29/09/21
Готовый эксплоит для уязвимости удаленного выполнения кода в VMware vCenter ( CVE-2021-22005 ) теперь широко доступен, чем и пользуются киберпреступники.
В отличие от версии, выложенной в интернет в конце прошлой недели, новый вариант эксплоита может использоваться для открытия на уязвимой системе обратной оболочки, позволяющей удаленно выполнить произвольный код.
С помощью уязвимости злоумышленник может загружать файлы в аналитический сервис vCenter Server без какой-либо авторизации.
Разработчик эксплоитов wvu выпустил неотредактированный эксплоит для CVE-2021-22005, работающий на конечных точках с включенным компонентом Customer Experience Improvement Program (CEIP), который обычно включен по умолчанию.
Однако, по словам VMware, проэксплуатировать уязвимость может "каждый, кто имеет доступ к vCenter Server по сети, независимо от настроек конфигурации".
В своем техническом анализе wvu подробно рассказал о том, что его код делает на каждом этапе, начиная с запросов, создающих необходимую для обхода каталога директорию, и планирования развертывания обратной оболочки.
Как отмечает исследователь, хотя эксплоит генерирует множество файлов, атака не фиксируется стандартными решениями безопасности, поэтому он рекомендовал использовать Audit Framework, который собирает данные как о событиях безопасности, так и о событиях, с безопасностью не связанных.
VMware раскрыла CVE-2021-22005 21 сентября нынешнего года. Проблема получила оценку опасности 9,8 из максимальных 10. В опубликованном на прошлой неделе уведомлении безопасности Агентства кибербезопасности и безопасности инфраструктуры (CISA) призвала организации критической инфраструктуры, использующие серверы vCenter, приоритизировать обновления этих машин или применить временные решения.
Через несколько дней после выхода уведомления CISA в интернете появился первый PoC-эксплоит. В своем оригинальном виде он был нефункциональным, так что малоопытные скрипт-кидди воспользоваться им не могли. Тем не менее, обладающие специальными навыками хакеры вполне были способны превратить его в рабочий инструмент для удаленного выполнения кода.
Злоумышленники начали проявлять интерес к уязвимости всего через несколько часов после ее раскрытия производителем. Теперь, когда доступен полноценный эксплоит, ряды атакующих пополнятся малоопытными хакерами и число атак, в том числе с использованием вымогательского ПО, возрастет.
