Un exploit funzionante per CVE-2021-22005, una vulnerabilità con VMware vCenter, è stato rilasciato e secondo quanto riferito viene utilizzato dagli attori delle minacce, secondo gli esperti che seguono il problema.
La scorsa settimana VMware ha segnalato una vulnerabilità critica nel servizio di analisi di vCenter Server e ha invitato gli utenti ad aggiornare i propri sistemi il prima possibile.
Il 21 settembre VMware ha dichiarato che il suo vCenter Server è affetto da una vulnerabilità di caricamento file arbitraria nel servizio Analytics che consentirebbe a un malintenzionato con accesso alla rete di sfruttare questa vulnerabilità per eseguire codice sui server vCenter.
Entro il 24 settembre, VMware ha confermato le segnalazioni secondo cui CVE-2021-22005 veniva sfruttato in natura e dozzine di ricercatori di sicurezza online hanno segnalato la scansione di massa per vCenter Server vulnerabili e codici exploit disponibili pubblicamente.
Venerdì la CISA ha lanciato un proprio avvertimento, scrivendo su Twitter che si aspettava “un diffuso sfruttamento di VMware vCenter Server CVE-2021-22005”. Come VMware, hanno invitato gli utenti a eseguire l'aggiornamento a una versione fissa il più rapidamente possibile o ad applicare la soluzione temporanea fornita da VMware.
Lo stesso giorno, la società di sicurezza informatica Censys ha pubblicato un rapporto che mostrava che c'erano circa 3.264 host con connessione a Internet e potenzialmente vulnerabili. Più di 430 sono state corrette e 1.369 sono versioni non interessate o hanno applicato la soluzione alternativa.
In una dichiarazione a ZDNet, VMware ha ribadito di aver rilasciato patch e linee guida per la mitigazione per affrontare più vulnerabilità che interessano VMware vCenter Server 6.5, 6.7 e 7.0. Hanno anche emesso un avviso di pubblica sicurezza.
“La protezione del cliente è la massima priorità di VMware e consigliamo vivamente ai clienti interessati di applicare immediatamente le patch come indicato nell'avviso. Come best practice, VMware incoraggia tutti i clienti ad applicare gli ultimi aggiornamenti del prodotto, le patch di sicurezza e le mitigazioni rese disponibili per i loro specifici ambiente e distribuire i nostri prodotti in una configurazione con protezione avanzata”, ha affermato la società.
“I clienti devono anche iscriversi alla mailing list di VMware Security-Announce per ricevere avvisi di sicurezza VMware nuovi e aggiornati.”
Derek Abdine, CTO di Censys, ha confermato a ZDNet di hanno dimostrato in modo affidabile che l'esecuzione remota è possibile e facile da eseguire.
“Posso confermare lo sfruttamento in-the-wild ora. Sembra che sia correlato alla seconda vulnerabilità che fa parte di CVE-2021-22005. Non ho visto prove di sfruttamento utilizzando l'endpoint hyper/send (l'altra parte di CVE-2021-22005), ma quell'endpoint è leggermente meno praticabile perché ha una condizione di prerequisito. L'endpoint /dataapp è più preoccupante in quanto non ci sono prerequisiti e si pensa che esista su più versioni di vCenter”, ha spiegato Abdine.
“Inoltre, l'esposizione interna è ancora un grosso problema. Ce ne sono un certo numero che si affacciano esternamente, ma non dovrebbe essere la norma. Molte organizzazioni hanno cluster VMware privati e questo problema rappresenterà comunque un rischio significativo per loro se un utente malintenzionato è in grado di sfruttare l'exploit internamente.”
Will Dormann, analista di vulnerabilità presso il CERT/CC, ha anche confermato su Twitter che l'exploit per CVE-2021-22005 è ora completamente pubblico.
Una mappa di dove si trovano tutti gli host VMware vCenter accessibili tramite Internet.
Censys
Secondo Bad Packets, gli host di Hong Kong, Vietnam, Paesi Bassi, Giappone, Singapore e altri paesi del mondo continuano a cercare la vulnerabilità.
Abdine ha notato che mentre una patch è disponibile da giorni, c'è un fenomeno di “saturazione delle patch” in cui le patch non raggiungono mai il 100%.
“Ad esempio, 5 giorni dopo la pubblicazione del post sul blog di Atlassian Confluence, abbiamo registrato solo un calo del 30% sul totale dei servizi di confluenza vulnerabili esposti. Quando di recente è emerso il problema di Western Digital My Book Live, abbiamo osservato la stessa cosa anche nello spazio consumer (rispetto al software aziendale per Confluence/VMware)”, ha affermato Abdine.
“Penso che ci siano ancora molti host là fuori che destano preoccupazione. Greynoise.io e Bad Packet stanno entrambi assistendo a scansioni opportunistiche che alcuni chiamano sfruttamento di massa. Tuttavia, da quello che posso dire finora, chiunque stia eseguendo queste richieste che vengono catturati da Greynoise e Bad Packets stanno semplicemente prelevando gli URL dalla ricerca della comunità (di Censys e @testanull su Twitter) e tentando di raggiungere gli URL per coloro che non hanno una conoscenza completa di come ottenere l'esecuzione.”
Ora che è stato rilasciato un exploit, Abdine ha aggiunto che le “porte si sono aperte”, consentendo a qualsiasi aggressore con competenze tecniche inferiori di eseguire uno sfruttamento di massa.
“Quindi, tutto sommato, non credo che siamo ancora fuori dai guai e, ancora una volta, è molto comune eseguire cluster VMware in data center interni accessibili solo tramite VPN aziendali. Le macchine virtuali dovrebbero continuare a funzionare. Tuttavia , le operazioni e la gestione che si ottengono con vCenter saranno assolutamente influenzate durante l'aggiornamento e potrebbero avere un impatto sulle operazioni per le organizzazioni che utilizzano regolarmente vCenter”, ha affermato Abdine.
John Bambenek, principale cacciatore di minacce di Netenrich, ha dichiarato a ZDNet che l'esecuzione di codice remoto come root su questi tipi di dispositivi è piuttosto significativa.
Quasi ogni organizzazione gestisce macchine virtuali e se un attore di minacce ha accesso root, potrebbe riscattare ogni macchina in quell'ambiente o rubare i dati su quelle macchine virtuali con relativa facilità, ha affermato Bambenek.
Altri esperti, come Alec Alvarado, capo del team di intelligence sulle minacce di Digital Shadows, hanno notato che gli attori delle minacce seguono le notizie tanto quanto i ricercatori di sicurezza. Alvarado ha fatto eco a quanto detto da Abdine, spiegando che gli attori meno sofisticati ora hanno la possibilità di sfruttare la vulnerabilità grazie al proof of concept.
Ma per Bud Broomhead, CEO di Viakoo, la situazione si è ridotta alla gestione delle patch.
“La gestione manuale delle patch mette a rischio un'organizzazione a causa della natura lenta (o inesistente) del processo, lasciando un'organizzazione vulnerabile”, ha affermato Broomhead.
Argomenti correlati:
Sicurezza Enterprise Software Virtualization Internet of Things Cloud 