Μια λειτουργική εκμετάλλευση για το CVE-2021-22005, μία ευπάθεια στο VMware vCenter, κυκλοφόρησε και φέρεται να χρησιμοποιείται από κακόβουλους παράγοντες, σύμφωνα με ειδικούς που παρακολουθούν το ζήτημα.
Δείτε επίσης: VMware: Κρίσιμο bug στα προεπιλεγμένα installs του Server vCenter
Την περασμένη εβδομάδα, το VMware προειδοποίησε για μια κρίσιμη ευπάθεια στην υπηρεσία ανάλυσης του διακομιστή vCenter και προέτρεψε τους χρήστες να ενημερώσουν τα συστήματά τους το συντομότερο δυνατό.
Στις 21 Σεπτεμβρίου, η VMware είπε ότι ο διακομιστής vCenter επηρεάζεται από μια αυθαίρετη ευπάθεια μεταφόρτωσης αρχείων στην υπηρεσία Analytics, η οποία θα επιτρέψει σε έναν κακόβουλο παράγοντα με πρόσβαση στο δίκτυο, να εκμεταλλευτεί αυτήν την ευπάθεια για την εκτέλεση κώδικα σε διακομιστές vCenter.
Μέχρι τις 24 Σεπτεμβρίου, η VMware είχε επιβεβαιώσει τις αναφορές ότι το CVE-2021-22005 εκμεταλλεύεται από κυβερνοεγκληματίες και δεκάδες ερευνητές ασφαλείας στο διαδίκτυο ανέφεραν μαζική σάρωση για ευάλωτους διακομιστές vCenter και δημόσια διαθέσιμους κώδικες εκμετάλλευσης.
Η CISA δημοσίευσε τη δική της προειδοποίηση την Παρασκευή, γράφοντας στο Twitter ότι περίμεναν «ευρεία εκμετάλλευση του VMware vCenter Server CVE-2021-22005». Όπως και το VMware, προέτρεψαν τους χρήστες να αναβαθμίσουν σε μια σταθερή έκδοση το συντομότερο δυνατό ή να εφαρμόσουν την προσωρινή λύση που παρέχεται από τη VMware.
Δείτε ακόμα: NSA,CISA: Οδηγίες για την ενίσχυση της ασφάλειας των λύσεων VPN
Η VMware επανέλαβε ότι έχει κυκλοφορήσει επιδιορθώσεις και οδηγίες μετριασμού για την αντιμετώπιση πολλών τρωτών σημείων που επηρεάζουν τον VMware vCenter Server 6.5, 6.7 και 7.0. Έχει επίσης εκδώσει συμβουλές δημόσιας ασφάλειας.
«Η προστασία των πελατών είναι η κορυφαία προτεραιότητα της VMware και συνιστούμε ανεπιφύλακτα την άμεση επιδιόρθωση των επηρεαζόμενων πελατών όπως υποδεικνύεται στη συμβουλή. Ως βέλτιστη πρακτική, η VMware ενθαρρύνει όλους τους πελάτες να εφαρμόσουν τις πιο πρόσφατες ενημερώσεις προϊόντων, ενημερώσεις κώδικα ασφαλείας και περιορισμούς που διατίθενται για τα συγκεκριμένα περιβάλλοντα», ανέφερε η εταιρεία.
Ο Derek Abdine, CTO της Censys, επιβεβαίωσε ότι έχουν αποδείξει αξιόπιστα ότι η απομακρυσμένη εκτέλεση είναι δυνατή και εύκολη.
Ο Will Dormann, αναλυτής ευπαθειών στο CERT/CC, επιβεβαίωσε επίσης στο Twitter ότι η εκμετάλλευση για το CVE-2021-22005 είναι πλέον πλήρως δημόσια.
Ο Abdine σημείωσε ότι ενώ ένα patch είναι διαθέσιμο εδώ και μέρες, υπάρχει ένα φαινόμενο “patch saturation” όπου το patch δεν φτάνει ποτέ στο 100%.
Τώρα που κυκλοφόρησε μια εκμετάλλευση, ο Abdine πρόσθεσε ότι οι «πύλες άνοιξαν», επιτρέποντας σε κάθε εισβολέα με χαμηλότερες τεχνικές ικανότητες να εκτελέσει μαζική εκμετάλλευση.
Δείτε επίσης: VMware: Σοβαρές ευπάθειες στο vCenter- Ενημερώστε άμεσα!
Ο John Bambenek, ερευνητής απειλών στη Netenrich, δήλωσε ότι η απομακρυσμένη εκτέλεση κώδικα ως root σε αυτούς τους τύπους συσκευών είναι αρκετά σημαντική.
Σχεδόν κάθε οργανισμός λειτουργεί εικονικές μηχανές και εάν ένας φορέας απειλής έχει πρόσβαση root, θα μπορούσε να μολύνει κάθε μηχάνημα σε αυτό το περιβάλλον ή να κλέψει τα δεδομένα σε αυτές τις εικονικές μηχανές με σχετική ευκολία.
