En fungerende utnyttelse for CVE-2021-22005-et sårbarhet med VMware vCenter-er utgitt og skal angivelig bli brukt av trusselaktører, ifølge eksperter som sporer problemet.
I forrige uke advarte VMware om et kritisk sårbarhet i analysetjenesten til vCenter Server og oppfordret brukerne til å oppdatere systemene sine så snart som mulig.
September sa VMware at vCenter Server er påvirket av et vilkårlig sårbarhet ved opplasting av filer i Analytics -tjenesten, noe som vil tillate en ondsinnet aktør med nettverkstilgang å utnytte dette sikkerhetsproblemet til å utføre kode på vCenter -servere.
Innen 24. september hadde VMware bekreftet rapporter om at CVE-2021-22005 ble utnyttet i naturen og dusinvis av sikkerhetsforskere på nettet rapporterte om masseskanning etter sårbare vCenter-servere og offentlig tilgjengelige utnyttelseskoder.
CISA fulgte opp med sin egen advarsel fredag og skrev på Twitter at de forventet “utbredt utnyttelse av VMware vCenter Server CVE-2021-22005.” I likhet med VMware oppfordret de brukerne til å oppgradere til en fast versjon så raskt som mulig eller bruke den midlertidige løsningen levert av VMware.
Samme dag ga cybersikkerhetsselskapet Censys ut en rapport som viser at det var rundt 3264 verter som er vendt mot internett og potensielt sårbare. Mer enn 430 hadde blitt lappet og 1 369 er enten upåvirket versjon eller du kan bruke løsningen.
I en uttalelse til ZDNet gjentok VMware at den har gitt ut oppdateringer og veiledning for å løse flere sårbarheter som påvirker VMware vCenter Server 6.5, 6.7 og 7.0. De har også gitt en offentlig sikkerhetsrådgivning.
“Kundebeskyttelse er VMware topp prioritet, og vi anbefaler på det sterkeste at berørte kunder oppdaterer umiddelbart som angitt i veiledningen. Som en god praksis oppfordrer VMware alle kunder til å bruke de siste produktoppdateringene, sikkerhetsoppdateringene og begrensningene som er gjort tilgjengelig for deres spesifikke miljøet og distribuer produktene våre i en sikkerhetsherdet konfigurasjon, “sa selskapet.
“Kunder bør også registrere seg for VMware's Security-Announce mailing list for å motta nye og oppdaterte VMware Security Advisories.”
Derek Abdine, CTO i Censys, bekreftet overfor ZDNet at de har pålitelig bevist at ekstern kjøring er mulig og lett å gjøre.
“Jeg kan bekrefte utnyttelse i naturen nå. Det ser ut til at det er relatert til det andre sikkerhetsproblemet som er en del av CVE-2021-22005. Jeg har ikke sett bevis på utnyttelse ved bruk av hyper/send-endepunktet (den andre delen av CVE-2021-22005), men det endepunktet er litt mindre levedyktig fordi det har en forutsetningstilstand. /Datapp-endepunktet er mer bekymrende, da det ikke er noen forutsetninger og det antas å eksistere på flere versjoner av vCenter, “forklarte Abdine.
“Også intern eksponering er fortsatt en stor sak. Det er ganske mange av disse som vender eksternt, men det bør ikke være normen. Mange organisasjoner har private VMware -klynger, og dette problemet vil fortsatt utgjøre en betydelig risiko for dem hvis en angriper er i stand til å utnytte utnyttelsen internt. “
Will Dormann, sårbarhetsanalytiker ved CERT/CC, bekreftet også på Twitter at utnyttelsen for CVE-2021-22005 nå er fullt offentlig.
Et kart over hvor alle VMware vCenter -verter som er tilgjengelige via Internett, befinner seg.
Censys
Verter fra Hong Kong, Vietnam, Nederland, Japan, Singapore og andre land over hele verden fortsetter å søke etter sårbarheten, ifølge Bad Packets.
Abdine bemerket at mens en lapp har vært tilgjengelig i flere dager, er det et “patch metning” -fenomen der lappingen aldri når 100%.
“For eksempel, 5 dager etter at blogginnlegget Atlassian Confluence gikk ut, så vi bare en nedgang på 30% på totalt utsatte sårbare konfluensstjenester. Da Western Digital My Book Live -problemet kom opp nylig, vi observerte det samme selv i forbrukerområdet (kontra bedriftsprogramvare for Confluence/VMware), “sa Abdine.
“Jeg tror det fortsatt er mange verter der ute som bekymrer. Greynoise.io og Bad Packets ser begge opportunistisk skanning som noen kaller masseutnyttelse. Men fra det jeg kan fortelle så langt, er det den som driver disse forespørslene om at blir fanget opp av Greynoise og Bad Packets løfter ganske enkelt nettadresser fra samfunnsforskning (av Censys og @testanull på Twitter) og prøver å treffe nettadressene for de uten full kunnskap om hvordan de skal oppnå utførelse. ”
Nå som en utnyttelse er frigitt, la Abdine til at “flomportene åpnet”, slik at enhver angriper med lavere tekniske ferdigheter kan utføre masseutnyttelse.
“Så alt i alt tror jeg ikke vi er ute av skogen ennå – og igjen er det veldig vanlig å kjøre VMware -klynger i interne datasentre som bare er tilgjengelige via selskapets VPN -er. Virtuelle maskiner bør fortsette å kjøre. Men , driften og ledelsen du får med vCenter vil absolutt bli påvirket mens oppgraderingen finner sted, og kan trolig påvirke operasjoner for organisasjoner som regelmessig bruker vCenter, sier Abdine.
John Bambenek, den viktigste trusseljegeren på Netenrich, sa til ZDNet at ekstern kjøring av kode som rot på denne typen enheter er ganske betydelig.
Nesten alle organisasjoner driver virtuelle maskiner, og hvis en trusselaktør har root -tilgang, kan de løse alle maskiner i det miljøet eller stjele dataene på de virtuelle maskinene relativt enkelt, sa Bambenek.
Andre eksperter, som Digital Shadows trussel etterretningsteam Alec Alvarado, bemerket at trusselaktører følger nyhetene like mye som sikkerhetsforskere. Alvarado gjentok det Abdine sa, og forklarte at mindre sofistikerte aktører nå har en sjanse til å dra fordel av sårbarheten takket være beviset på konseptet.
Men for Bud Broomhead, administrerende direktør i Viakoo, kokte situasjonen ned til patch management.
“Administrering av oppdateringer manuelt setter en organisasjon i fare på grunn av prosessens langsomme (eller ikke-eksisterende) karakter, og etterlater en organisasjon sårbar,” sa Broomhead.
Relaterte emner:
Security Enterprise Software Virtualization Internet of Things Cloud 