概念验证漏洞利用代码已于今天早些时候在线发布,并且已经检测到针对易受攻击的VMware系统的主动扫描。
目前,有超过6,700台VMware vCenter Server处于在线状态,并且容易受到新攻击的攻击,该攻击可使黑客接管未打补丁的设备并有效接管公司的整个网络。
威胁情报公司Bad Packets表示,目前正在扫描VMware vCenter设备。
我们检测到针对易受攻击的VMware vCenter服务器(https://t.co/t3Gv2ZgTdt)的大规模扫描活动。
在我们的API中查询“ tags = CVE-2021-21972”以获取相关指示符和源IP地址。#threatintel https://t.co/AcSZ40U5Gp— Bad Packets(@bad_packets)
在早前安全研究人员发布针对CVE-2021-21972的漏洞的概念验证代码后,扫描已于昨日早些时候开始 。
此漏洞影响vSphere Client(HTML5),这是VMware vCenter的插件,VMware vCenter是一种服务器类型,通常作为大型集中管理实用程序部署在大型企业网络中,IT人员可以通过该实用程序管理安装在本地工作站上的VMware产品。
去年,安全公司Positive Technologies发现攻击者可以针对此vCenter插件的HTTPS接口,并在设备上以提升的特权执行恶意代码,而无需进行身份验证。
由于vCenter Server在公司网络中的核心作用,因此该问题被归类为高度关键,并私下报告给VMware,该公司于 2021年2月23日发布了正式补丁。
由于在其网络上运行vCenter软件的公司众多,Positive Technologies 最初计划 将有关此Bug的详细信息保密,直到系统管理员有足够的时间来测试和应用补丁为止。
但是,研究人员发布的概念验证代码 有效地拒绝了公司申请该补丁程序的宽限期,并且开始了对黑客在线连接的易受攻击的vCenter系统的免费全面扫描。赶在竞争对手帮派面前妥协系统。
更糟糕的是,此漏洞的利用也是一个单行cURL请求,即使是低技能的威胁参与者也可以轻松地自动进行攻击。
vSphere中有一个带有单个HTTP获取请求的预认证RCE,一些组织将这些请求转发给Internet。https://t.co/rKxbQANQ8n-凯文·博蒙特(@GossiTheDog)
根据Shodan的查询,目前有超过6,700台VMware vCenter服务器连接到了互联网。如果管理员未能应用昨天的CVE-2021-21972补丁,那么所有这些系统现在都容易受到接管攻击。
VMware非常认真地对待此错误,并在10分(最高10分)中给出了9.8严重等级,并敦促客户尽快更新其系统。
由于VMware vCenter Server在企业网络中扮演着至关重要的角色,因此,如果对该设备进行妥协,攻击者就可以访问通过中央服务器连接或管理的任何系统。
这些是威胁行为者(称为“网络访问代理”)喜欢妥协然后在地下网络犯罪论坛上出售给勒索软件帮派的设备的类型,勒索软件帮派随后对受害者的文件进行加密并要求巨额勒索。此外,在去年的时候,像Darkside和RansomExx这样的勒索软件帮派已经开始追随VMware系统,显示出针对这些基于VM的企业网络的有效性。
由于PoC现已公开发布,Positive Technologies还决定发布有关该漏洞的深入技术报告,以便网络防御者可以了解漏洞利用的工作方式,并准备其他防御或取证工具以检测过去的攻击。
*编译:Domino
*来自:zdnet