Специалисты предупредили, что злоумышленники уже активно сканируют сеть в поисках серверов VMware vCenter, уязвимых перед исправленной недавно критической RCE-проблемой CVE-2021-21985, набравшей 9,8 баллов из 10 по шкале оценки уязвимостей CVSS v3.
О начавшихся сканированиях пишут аналитики компании Bad Packets, а также известный ИБ-эксперт Кевин Бомонт.
Mass scanning activity detected from 104.40.252.159 (??) checking for VMware vSphere hosts vulnerable to remote code execution (CVE-2021-21985).
— Bad Packets (@bad_packets) June 3, 2021
Vendor advisory: https://t.co/D0aWkbQMPT#threatintel
I am also seeing scanning of this VMware vCenter vulnerability in my honeypots in past day. https://t.co/qrL9SG2E7P
— Kevin Beaumont (@GossiTheDog) June 4, 2021
По данным поисковика Shodan, в настоящее время в сети можно обнаружить несколько тысяч уязвимых серверов vCenter. И нужно понимать, что этим продуктом не пользуются частные лица и даже мелкий бизнес, то есть речь идет о крупных компаниях и организациях.
Напомню, что проблема CVE-2021-21985 была обнаружена в подключаемом модуле Virtual SAN Health Check, включенном в состав vCenter по умолчанию. Злоумышленник может использовать этот баг для запуска всего, чего только пожелает, на уязвимом хосте (при условии, что сможет получить доступ к порту 443). То есть эксплуатировать проблему могут неаутентифицированные злоумышленники, причем такие атаки не требуют никакого взаимодействия с пользователем.
Хуже того, в сети уже опубликованы эксплоиты для этого бага.
Quick confirm that this is the real PoC of CVE-2021-21985 ? pic.twitter.com/jsXKFf1lZZ
— Janggggg (@testanull) June 3, 2021
Так как в прошлом подобные уязвимости не раз использовались для разрушительных атак (как правило, вымогательских) на крупные компании, представители VMware опубликовали официальное предупреждение для своих клиентов. В заявлении компания призывает своевременно устанавливать обновления, а также быть начеку и опасаться атак шифровальщиков:
«В эпоху программ-вымогателей безопаснее всего предполагать, что злоумышленник уже находится где-то в сети, на рабочем столе или, возможно, уже контролирует учетную запись пользователя. Поэтому мы настоятельно рекомендуем установить экстренное обновление и патчи как можно быстрее».
