Peretas memindai Internet secara massal untuk mencari server VMware dengan kerentanan eksekusi kode yang baru diungkapkan yang memiliki peringkat keparahan 9,8 dari kemungkinan 10.
CVE-2021-21974, sebagai kelemahan keamanan dilacak, adalah kerentanan eksekusi kode jarak jauh di server VMware vCenter, aplikasi untuk Windows atau Linux yang digunakan administrator untuk mengaktifkan dan mengelola virtualisasi jaringan besar.
Dalam hari VMware mengeluarkan patch , bukti-of-konsep eksploitasi muncul dari pada setidaknya enam berbeda sumber .
Tingkat keparahan kerentanan, dikombinasikan dengan ketersediaan eksploitasi yang berfungsi untuk mesin Windows dan Linux, membuat peretas berebut untuk secara aktif menemukan server yang rentan.
“Kami telah mendeteksi aktivitas pemindaian massal yang menargetkan server VMware vCenter yang rentan ( https://vmware.com/security/advisories/VMSA-2021-0002.html ),” tulis peneliti Troy Mursch dari Bad Packets.
Mursch mengatakan bahwa mesin pencari BinaryEdge menemukan hampir 15.000 server vCenter terpapar ke Internet, sementara pencarian Shodan mengungkapkan sekitar 6.700 .
Pemindaian massal bertujuan untuk mengidentifikasi server yang belum menginstal patch, yang dirilis VMware pada hari Selasa.
Eksekusi kode tidak terbatas, tidak perlu otorisasi
CVE-2.021-21.972 memungkinkan hacker tanpa otorisasi untuk meng-upload file ke server vCenter rentan yang dapat diakses publik melalui port 443, peneliti dari perusahaan keamanan Dipertahankan kata .
Eksploitasi yang berhasil akan mengakibatkan peretas mendapatkan hak istimewa eksekusi kode jarak jauh yang tidak terkekang di sistem operasi yang mendasarinya. Kerentanan tersebut berasal dari kurangnya otentikasi di plugin vRealize Operations, yang diinstal secara default.
Cacat tersebut telah menerima skor keparahan 9,8 dari 10,0 pada Sistem Penilaian Kerentanan Umum Versi 3.0. Mikhail Klyuchnikov, peneliti Teknologi Positif yang menemukan kerentanan dan secara pribadi melaporkannya ke VMware, membandingkan risiko yang ditimbulkan oleh CVE-2021-21972 dengan CVE-2019-19781 , kerentanan kritis dalam Pengontrol Pengiriman Aplikasi Citrix.
Cacat Citrix mendapat serangan aktif tahun lalu dalam serangan ransomware di rumah sakit , dan menurut dakwaan pidana yang diajukan oleh Departemen Kehakiman, dalam gangguan ke pembuat game dan perangkat lunak oleh peretas yang didukung oleh pemerintah China.
Dalam postingan blog awal minggu ini, Klyuchnikov menulis:
Menurut pendapat kami, kerentanan RCE di Server vCenter dapat menimbulkan ancaman yang tidak kalah dengan kerentanan terkenal di Citrix (CVE-2019-19781). Kesalahan tersebut memungkinkan pengguna yang tidak sah untuk mengirim permintaan yang dibuat secara khusus, yang nantinya akan memberi mereka kesempatan untuk menjalankan perintah sewenang-wenang di server.
Setelah menerima kesempatan seperti itu, penyerang dapat mengembangkan serangan ini, berhasil bergerak melalui jaringan perusahaan, dan mendapatkan akses ke data yang disimpan dalam sistem yang diserang (seperti informasi tentang mesin virtual dan pengguna sistem). Jika perangkat lunak yang rentan dapat diakses dari Internet, ini akan memungkinkan penyerang eksternal menembus batas luar perusahaan dan juga mendapatkan akses ke data sensitif. Sekali lagi, saya ingin mencatat bahwa kerentanan ini berbahaya, karena dapat digunakan oleh pengguna yang tidak sah.
Peneliti memberikan rincian teknis di sini
CVE-2021-21972 memengaruhi vCenter Server versi 6.5, 6.7, dan 7.01. Pengguna yang menjalankan salah satu versi ini harus memperbarui ke 6.5 U3n, 6.7 U3l, atau 7.0 U1c secepat mungkin.
Mereka yang tidak dapat segera menginstal patch harus menerapkan solusi ini , yang melibatkan mengubah file matriks kompatibilitas dan menyetel plugin vRealize menjadi tidak kompatibel.
Admin yang memiliki server vCenter yang langsung terpapar ke Internet harus sangat mempertimbangkan untuk membatasi praktik tersebut atau setidaknya menggunakan VPN.