Хакер #305. Многошаговые SQL-инъекции
Специалисты VMware исправили несколько опасных уязвимостей в своих продуктах, при этом ИБ-эксперты предупреждают, что хакеры уже сканируют сеть в поисках уязвимых устройств.
Разработчики VMware поблагодарили эксперта компании Positive Technologies Михаила Ключникова за помощь в устранении сразу двух уязвимостей в vCenter Server. Эта платформа предназначена для централизованного управления и автоматизации VMware vSphere, ключевого продукта в современных центрах обработки данных.
Наиболее опасным из двух багов определенно является уязвимость CVE-2021-21972, получившая 9,8 баллов из 10 возможных по шкале CVSS v3. Проблема была обнаружена в составе vSphere Client (плагин для VMware vCenter).
Хуже того, по оценке Positive Technologies, более 90% устройств VMware vCenter находятся целиком внутри периметра компаний, однако часть из них все же доступна удаленно. Исследователи пишут, что таковых насчитывается более 6000 (около 6700, судя по статистике Shodan): четверть таких устройств находятся в США (26%), а затем следуют Германия (7%), Франция (6%), Китай (6%), Великобритания (4%), Канада (4%), Россия (3%), Тайвань (3%), Иран (3%), Италия (3%).
«На наш взгляд, RCE-уязвимость в vCenter Server может представлять не меньшую угрозу, нежели нашумевшая уязвимость Citrix (CVE-2019-19781), — рассказывает Михаил Ключников. — Ошибка позволяет неавторизованному пользователю отправить специально сформированный запрос, который впоследствии предоставит ему возможность выполнять произвольные команды на сервере. После получения такой возможности злоумышленник может развить атаку, успешно продвинуться по корпоративной сети и получить доступ к данным, хранящимся на атакуемой системе (информации о виртуальных машинах, о пользователях системы и т. д.). Если же доступ к уязвимому ПО есть из глобальной сети, то это позволит внешнему злоумышленнику преодолеть внешний периметр организации и также получить доступ к конфиденциальной информации. Еще раз хочется отметить, что уязвимость является опасной, так как ей может воспользоваться любой неавторизованный пользователь».
Эксперты пишут, что vCenter в своих сетях использует множество компаний, и изначально Positive Technologies намеревалась сохранить подробности об этой проблеме в тайне, чтобы дать системным администраторам больше времени на установку патчей.
Due to the amount of unpatched boxes, we've decided to hold back on publishing the PoC until somebody else releases one first. Once the exploit is public knowledge we'll also drop an article covering all of the technical details. Stay tuned!
— PT SWARM (@ptswarm) February 23, 2021
Однако китайские ИБ-эксперты уже опубликовали PoC-эксплоит для этой уязвимости, а вслед за этим в сети стали появляться и другие вариации на эту тему. По сути, эксплоитом для этой ошибки служит однострочный запрос cURL, то есть с такой справится даже новичок. В итоге экспертам пришлось раскрыть детали уязвимости раньше времени, и теперь специалисты предупреждают, что злоумышленники уже сканируют интернет в поисках уязвимых устройств.
We've detected mass scanning activity targeting vulnerable VMware vCenter servers (https://t.co/t3Gv2ZgTdt).
— Bad Packets (@bad_packets) February 24, 2021
Query our API for "tags=CVE-2021-21972" for relevant indicators and source IP addresses. #threatintel https://t.co/AcSZ40U5Gp
Вторая исправленная на этой неделе уязвимость (CVE-2021-21973 с оценкой 5,3 по шкале CVSS3) позволяет неавторизованному пользователю отправлять запросы от имени атакуемого сервера. Этот баг может помочь злоумышленнику в развитии дальнейших атак. В частности он получает возможность сканировать внутреннюю сеть организации и собирать данные об открытых портах различных сервисов.
Эксперты Positive Technologies рекомендуют в обязательном порядке установить вышедшие обновления, а также убрать интерфейсы vCenter Server с периметра организаций, если они там есть, а во внутренней сети — выделить их в отдельный VLAN с ограниченным списком доступа.