< p class="meta"> Di Liam Tung | 7 giugno 2021 — 08:59 GMT (09:59 BST) | Argomento: Sicurezza
La Cybersecurity and Infrastructure Security Agency statunitense ha avvertito le aziende che utilizzano VMware vCenter Server e VMware Cloud Foundation di eseguire l'aggiornamento il prima possibile perché gli aggressori stanno eseguendo la scansione di Internet alla ricerca di server vulnerabili.
VMware ha rilasciato una patch per due difetti critici di esecuzione del codice remoto il 25 maggio. I due bug, tracciati come CVE-2021-21985 e CVE-2021-21986, hanno un livello di gravità di 9,8 su 10. I bug interessano VMware vCenter Server ( vCenter Server) e VMware Cloud Foundation (Cloud Foundation).
CISA ha ora avvertito di essere “consapevole della probabilità che gli attori delle minacce informatiche stiano tentando di sfruttare CVE-2021-21985”. Ha affermato che le organizzazioni dovrebbero applicare gli aggiornamenti necessari il prima possibile, anche se è richiesto un lavoro fuori ciclo.
Come riportato da ZDNet il mese scorso, CVE-2021-21985 colpisce il client vSphere HTML5 e consente a un utente malintenzionato con accesso di rete alla porta 443 di sfruttarlo per eseguire comandi liberamente sul sistema operativo sottostante che ospita vCenter Server e assumerne il controllo.
“Sebbene le patch siano state apportate il 25 maggio 2021, i sistemi senza patch rimangono un obiettivo attraente e gli aggressori possono sfruttare questa vulnerabilità per prendere il controllo di un sistema senza patch”, ha avvertito CISA.
Tramite Ars Technica, Troy Mursch, un ricercatore di sicurezza per Bad Packets, ha monitorato la scansione di massa per i bug sui server VMware vCenter esposti a Internet.
Sabato, Mursch ha riferito di aver visto attività di exploit utilizzando un exploit proof of concept mirato ai server VMware vCenter che ospitano CVE-2021-21985. Bad Packets esegue un honeypot che contiene i server con il bug.
Attività di exploit CVE-2021-21985 rilevata da 119.28.15.199 (🇭🇰) in base a questo PoC (https://t.co/qhBbHdOaK4) mirato al nostro honeypot VMware vCenter.
Richiedi alla nostra API “source_ip_address= 119.28.15.199” per il carico utile completo e altri indicatori pertinenti. #threatintel
— Bad Packets (@bad_packets) 5 giugno 2021
VMware ha invitato i clienti a correggere immediatamente i server interessati. L'azienda di software di virtualizzazione ha avvertito le organizzazioni che hanno collocato i propri vCenter Server su reti esposte a Internet e che quindi potrebbero non disporre di protezione firewall, spesso l'ultima linea di difesa, che dovrebbero pertanto verificare se questi sistemi sono compromessi.
< p>“In questa era di ransomware è più sicuro presumere che un utente malintenzionato sia già all'interno della rete da qualche parte, su un desktop e forse anche in controllo di un account utente, motivo per cui consigliamo vivamente di dichiarare una modifica di emergenza e di applicare le patch il prima possibile possibile”, ha affermato in precedenza.
CISA ha consigliato agli amministratori di esaminare l'advisory VMSA-2021-010 di VMware, il suo blogpost e le sue FAQ sul problema.
Argomenti correlati:
Security TV Data Management CXO Data Center 