مسلح به سو explo استفاده ، هکرها به دنبال یک آسیب پذیری مهم در VMware هستند


تصویر چراغ اضطراری قرمز روشن است

هکرها با آسیب پذیری اجرای کد تازه کشف شده ای که دارای درجه شدت 9.8 از 10 ممکن است ، اینترنت را به طور گسترده برای سرورهای VMware اسکن می کنند.

CVE-2021-21974 ، از آنجا که یک نقص امنیتی را ردیابی می کند ، یک آسیب پذیری اجرای کد از راه دور در سرور VMware vCenter ، یک برنامه Windows یا Linux است که مدیران برای فعال کردن و مدیریت مجازی سازی در شبکه های بزرگ استفاده می کنند. ظرف یک روز پس از انتشار پچ توسط VMware ، شواهدی از یک مفهوم از حداقل شش منبع مختلف ظاهر شد. شدت آسیب پذیری ، همراه با وجود سو working استفاده های م forثر برای ماشین های ویندوز و لینوکس ، هکرها را به مبارزه فعالانه برای یافتن سرورهای آسیب پذیر سوق داد.

محقق Troy Mursch از Bad Packets نوشت: “ما یک فعالیت اسکن گسترده یافتیم که سرورهای آسیب پذیر VMware vCenter را هدف قرار داده است (https://vmware.com/security/advisories/VMSA-2021-0002.html).”

مارش گفت موتور جستجوگر BinaryEdge تقریباً پیدا کرده است 15000 سرور vCenter در اینترنت کشف شده است ، در حالی که جستجوها در Shodan حدود 6،700 را نشان می دهد. هدف از اسکن گسترده این است که سرورهایی را که هنوز وصله ای که VMware روز سه شنبه منتشر کرده نصب نکرده است.

اجرای کد نامحدود ، بدون مجوز لازم است

محققان شرکت امنیتی Tenable گفتند که CVE-2021-21972 به یک هکر اجازه می دهد تا پرونده هایی را در سرورهای آسیب پذیر vCenter آپلود کند که از طریق پورت 443 در دسترس عموم است. سو explo استفاده های موفقیت آمیز منجر به هکرهایی می شود که امتیازات نامحدودی برای اجرای از راه دور کد در سیستم عامل اصلی دریافت می کنند. این آسیب پذیری ناشی از عدم احراز هویت در افزونه vRealize Operations است که به طور پیش فرض نصب شده است.

این نقص در سیستم ارزیابی آسیب پذیری نسخه 3.0 امتیاز 8.8 از 10.0 را دریافت کرد. Mikhail Klyuchnikov ، محقق فن آوری های مثبت که این آسیب پذیری را کشف کرد و آن را به صورت خصوصی به VMware گزارش داد ، خطر CVE-2021-21972 را با خطر CVE-2019-19781 مقایسه کرد ، این یک آسیب پذیری مهم در کنترل کننده تحویل برنامه Citrix است.

نقص سیتریکس سال گذشته در حملات باج افزارها به بیمارستان ها و طبق کیفرخواست کیفری وزارت دادگستری آمریکا در نفوذ به تولیدکنندگان بازی و نرم افزار توسط هکرهای مورد حمایت دولت چین ، به طور فعال مورد حمله قرار گرفت.

اوایل این هفته در یک پست وبلاگی ، کلیوشنیکوف نوشت:

به نظر ما ، آسیب پذیری RCE در سرور vCenter نمی تواند تهدیدی کمتر از آسیب پذیری رسوا در Citrix (CVE-2019-19781) باشد. این خطا به یک کاربر غیر مجاز اجازه می دهد تا یک درخواست خاص ساخته شده ارسال کند ، که بعداً به او امکان می دهد دستورات تصادفی را بر روی سرور اجرا کند. پس از دریافت چنین فرصتی ، مهاجم می تواند این حمله را توسعه دهد ، با موفقیت از طریق شبکه شرکتی پیمایش کند و به داده های ذخیره شده در سیستم حمله شده دسترسی پیدا کند (مانند اطلاعات مربوط به ماشین های مجازی و کاربران سیستم). اگر دسترسی به نرم افزار آسیب پذیر از طریق اینترنت امکان پذیر باشد ، این به مهاجم خارجی اجازه می دهد تا در محیط شرکت نفوذ کند و همچنین به داده های حساس دسترسی پیدا کند. یک بار دیگر می خواهم به این نکته اشاره کنم که این آسیب پذیری خطرناک است زیرا توسط هر کاربر غیرمجاز قابل استفاده است.

در اینجا محقق جزئیات فنی را ارائه داد.

فن آوری های مثبت

CVE-2021-21972 بر روی vCenter Server نسخه های 6.5 ، 6.7 و 7.01 تأثیر می گذارد. افرادی که یکی از این نسخه ها را اجرا می کنند باید در اسرع وقت به نسخه های 6.5 U3n ، 6.7 U3l یا 7.0 U1c به روز شوند. کسانی که نمی توانند بلافاصله پچ را نصب کنند باید این راه حل ها را اجرا کنند که شامل تغییر پرونده ماتریس سازگاری و تنظیم پلاگین vRealize بر روی ناسازگار است.




منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>