< p class = "meta"> Av Liam Tung | 7. juni 2021 – 08:59 GMT (09:59 BST) | Emne: Sikkerhet
US Cybersecurity and Infrastructure Security Agency har advart selskaper som kjører VMware vCenter Server og VMware Cloud Foundation-programvare om å oppdatere så snart som mulig fordi angripere skanner internett etter sårbare servere.
VMware ga ut en oppdatering for to kritiske feil for ekstern kjøring av kode den 25. mai. De to feilene, sporet som CVE-2021-21985 og CVE-2021-21986, har en alvorlighetsgrad på 9,8 av 10. Feilene påvirker VMware vCenter Server ( vCenter Server) og VMware Cloud Foundation (Cloud Foundation).
CISA har nå advart om at de er “klar over sannsynligheten for at cybertrusselaktører prøver å utnytte CVE-2021-21985”. Det sa at organisasjoner burde bruke de nødvendige oppdateringene så snart som mulig, selv om det er behov for arbeid utenfor syklusen.
Som ZDNet rapporterte i forrige måned, påvirker CVE-2021-21985 vSphere HTML5-klienten og lar en angriper med nettverkstilgang til port 443 utnytte den til å utføre kommandoer fritt på det underliggende operativsystemet som er vert for vCenter Server og ta kontroll over det.
“Selv om lapper ble laget 25. mai 2021, forblir ikke-oppdaterte systemer et attraktivt mål, og angripere kan utnytte dette sårbarheten til å ta kontroll over et ikke-patchet system,” advarte CISA.
Via Ars Technica har Troy Mursch, en sikkerhetsforsker for Bad Packets, sporet massesøk etter feilene på internetteksponerte VMware vCenter-servere.
På lørdag rapporterte Mursch at han hadde sett utnyttelsesaktivitet ved å bruke et bevis på konseptutnyttelse rettet mot VMware vCenter-servere som huser CVE-2021-21985. Bad Packets kjører en honningpotte som inneholder servere med feilen.
CVE-2021-21985 utnytte aktivitet oppdaget fra 119.28.15.199 ( 🇭🇰) basert på denne PoC (https://t.co/qhBbHdOaK4) rettet mot vår VMware vCenter-honningpotte.
Spør API-en vår for “source_ip_address = 119.28.15.199” for full nyttelast og andre relevante indikatorer. #threatintel
– Bad Packets (@bad_packets) 5. juni 2021
VMware oppfordret kunder til å lappe berørte servere umiddelbart. Virksomheten til virtualiseringsprogramvaren advarte organisasjoner som har plassert sine vCenter-servere på nettverk som er eksponert for internett og dermed kanskje ikke har brannmurbeskyttelse – ofte den siste forsvarslinjen – om at de derfor bør revidere disse systemene for kompromiss.
“I denne tiden av ransomware er det tryggest å anta at en angriper allerede er inne i nettverket et sted, på et skrivebord og kanskje til og med kontroll over en brukerkonto. Derfor anbefaler vi sterkt å erklære en nødendring og lappe den så snart som mulig. , “Sto det tidligere.
CISA anbefalte administratorer gjennomgå VMwares VMSA-2021-010-rådgivning, blogginnlegg og vanlige spørsmål om problemet.
Beslektede emner:
Sikkerhet TV Data Management CXO Data Centers 