Ett fungerande utnyttjande för CVE-2021-22005-en sårbarhet med VMware vCenter-har släppts och används enligt uppgift av hotaktörer, enligt experter som spårar problemet.
Förra veckan varnade VMware för en kritisk sårbarhet i analystjänsten för vCenter Server och uppmanade användare att uppdatera sina system så snart som möjligt.
Den 21 september sa VMware att dess vCenter Server påverkas av en godtycklig sårbarhet för filöverföring i Analytics -tjänsten som skulle göra det möjligt för en skadlig aktör med nätverksåtkomst att utnyttja denna sårbarhet för att köra kod på vCenter -servrar.
Vid den 24 september hade VMware bekräftat rapporter om att CVE-2021-22005 utnyttjades i naturen och dussintals säkerhetsforskare online rapporterade massskanning efter sårbara vCenter-servrar och allmänt tillgängliga exploateringskoder.
CISA följde upp med sin egen varning på fredagen och skrev på Twitter att de förväntade sig “omfattande utnyttjande av VMware vCenter Server CVE-2021-22005.” Precis som VMware uppmanade de användare att uppgradera till en fast version så snabbt som möjligt eller tillämpa den tillfälliga lösningen som tillhandahålls av VMware.
Samma dag släppte cybersäkerhetsföretaget Censys en rapport som visar att det fanns cirka 3 264 värdar som är Internet-vända och potentiellt sårbara. Mer än 430 hade patchats och 1369 är antingen opåverkade versioner eller har lösningen tillämpad.
I ett uttalande till ZDNet upprepade VMware att det har släppt patchar och vägledning för att åtgärda flera sårbarheter som påverkar VMware vCenter Server 6.5, 6.7 och 7.0. De har också utfärdat en allmän säkerhetsrådgivning.
“Kundskydd är VMwares högsta prioritet, och vi rekommenderar starkt att de berörda kunderna lappar omedelbart enligt anvisningarna. Som en fråga om bästa praxis uppmuntrar VMware alla kunder att tillämpa de senaste produktuppdateringarna, säkerhetsuppdateringarna och begränsningarna som görs tillgängliga för deras specifika miljö och distribuera våra produkter i en säkerhetshärdad konfiguration, säger företaget.
“Kunder bör också registrera sig för VMware's Security-Announce e-postlista för att få nya och uppdaterade VMware Security Advisories.”
Derek Abdine, CTO på Censys, bekräftade för ZDNet att de har pålitligt bevisat att fjärrkörning är möjlig och enkel att göra.
“Jag kan bekräfta in-the-wild exploatering nu. Det ser ut som att det är relaterat till den andra sårbarheten som ingår i CVE-2021-22005. Jag har inte sett tecken på utnyttjande med hjälp av hyper/send-slutpunkten (den andra delen av CVE-2021-22005), men den slutpunkten är något mindre livskraftig eftersom den har ett förutsättningskrav. /Datapp-slutpunkten är mer oroande eftersom det inte finns några förutsättningar och det antas finnas på fler versioner av vCenter, “förklarade Abdine.
“Dessutom är intern exponering fortfarande en stor grej. Det finns ganska många av dessa externt, men det borde inte vara normen. Många organisationer har privata VMware -kluster, och denna fråga kommer fortfarande att utgöra en betydande risk för dem om en angripare kan utnyttja utnyttjandet internt. “
Will Dormann, sårbarhetsanalytiker vid CERT/CC, bekräftade också på Twitter att utnyttjandet för CVE-2021-22005 nu är helt offentligt.
En karta över var alla VMware vCenter -värdar tillgängliga via Internet finns.
Censys
Värdar från Hong Kong, Vietnam, Nederländerna, Japan, Singapore och andra länder över hela världen fortsätter att söka efter sårbarheten, enligt Bad Packets.
Abdine noterade att medan ett plåster har varit tillgängligt i flera dagar finns det ett “patch saturation” -fenomen där patching aldrig riktigt når 100%.
“Till exempel, fem dagar efter att blogginlägget Atlassian Confluence gick ut såg vi bara en minskning med 30% på totalt exponerade sårbara sammanflödestjänster. När Western Digital My Book Live -problemet kom upp nyligen, vi observerade samma sak även i konsumentutrymmet (kontra företagsprogramvara för Confluence/VMware), säger Abdine.
“Jag tror att det fortfarande finns många värdar där ute som oroar. Greynoise.io och Bad Packets ser båda opportunistisk genomsökning som vissa kallar för massutnyttjande. Men vad jag hittills kan berätta är den som kör dessa begäranden att fångas upp av Greynoise och dåliga paket lyfter helt enkelt webbadresser från gemenskapsforskning (av Censys och @testanull på Twitter) och försöker träffa webbadresserna för dem utan fullständig kunskap om hur man uppnår utförande. ”
Nu när en exploatering har släppts tillade Abdine att “slussarna öppnades”, så att alla angripare med lägre teknisk kompetens kan utföra massutnyttjande.
“Så sammantaget tror jag inte att vi är ute ur skogen ännu – och återigen är det väldigt vanligt att köra VMware -kluster i interna datacenter som endast är tillgängliga via företags VPN: er. Virtuella maskiner bör fortsätta att köras. Men , den verksamhet och hantering du får med vCenter kommer absolut att påverkas medan uppgraderingen sker, och kan sannolikt påverka verksamheten för organisationer som regelbundet använder vCenter, säger Abdine.
John Bambenek, huvudhotsjägare på Netenrich, berättade för ZDNet att fjärrkörning av kod som rot på dessa typer av enheter är ganska betydande.
Nästan varje organisation driver virtuella maskiner och om en hotaktör har root -åtkomst kan de lösa in alla maskiner i den miljön eller stjäla data på de virtuella maskinerna relativt enkelt, sa Bambenek.
Andra experter, som Digital Shadows hot intelligence team leder Alec Alvarado, noterade att hotaktörer följer nyheterna lika mycket som säkerhetsforskare. Alvarado ekade vad Abdine sa och förklarade att mindre sofistikerade aktörer nu har en chans att dra nytta av sårbarheten tack vare beviset på konceptet.
Men för Bud Broomhead, VD på Viakoo, kokade situationen ner till patchhantering.
“Att hantera patchar manuellt lämnar en organisation i fara på grund av processens långsamma (eller obefintliga) karaktär, vilket gör en organisation sårbar”, säger Broomhead.
Relaterade ämnen:
Security Enterprise Software Virtualization Internet of Things Cloud 