍可能会出现安全漏洞。”

早前，Positive Technologies的研究员Egor Dimitrenko在VMware vSphere Replication tool中发现了一个严重漏洞。如果该漏洞被利用，攻击者就可以访问该工具的管理web界面，以最大权限在服务器上执行任意代码，并在网络上开始横向移动，以夺取对公司基础设施的控制。

原创： E安全
原文链接： www.easyaq.com