< p class="meta"> Von Liam Tung | 7. Juni 2021 — 08:59 GMT (09:59 BST) | Thema: Sicherheit
Die US-amerikanische Cybersecurity and Infrastructure Security Agency hat Unternehmen, die VMware vCenter Server- und VMware Cloud Foundation-Software verwenden, gewarnt, so schnell wie möglich zu aktualisieren, da Angreifer das Internet nach anfälligen Servern durchsuchen.
VMware hat am 25. Mai einen Patch für zwei kritische Fehler bei der Remote-Codeausführung veröffentlicht. Die beiden Fehler, die als CVE-2021-21985 und CVE-2021-21986 verfolgt werden, haben einen Schweregrad von 9,8 von 10. Die Fehler betreffen VMware vCenter Server ( vCenter Server) und VMware Cloud Foundation (Cloud Foundation).
Das CISA warnt nun, dass es sich “der Wahrscheinlichkeit bewusst ist, dass Akteure von Cyberbedrohungen versuchen, CVE-2021-21985 auszunutzen”. Unternehmen sollten die erforderlichen Updates so schnell wie möglich anwenden, auch wenn Arbeiten außerhalb des Zyklus erforderlich sind.
Wie ZDNet letzten Monat berichtete, betrifft CVE-2021-21985 den vSphere HTML5-Client und ermöglicht es einem Angreifer mit Netzwerkzugriff auf Port 443, diesen auszunutzen, um Befehle auf dem zugrunde liegenden Betriebssystem, das vCenter Server hostet, frei auszuführen und die Kontrolle darüber zu übernehmen.
“Obwohl Patches am 25. Mai 2021 erstellt wurden, bleiben ungepatchte Systeme ein attraktives Ziel und Angreifer können diese Sicherheitsanfälligkeit ausnutzen, um die Kontrolle über ein ungepatchtes System zu übernehmen”, warnte CISA.
Über Ars Technica verfolgt Troy Mursch, ein Sicherheitsforscher für Bad Packets, Massenscans nach Fehlern auf im Internet exponierten VMware vCenter-Servern.
Am Samstag berichtete Mursch, er habe Exploit-Aktivitäten bei einem Machbarkeitsnachweis-Exploit beobachtet, der auf VMware vCenter-Server abzielte, die CVE-2021-21985 beherbergen. Bad Packets führt einen Honeypot aus, der Server mit dem Fehler enthält.
CVE-2021-21985-Exploit-Aktivität erkannt von 119.28.15.199 (🇭🇰) basierend auf diesem PoC (https://t.co/qhBbHdOaK4), der auf unseren VMware vCenter-Honeypot abzielt.
Fragen Sie unsere API nach “source_ip_address= .” ab 119.28.15.199″ für volle Nutzlast und andere relevante Indikatoren. #threatintel
– Schlechte Pakete (@bad_packets) 5. Juni 2021
VMware forderte die Kunden auf, betroffene Server sofort zu patchen. Das Unternehmen für Virtualisierungssoftware warnte Unternehmen, die ihre vCenter Server in Netzwerken platziert haben, die dem Internet ausgesetzt sind und daher möglicherweise keinen Firewall-Schutz haben – oft die letzte Verteidigungslinie –, dass sie diese Systeme daher auf Kompromittierung überprüfen sollten.
< p>“In Zeiten von Ransomware ist es am sichersten, davon auszugehen, dass sich ein Angreifer bereits irgendwo im Netzwerk befindet, auf einem Desktop und vielleicht sogar die Kontrolle über ein Benutzerkonto hat, weshalb wir dringend empfehlen, sofort eine Notfalländerung und Patching zu verkünden wie möglich”, hieß es zuvor.
CISA empfahl Administratoren, die VMware-Beratung VMSA-2021-010, ihren Blogpost und die häufig gestellten Fragen zu diesem Problem zu lesen.
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 