В сети опубликован эксплоит для недавно исправленной RCE-уязвимости в VMware vCenter (CVE-2021-22005). Эксперты предупредили, что эксплоит уже взяли на вооружение хакеры.
О проблеме CVE-2021-22005 стало известно на прошлой неделе. Тогда инженеры VMware сообщили, что исправили баг и рекомендовали пользователям установить обновления как можно скорее, ведь уязвимость классифицируется как критическая и получила 9,8 балла из 10 возможных по шкале CVSS. Баг представляет опасность для машин с vCenter Server версий 6.7 и 7.0.
По информации ИБ-компании Bad Packets, сканирования сети в поисках уязвимых машин начались еще на прошлой неделе. Атаки исходили из Канады, США, Румынии, Нидерландов, Китая и Сингапура.
CVE-2021-22005 exploit activity detected from multiple hosts (?? ?? ?? ??) targeting our VMware vCenter honeypots.
— Bad Packets (@bad_packets) September 24, 2021
Activity is based on a PoC published earlier today.
Query our API for "tags=CVE-2021-22005" for full payload and other relevant indicators. #threatintel
Специалист Bad Packets Трой Мурш (Troy Mursch) рассказал журналистам Bleeping Computer, что в атаках, зафиксированных ханипотами компании, использовался код, основанный на неполном эксплоите, ранее опубликованном вьетнамским исследователем безопасности Янгом.
Янг изучил патч VMware и предложенные компанией способы обхода уязвимости, а затем опубликовал статью со своими выводами об уязвимости, а также PoC-эксплоит (который был неполон и не приводил к удаленному выполнению кода). Увы, этих подробностей оказалось достаточно, чтобы хакеры создали собственный работающий эксплоит для CVE-2021-22005, который позволяет удаленно выполнять код с root-правами.
Янг сообщил Bleeping Computer, что, по его мнению, злоумышленнику со средним уровнем подготовки потребуется около часа, чтобы создать работающую и надежную версию эксплоита. Он настоятельно рекомендует администраторам как можно скорее защититься от атак на CVE-2021-22005.
Исследователь также опубликовал видео, демонстрирующее, как злоумышленник может воспользоваться уязвимостью.
В настоящее время IoT-поисковики обнаруживают в интернете тысячи доступных экземпляров VMware vCenter Server. Так, Shodan находит более 5000 машин, а Censys около 6800. Разумеется, не все эти серверы уязвимы для CVE-2021-22005. К примеру, Censys отмечает, что 3264 хостов «потенциально уязвимы», а 436 уже установили исправления.
