En fungerende udnyttelse til CVE-2021-22005-en sårbarhed med VMware vCenter-er blevet frigivet og bruges efter sigende af trusselsaktører ifølge eksperter, der sporer problemet.
I sidste uge advarede VMware mod en kritisk sårbarhed i vCenter Server's analytics service og opfordrede brugerne til at opdatere deres systemer hurtigst muligt.
Den 21. september sagde VMware, at dens vCenter Server er påvirket af en vilkårlig sårbarhed over filoverførsel i Analytics -tjenesten, som ville give en ondsindet aktør med netværksadgang mulighed for at udnytte denne sårbarhed til at udføre kode på vCenter -servere.
Senest den 24. september havde VMware bekræftet rapporter om, at CVE-2021-22005 blev udnyttet i naturen, og snesevis af sikkerhedsforskere online rapporterede massescanning efter sårbare vCenter-servere og offentligt tilgængelige exploit-koder.
CISA fulgte op med sin egen advarsel fredag og skrev på Twitter, at de forventede “udbredt udnyttelse af VMware vCenter Server CVE-2021-22005.” Ligesom VMware opfordrede de brugerne til at opgradere til en fast version så hurtigt som muligt eller anvende den midlertidige løsning, der leveres af VMware.
Samme dag offentliggjorde cybersikkerhedsfirmaet Censys en rapport, der viste, at der var omkring 3.264 værter, der er internetvendte og potentielt sårbare. Mere end 430 var blevet lappet, og 1.369 er enten upåvirkede versioner eller har en løsning, der er anvendt.
I en erklæring til ZDNet gentog VMware, at den har frigivet patches og vejledende foranstaltninger til at håndtere flere sårbarheder, der påvirker VMware vCenter Server 6.5, 6.7 og 7.0. De har også udsendt en offentlig sikkerhedsrådgivning.
“Kundebeskyttelse er VMwares højeste prioritet, og vi anbefaler på det kraftigste, at berørte kunder lapper med det samme som angivet i rådgivningen. Som en god praksis opfordrer VMware alle kunder til at anvende de nyeste produktopdateringer, sikkerhedsrettelser og afbødninger, der er stillet til rådighed for deres specifikke miljø og implementere vores produkter i en sikkerhedshærdet konfiguration, “sagde virksomheden.
“Kunder bør også tilmelde sig VMware's Security-Announce mailing list for at modtage nye og opdaterede VMware Security Advisories.”
Derek Abdine, CTO for Censys, bekræftede over for ZDNet, at de har pålideligt bevist, at fjernudførelse er mulig og let at gøre.
“Jeg kan bekræfte in-the-wild udnyttelse nu. Det ser ud til at det er relateret til den anden sårbarhed, der er en del af CVE-2021-22005. Jeg har ikke set tegn på udnyttelse ved hjælp af hyper/send-slutpunktet (den anden del af CVE-2021-22005), men det endepunkt er lidt mindre levedygtigt, fordi det har en forudsætningstilstand. /Datapp-slutpunktet er mere bekymrende, da der ikke er nogen forudsætninger, og det menes at eksistere på flere versioner af vCenter, “forklarede Abdine.
“Også intern eksponering er stadig en stor ting. Der er en hel del af disse udefra, men det burde ikke være normen. Mange organisationer har private VMware -klynger, og dette problem vil stadig udgøre en betydelig risiko for dem, hvis en angriber er i stand til at udnytte udnyttelsen internt. “
Will Dormann, sårbarhedsanalytiker ved CERT/CC, bekræftede også på Twitter, at udnyttelsen til CVE-2021-22005 nu er fuldt ud offentlig.
Et kort over, hvor alle VMware vCenter -værter, der er tilgængelige via internettet, er placeret.
Censys
Værter fra Hong Kong, Vietnam, Holland, Japan, Singapore og andre lande over hele kloden fortsætter med at scanne efter sårbarheden ifølge Bad Packets.
Abdine bemærkede, at mens en patch har været tilgængelig i flere dage, er der et “patch saturation” -fænomen, hvor patching aldrig rigtig når 100%.
“For eksempel 5 dage efter at Atlassian Confluence -blogindlægget gik ud, så vi kun et fald på 30% på de samlede udsatte sårbare konfluensservices. Da Western Digital My Book Live -problemet kom for nylig, vi observerede det samme selv i forbrugerrummet (kontra virksomhedssoftware til Confluence/VMware), “sagde Abdine.
“Jeg tror, at der stadig er masser af værter derude, der er bekymrede. Greynoise.io og Bad Packets ser begge opportunistisk scanning, som nogle kalder masseudnyttelse. Men hvad jeg hidtil kan fortælle, hvem der kører disse anmodninger om, at er fanget af Greynoise, og Bad Packets løfter simpelthen webadresser fra fællesskabsforskning (af Censys og @testanull på Twitter) og forsøger at ramme webadresserne for dem uden fuldt kendskab til, hvordan man opnår udførelse. ”
Nu hvor en udnyttelse er frigivet, tilføjede Abdine, at “sluserne åbnede”, så enhver angriber med lavere tekniske færdigheder kunne udføre masseudnyttelse.
“Så alt i alt tror jeg ikke, vi er ude af skoven endnu – og igen er det meget almindeligt at køre VMware -klynger i interne datacentre, der kun er tilgængelige via virksomhedens VPN'er. Virtuelle maskiner skal fortsat køre. Dog , den drift og ledelse, du får med vCenter, vil absolut blive påvirket, mens opgraderingen finder sted, og kan sandsynligvis påvirke driften for organisationer, der regelmæssigt bruger vCenter, “sagde Abdine.
John Bambenek, hovedtrusselsjæger hos Netenrich, fortalte ZDNet, at fjernudførelse af kode som root på disse typer enheder er temmelig betydelig.
Næsten hver organisation driver virtuelle maskiner, og hvis en trusselsaktør har root -adgang, kan de løse alle maskiner i det miljø eller stjæle dataene på de virtuelle maskiner med relativ lethed, sagde Bambenek.
Andre eksperter, som f.eks. Digital Shadows -trussel -efterretningsteam, leder Alec Alvarado, bemærkede, at trusselsaktører følger nyhederne lige så meget som sikkerhedsforskere. Alvarado gentog, hvad Abdine sagde, og forklarede, at mindre sofistikerede aktører nu har en chance for at udnytte sårbarheden takket være proof of concept.
Men for Bud Broomhead, administrerende direktør i Viakoo, kogte situationen ned til patch management.
“Håndtering af programrettelser manuelt efterlader en organisation i fare på grund af procesens langsomme (eller ikke-eksisterende) karakter, hvilket efterlader en organisation sårbar,” sagde Broomhead.
Relaterede emner:
Security Enterprise Software Virtualization Internet of Things Cloud 