Een werkende exploit voor CVE-2021-22005 — een kwetsbaarheid met VMware vCenter — is vrijgegeven en wordt naar verluidt gebruikt door bedreigingsactoren, volgens experts die het probleem volgen.
Vorige week waarschuwde VMware voor een kritieke kwetsbaarheid in de analyseservice van vCenter Server en drong het er bij gebruikers op aan hun systemen zo snel mogelijk bij te werken.
Op 21 september zei VMware dat zijn vCenter Server wordt getroffen door een willekeurige kwetsbaarheid voor het uploaden van bestanden in de Analytics-service, waardoor een kwaadwillende actor met netwerktoegang dit beveiligingslek zou kunnen misbruiken om code uit te voeren op vCenter-servers.
Op 24 september had VMware de berichten bevestigd dat CVE-2021-22005 in het wild werd uitgebuit en tientallen online beveiligingsonderzoekers rapporteerden massaal scannen op kwetsbare vCenter-servers en openbaar beschikbare exploitcodes.
CISA volgde vrijdag met zijn eigen waarschuwing en schreef op Twitter dat ze “wijdverbreide exploitatie van VMware vCenter Server CVE-2021-22005” verwachtten. Net als VMware drongen ze er bij gebruikers op aan zo snel mogelijk te upgraden naar een vaste versie of de tijdelijke oplossing van VMware toe te passen.
Diezelfde dag bracht cyberbeveiligingsbedrijf Censys een rapport uit waaruit bleek dat er ongeveer 3.264 hosts waren die internetgericht en mogelijk kwetsbaar waren. Meer dan 430 zijn gepatcht en 1.369 zijn niet-aangetaste versies of hebben de tijdelijke oplossing toegepast.
In een verklaring aan ZDNet herhaalde VMware dat het patches en mitigatierichtlijnen heeft uitgebracht om meerdere kwetsbaarheden aan te pakken die van invloed zijn op VMware vCenter Server 6.5, 6.7 en 7.0. Ze hebben ook een veiligheidsadvies uitgebracht.
“Klantbescherming heeft de hoogste prioriteit van VMware en we raden ten zeerste aan dat getroffen klanten onmiddellijk patchen zoals aangegeven in het advies. Als een kwestie van best practice moedigt VMware alle klanten aan om de nieuwste productupdates, beveiligingspatches en mitigaties toe te passen die beschikbaar zijn voor hun specifieke omgeving en implementeer onze producten in een beveiligde configuratie”, aldus het bedrijf.
“Klanten moeten zich ook aanmelden voor de Security-Announce-mailinglijst van VMware om nieuwe en bijgewerkte VMware-beveiligingsadviezen te ontvangen.”
Derek Abdine, CTO van Censys, bevestigde aan ZDNet dat ze hebben op betrouwbare wijze bewezen dat uitvoering op afstand mogelijk en eenvoudig is.
“Ik kan nu in-the-wild exploitatie bevestigen. Het lijkt erop dat het verband houdt met de tweede kwetsbaarheid die deel uitmaakt van CVE-2021-22005. Ik heb geen bewijs gezien van exploitatie met behulp van het hyper/send-eindpunt (het andere deel van CVE-2021-22005), maar dat eindpunt is iets minder levensvatbaar omdat het een vereiste voorwaarde heeft. Het /datapp-eindpunt is zorgwekkender omdat er geen vereisten zijn en het wordt verondersteld te bestaan op meer versies van vCenter, “legde Abdine uit.
“Bovendien is interne blootstelling nog steeds een groot probleem. Er zijn er nogal wat van deze extern gericht, maar dat zou niet de norm moeten zijn. Veel organisaties hebben private VMware-clusters en dit probleem zal nog steeds een aanzienlijk risico voor hen vormen als een aanvaller is in staat om de exploit intern te benutten.”
Will Dormann, kwetsbaarheidsanalist bij de CERT/CC, bevestigde ook op Twitter dat de exploit voor CVE-2021-22005 nu volledig openbaar is.
Een kaart van waar alle VMware vCenter-hosts die via internet toegankelijk zijn, zich bevinden.
Censys
Hosts uit Hong Kong, Vietnam, Nederland, Japan, Singapore en andere landen over de hele wereld blijven zoeken naar de kwetsbaarheid, volgens Bad Packets.
Abdine merkte op dat hoewel een pleister al dagen beschikbaar is, er een fenomeen van “pleisterverzadiging” is waarbij de pleister nooit echt 100% bereikt.
“Bijvoorbeeld, 5 dagen nadat de Atlassian Confluence-blogpost uitkwam, zagen we slechts een daling van 30% van de totale blootgestelde kwetsbare confluence-services. Toen de Western Digital My Book Live-uitgave onlangs verscheen, hebben we zag hetzelfde zelfs in de consumentenruimte (versus bedrijfssoftware voor Confluence/VMware),' zei Abdine.
“Ik denk dat er nog steeds genoeg hosts zijn die zich zorgen maken. Greynoise.io en Bad Packets zien beide opportunistische scans die sommigen massale uitbuiting noemen. Echter, van wat ik tot nu toe kan zien, wie deze verzoeken uitvoert die worden vastgelegd door Greynoise en Bad Packets halen eenvoudigweg URL's uit gemeenschapsonderzoek (door Censys en @testanull op Twitter) en proberen de URL's te vinden voor mensen zonder volledige praktische kennis van hoe ze uitvoering kunnen bereiken.”
Nu er een exploit is vrijgegeven, voegde Abdine eraan toe dat de “sluizen opengingen”, waardoor elke aanvaller met lagere technische vaardigheden massale exploitatie kan plegen.
“Dus al met al denk ik niet dat we uit het bos zijn – en nogmaals, het is heel gebruikelijk om VMware-clusters te draaien in interne datacenters die alleen toegankelijk zijn via VPN's van het bedrijf. Virtuele machines moeten blijven draaien. , zullen de operaties en het beheer dat je met vCenter krijgt absoluut worden beïnvloed terwijl de upgrade plaatsvindt, en kan dit waarschijnlijk gevolgen hebben voor de operaties voor organisaties die regelmatig vCenter gebruiken, “zei Abdine.
John Bambenek, principal threat hunter bij Netenrich, vertelde ZDNet dat het uitvoeren van externe code als root op dit soort apparaten behoorlijk belangrijk is.
Bijna elke organisatie exploiteert virtuele machines en als een bedreigingsacteur root-toegang heeft, kunnen ze met relatief gemak elke machine in die omgeving vrijkopen of de gegevens op die virtuele machines stelen, zei Bambenek.
Andere experts, zoals Alec Alvarado, leider van het Digital Shadows-team voor bedreigingsinformatie, merkten op dat dreigingsactoren het nieuws net zo goed volgen als beveiligingsonderzoekers. Alvarado herhaalde wat Abdine zei en legde uit dat minder geavanceerde acteurs nu een kans hebben om te profiteren van de kwetsbaarheid dankzij de proof of concept.
Maar voor Bud Broomhead, CEO van Viakoo, kwam de situatie neer op patchbeheer.
“Het handmatig beheren van patches brengt een organisatie in gevaar vanwege de trage (of niet-bestaande) aard van het proces, waardoor een organisatie kwetsbaar wordt”, aldus Broomhead.
Verwante onderwerpen:
Beveiliging Enterprise Software Virtualisatie Internet of Things Cloud 