Περισσότεροι από 6.700 VMware vCenter servers είναι εκτεθειμένοι στο Διαδίκτυο και ευάλωτοι σε ένα σοβαρό σφάλμα, που θα μπορούσε να επιτρέψει σε εγκληματίες του κυβερνοχώρου να παραβιάσουν τις ευάλωτες συσκευές και να πάρουν τον έλεγχο ολόκληρων εταιρικών δικτύων.
Σύμφωνα με την εταιρεία Bad Packets, γίνονται ήδη σαρώσεις από εγκληματίες για ευάλωτες VMware vCenter συσκευές.
Οι σαρώσεις ξεκίνησαν χθες, μετά τη δημοσίευση proof-of-concept code για μια ευπάθεια με το όνομα CVE-2021-21972, από έναν Κινέζο ερευνητή.
Αυτή η ευπάθεια επηρεάζει το vSphere Client (HTML5), ένα plugin του VMware vCenter, έναν τύπο server που χρησιμοποιείται συνήθως σε μεγάλα εταιρικά δίκτυα ως βοηθητικό πρόγραμμα διαχείρισης, μέσω του οποίου το προσωπικό πληροφορικής διαχειρίζεται προϊόντα VMware που είναι εγκατεστημένα σε τοπικά workstations.
Λόγω του κεντρικού ρόλου του VMware vCenter server μέσα σε εταιρικά δίκτυα, το ζήτημα χαρακτηρίστηκε ως εξαιρετικά κρίσιμο και αναφέρθηκε στην VMware, η οποία κυκλοφόρησε χθες patches για την αντιμετώπισή του.
Ωστόσο, η δημοσίευση του proof-of-concept code από τον Κινέζο ερευνητή και άλλους, δεν άφησε πολύ χρόνο στις εταιρείες να εφαρμόσουν την ενημέρωση κώδικα. Επίσης, ξεκίνησε μια μαζική σάρωση για ευάλωτους Vmware servers που είναι εκτεθειμένοι στο διαδίκτυο, με τους hackers να βιάζονται να παραβιάσουν τα συστήματα πριν τις αντίπαλες hacking ομάδες.
Το πιο ανησυχητικό είναι ότι η εκμετάλλευση για αυτό το σφάλμα είναι, επίσης, one-line cURL request, το οποίο σημαίνει ότι ακόμα και επιτιθέμενοι με μικρή εξειδίκευση, μπορούν να αυτοματοποιήσουν επιθέσεις.
Σύμφωνα με ένα Shodan query, περισσότεροι από 6.700 VMware vCenter servers είναι αυτήν τη στιγμή συνδεδεμένοι στο Διαδίκτυο. Όλα αυτά τα συστήματα είναι ευάλωτα σε takeover επιθέσεις, εάν οι διαχειριστές δεν έχουν εγκαταστήσει τις χθεσινές ενημερώσεις ασφαλείας.
Η VMware βαθμολόγησε την ευπάθεια με 9,8 στα 10, ως προς τη σοβαρότητα, και προτρέπει τους πελάτες να ενημερώσουν τα συστήματά τους το συντομότερο δυνατό.
Λόγω του κρίσιμου ρόλου των VMware vCenter servers στα εταιρικά δίκτυα, μια παραβίαση αυτής της συσκευής θα μπορούσε να επιτρέψει σε hackers να αποκτήσουν πρόσβαση σε οποιοδήποτε σύστημα που συνδέεται ή σχετίζεται με τον κεντρικό server.
Αυτοί οι τύποι συσκευών αποτελούν αγαπημένο στόχο των hackers. Παραβιάζουν τις συσκευές και έπειτα πουλούν την πρόσβαση σε ransomware συμμορίες. Πολλές ransomware ομάδες, όπως η Darkside και η RansomExx έχουν αρχίσει να στοχεύουν συστήματα VMware από πέρυσι.
Πηγή: ZDNet