VMware中的代码执行漏洞的严重等级为9.8(满分10)
黑客正在大规模扫描互联网,寻找具有新发现的代码执行漏洞的VMware服务器,该漏洞的严重等级为9.8(可能为10)。
跟踪到安全漏洞后,CVE-2021-21974是VMware vCenter服务器中的一个远程执行代码漏洞,该漏洞是Windows或Linux应用程序,管理员用来启用和管理大型网络的虚拟化。在VMware发行补丁的一天之内,至少有六个不同来源出现了概念验证漏洞。该漏洞的严重性,再加上Windows和Linux计算机都可以使用有效的利用程序,使得黑客争先恐后地主动寻找易受攻击的服务器。
“我们检测到针对易受攻击的VMware vCenter服务器的大规模扫描活动(https://vmware.com/security/advisories/VMSA-2021-0002.html),” Bad Packets的研究员Troy Mursch写道。
我们检测到针对易受攻击的VMware vCenter服务器(https://t.co/t3Gv2ZgTdt)的大规模扫描活动。在我们的API中查询" tags = CVE-2021-21972"有关指标和源IP地址。 #threatintel https://t.co/AcSZ40U5Gp
— Bad Packets(@bad_packets)2021年2月24日
Mursch说,BinaryEdge搜索引擎发现将近15,000个vCenter服务器暴露在Internet上,而Shodan搜索显示大约有6,700个。大规模扫描的目的是识别尚未安装该补丁的服务器,VMware于周二发布了该补丁。
安全公司Tenable的研究人员说,CVE-2021-21972允许黑客无权将文件上传到易受攻击的vCenter服务器,该服务器可通过端口443公开访问。成功的利用将导致黑客在底层操作系统中获得不受限制的远程代码执行特权。该漏洞源于默认安装的vRealize Operations插件中缺少身份验证。
在“通用漏洞评分系统3.0版”中,该漏洞的严重性得分为9.8(总分为10.0)。积极技术研究人员Mikhail Klyuchnikov发现了该漏洞并将其秘密报告给VMware,将CVE-2021-21972与Citrix Application Delivery Controller中的关键漏洞CVE-2019-19781所造成的风险进行了比较。
去年,在针对医院的勒索软件攻击中,Citrix漏洞受到了积极攻击,据美国司法部(Justice Department)提起的刑事起诉书称,中国政府支持的黑客入侵了游戏和软件制造商。我们认为,vCenter Server中的RCE漏洞构成的威胁与Citrix中的臭名昭著(CVE-2019-19781)一样。该错误允许未经授权的用户发送特制的请求,此请求稍后将使他们有机会在服务器上执行任意命令。收到这种机会后,攻击者可以发起此攻击,成功地穿越公司网络,并获得对存储在受攻击系统中的数据(例如有关虚拟机和系统用户的信息)的访问权限。如果可以从Internet访问易受攻击的软件,则这将使外部攻击者可以侵入公司的外部范围,还可以访问敏感数据。我再次要指出,此漏洞很危险,因为任何未经授权的用户都可以使用它。
CVE-2021-21972影响vCenter Server 6.5、6.7和7.01版本。运行这些版本之一的用户应尽快更新到6.5 U3n,6.7 U3l或7.0 U1c。那些无法立即安装补丁的用户应实施以下变通办法,其中包括更改兼容性列表文件并将vRealize插件设置为不兼容。将vCenter Server直接暴露给Internet的管理员应强烈考虑遏制这种做法,或者至少使用VPN。
