Исследователь опубликовал PoC-эксплоит сразу же после выхода исправления, не дав компаниям времени на его развертывание.
По данным Shodan, более 6,7 тыс. доступных через интернет серверов VMware vCenter уязвимы к новой атаке, позволяющей злоумышленникам захватывать контроль над необновленными устройствами и, как следствие, над внутренними сетями организаций.
Как эксперты ИБ-компании Bad Packets, они уже фиксируют попытки массового сканирования интернета в поисках установок VMware vCenter, содержащих уязвимость . Данная уязвимость затрагивает плагин vSphere Client (HTML5) и позволяет удаленно выполнять код. По шкале CVSS v3 проблема получила 9,8 балла из максимальных 10. Уязвимость совместно с CVE-2021-21973 была специалистом Positive Technologies Михаилом Ключниковым и исправлена 23 февраля 2021 года.
Сканирования начались в среду, 24 февраля, после китайским исследователем PoC-эксплоита для CVE-2021-21972. Выложив PoC-эксплоит в открытый доступ, исследователь не только не дал компаниям времени на развертывание исправлений, но и спровоцировал волну сканирований в поисках уязвимых систем VMware vCenter. Что еще хуже, эксплоит представляет собой однострочный запрос cURL, поэтому даже неопытные злоумышленники могут автоматизировать свои атаки.
Поскольку серверы VMware vCenter играют центральную роль в корпоративных сетях, их компрометация может позволить злоумышленникам получить доступ к любой подключенной к ним системе. Злоумышленники (известные как «брокеры доступа к сети») зачастую взламывают такие устройства, а затем доступ к ним на подпольных форумах операторам вымогательского ПО. Кроме того, такие киберпреступные группировки, как Darkside и RansomExx, еще в прошлом году начали атаковать системы VMware, демонстрируя, насколько эффективным может быть нацеливание на корпоративные сети на основе виртуальных машин.
По данным Shodan, более 6,7 тыс. доступных через интернет серверов VMware vCenter уязвимы к новой атаке, позволяющей злоумышленникам захватывать контроль над необновленными устройствами и, как следствие, над внутренними сетями организаций.
Как эксперты ИБ-компании Bad Packets, они уже фиксируют попытки массового сканирования интернета в поисках установок VMware vCenter, содержащих уязвимость . Данная уязвимость затрагивает плагин vSphere Client (HTML5) и позволяет удаленно выполнять код. По шкале CVSS v3 проблема получила 9,8 балла из максимальных 10. Уязвимость совместно с CVE-2021-21973 была специалистом Positive Technologies Михаилом Ключниковым и исправлена 23 февраля 2021 года.
Сканирования начались в среду, 24 февраля, после китайским исследователем PoC-эксплоита для CVE-2021-21972. Выложив PoC-эксплоит в открытый доступ, исследователь не только не дал компаниям времени на развертывание исправлений, но и спровоцировал волну сканирований в поисках уязвимых систем VMware vCenter. Что еще хуже, эксплоит представляет собой однострочный запрос cURL, поэтому даже неопытные злоумышленники могут автоматизировать свои атаки.
Поскольку серверы VMware vCenter играют центральную роль в корпоративных сетях, их компрометация может позволить злоумышленникам получить доступ к любой подключенной к ним системе. Злоумышленники (известные как «брокеры доступа к сети») зачастую взламывают такие устройства, а затем доступ к ним на подпольных форумах операторам вымогательского ПО. Кроме того, такие киберпреступные группировки, как Darkside и RansomExx, еще в прошлом году начали атаковать системы VMware, демонстрируя, насколько эффективным может быть нацеливание на корпоративные сети на основе виртуальных машин.
