< p class = "meta"> Av Liam Tung | 7 juni 2021 – 08:59 GMT (09:59 BST) | Ämne: Säkerhet
US Cybersecurity and Infrastructure Security Agency har varnat företag som kör VMware vCenter Server och VMware Cloud Foundation-programvara att uppdatera så snart som möjligt eftersom angripare söker efter Internet efter utsatta servrar.
VMware släppte en korrigeringsfil för två kritiska fjärrkodkörningsfel den 25 maj. De två buggarna, spårade som CVE-2021-21985 och CVE-2021-21986, har en allvarlighetsgrad på 9,8 av 10. Felen påverkar VMware vCenter Server ( vCenter Server) och VMware Cloud Foundation (Cloud Foundation).
CISA har nu varnat för att det är “medvetet om sannolikheten för att cyberhotaktörer försöker utnyttja CVE-2021-21985”. Det sade att organisationer bör tillämpa de nödvändiga uppdateringarna så snart som möjligt, även om arbete utanför cykeln krävs.
Som ZDNet rapporterade förra månaden påverkar CVE-2021-21985 vSphere HTML5-klienten och tillåter en angripare med nätverksåtkomst till port 443 att utnyttja den för att utföra kommandon fritt på det underliggande operativsystemet som är värd för vCenter Server och ta kontroll över det.
“Även om korrigeringsfiler gjordes den 25 maj 2021 förblir opatchade system ett attraktivt mål och angripare kan utnyttja denna sårbarhet för att ta kontroll över ett opackat system”, varnade CISA.
Via Ars Technica har Troy Mursch, säkerhetsforskare för Bad Packets, spårat massavsökning efter buggarna på Internet-exponerade VMware vCenter-servrar.
På lördag rapporterade Mursch att han hade sett exploateringsaktivitet med hjälp av ett bevis på konceptutnyttjande riktad mot VMware vCenter-servrar som innehöll CVE-2021-21985. Bad Packets kör en smekmånadspott som innehåller servrar med felet.
CVE-2021-21985 utnyttjar aktivitet upptäckt från 119.28.15.199 (🇭🇰) baserat på denna PoC (https://t.co/qhBbHdOaK4) inriktad på vår VMware vCenter-honpott.
Fråga vårt API för “source_ip_address = 119.28.15.199 “för full nyttolast och andra relevanta indikatorer. #threatintel
– Bad Packets (@bad_packets) 5 juni 2021
VMware uppmanade kunder att omedelbart korrigera de drabbade servrarna. Programvaruföretaget för virtualisering varnade organisationer som har placerat sina vCenter-servrar i nätverk som är exponerade för internet och därmed kanske inte har brandväggsskydd – ofta den sista försvarslinjen – att de därför bör granska dessa system för kompromiss.
< p> “I denna era av ransomware är det säkrast att anta att en angripare redan befinner sig i nätverket någonstans, på ett skrivbord och kanske till och med kontrollerar ett användarkonto, varför vi rekommenderar starkt att förklara en nödändring och lappa så snart som möjligt, “sa det tidigare.
CISA rekommenderade administratörer att granska VMwares VMSA-2021-010-rådgivning, dess blogginlägg och dess vanliga frågor om problemet.
Relaterade ämnen:
Säkerhet TV-datahantering CXO-datacenter