針對前天VMware修補的一個關鍵的任意文件上傳漏洞,黑客團體正在針對全球未修補的暴露于互聯(lián)網(wǎng)的VMware vCenter服務器,,該漏洞會導致遠程代碼執(zhí)行,。
被定義為CVE-2021-22005(CVSS 3.1嚴重性等級為9.8/10)的高危安全漏洞,,會影響所有具有默認配置的VMware vCenter Server6.7和7.0部署。攻擊者可以利用該安全漏洞通過上傳特制文件在未修補的vCenter Server部署上執(zhí)行命令和軟件,。
該漏洞由SolidLab LLC的George Noseevich和 Sergey Gerasimov報告,,未經(jīng)身份驗證的攻擊者可以在低復雜度攻擊中遠程利用它,而無需用戶交互,。
補丁發(fā)布后數(shù)小時黑客就開始掃描
雖然漏洞利用代碼尚未公開,,但威脅情報公司Bad Packets已經(jīng)發(fā)現(xiàn)了正在進行的掃描活動 ,其中一些VMware蜜罐記錄了攻擊者在VMware發(fā)布安全更新幾個小時后探測關鍵漏洞的存在,。
“從116[.]48.233.234檢測到CVE-2021-22005掃描活動,,”Bad Packets在今天早些時候發(fā)推文,后來補充說,,掃描使用的是VMware為無法立即修補其設備的客戶提供的解決方法信息,。
根據(jù)用于聯(lián)網(wǎng)設備的Shodan搜索引擎,目前,,數(shù)以千計的潛在易受攻擊的 vCenter服務器可通過互聯(lián)網(wǎng)訪問并受到攻擊 ,。
易受攻擊的VMware vCenter服務器 (Shodan)
這不是黑客第一次掃描和攻擊易受攻擊的VMware vCenter服務器,。
今年2月,, 在安全研究人員發(fā)布了另一個影響所有默認vCenter安裝的關鍵 RCE 安全漏洞 (CVE-2021-21972) 的概念驗證 (PoC) 漏洞利用代碼后,黑客大規(guī)模掃描了未打補丁的vCenter設備,。
今年6月,,在線發(fā)布漏洞利用代碼后,黑客開始掃描暴露于互聯(lián)網(wǎng)的VMware vCenter服務器,,這些服務器容易受到CVE-2021-21985 RCE漏洞的攻擊,。
VMware警告即將到來的利用嘗試
這些正在進行的掃描是在VMware前天發(fā)布的警告之后進行的,對此我們以強調(diào)盡快針對CVE-2021-22005漏洞修補服務器的重要性,。
VMware技術營銷架構師Bob Plankers表示: “無論vCenter Server的配置設置如何,,任何可以通過網(wǎng)絡訪問vCenter Server以獲取訪問權限的人都可以利用此漏洞 ?!?/p>
“在這個勒索軟件時代,,最安全的做法是假設攻擊者已經(jīng)在您的網(wǎng)絡中某處,在桌面上,,甚至可能控制著用戶帳戶,,這就是為什么我們強烈建議您盡快宣布緊急更改和修補程序?!?/p>
該公司提供了一種臨時解決方法,, 要求管理員編輯虛擬設備上的文本文件并手動重新啟動服務或使用腳本刪除漏洞利用向量。
VMware還發(fā)布了一份詳細的FAQ文檔,,其中包含有關CVE-2021-22005 缺陷漏洞的其他問題和答案,。
“立即修復,!此漏洞的后果很嚴重,并且在公開可用的漏洞利用之前可能是時間問題 - 可能是幾分鐘后,,” VMware補充道,。
“隨著勒索軟件的威脅如今迫在眉睫,最安全的立場是假設攻擊者可能已經(jīng)通過使用網(wǎng)絡釣魚或魚叉式網(wǎng)絡釣魚等技術控制了桌面和用戶帳戶并采取相應行動,。
”這意味著攻擊者可能已經(jīng)能夠從企業(yè)防火墻內(nèi)部訪問vCenter Server,,時間至關重要?!?/p>