Kode eksploitasi bukti konsep telah dipublikasikan secara online hari ini, dan pemindaian aktif untuk sistem VMware yang rentan telah terdeteksi.
Lebih dari 6.700 server VMware vCenter saat ini terpapar secara online dan rentan terhadap serangan baru yang memungkinkan peretas mengambil alih perangkat yang belum ditambal dan secara efektif mengambil alih seluruh jaringan perusahaan.
Pemindaian untuk perangkat VMware vCenter saat ini sedang dilakukan, menurut firma intelijen ancaman Bad Packets.
We've detected mass scanning activity targeting vulnerable VMware vCenter servers (https://t.co/t3Gv2ZgTdt).
— Bad Packets (@bad_packets) February 24, 2021
Query our API for "tags=CVE-2021-21972" for relevant indicators and source IP addresses. #threatintel https://t.co/AcSZ40U5Gp
Pemindaian telah dimulai hari ini setelah seorang peneliti keamanan China menerbitkan kode bukti konsep di blog mereka untuk kerentanan yang dilacak sebagai CVE-2021-21972.
Kerentanan ini memengaruhi vSphere Client (HTML5), sebuah plugin VMware vCenter, jenis server yang biasanya digunakan di dalam jaringan perusahaan besar sebagai utilitas manajemen terpusat yang digunakan personel TI untuk mengelola produk VMware yang diinstal di workstation lokal.
Tahun lalu, firma keamanan Positive Technologies menemukan bahwa penyerang dapat menargetkan antarmuka HTTPS dari plugin vCenter ini dan mengeksekusi kode berbahaya dengan hak istimewa yang lebih tinggi pada perangkat tanpa harus melakukan otentikasi.
Karena peran sentral server vCenter di dalam jaringan perusahaan, masalah tersebut diklasifikasikan sebagai sangat kritis dan dilaporkan secara pribadi ke VMware, yang merilis patch resmi kemarin, pada 23 Februari 2021.
Karena banyaknya perusahaan yang menjalankan perangkat lunak vCenter di jaringan mereka, Positive Technologies awalnya berencana untuk merahasiakan detail tentang bug ini sampai administrator sistem memiliki cukup waktu untuk menguji dan menerapkan tambalan.
Namun, kode bukti konsep yang diposting oleh peneliti China, dan lainnya , secara efektif menolak masa tenggang perusahaan untuk menerapkan tambalan dan juga memulai pemindaian massal gratis untuk semua sistem vCenter yang rentan yang dibiarkan terhubung secara online, dengan peretas terburu-buru untuk mengkompromikan sistem sebelum geng saingan.
Lebih buruk lagi, exploit untuk bug ini juga merupakan permintaan cURL satu baris, yang memudahkan bahkan aktor ancaman berketerampilan rendah untuk mengotomatiskan serangan.
There’s a preauth RCE in vSphere with a single HTTP get request, which some orgs face to internet. https://t.co/rKxbQANQ8n
— Kevin Beaumont (@GossiTheDog) February 24, 2021
Menurut permintaan Shodan , lebih dari 6.700 server VMware vCenter saat ini terhubung ke internet. Semua sistem ini sekarang rentan terhadap serangan pengambilalihan jika administrator gagal menerapkan tambalan CVE-2021-21972 kemarin.
VMware telah menanggapi bug ini dengan sangat serius dan telah menetapkan skor keparahan 9,8 dari maksimal 10 dan sekarang mendesak pelanggan untuk memperbarui sistem mereka sesegera mungkin.
Karena peran penting dan sentral yang dimainkan server VMware vCenter di jaringan perusahaan, kompromi perangkat ini dapat memungkinkan penyerang mengakses sistem apa pun yang terhubung atau dikelola melalui server pusat.
Ini adalah jenis perangkat yang ingin dikompromikan oleh aktor (dikenal sebagai "broker akses jaringan") dan kemudian dijual di forum kejahatan dunia maya bawah tanah kepada geng ransomware, yang kemudian mengenkripsi file korban dan meminta tebusan dalam jumlah besar. Selain itu, geng ransomware seperti Darkside dan RansomExx sudah mulai mengejar sistem VMware tahun lalu , menunjukkan seberapa efektif penargetan jaringan perusahaan berbasis VM ini.
Karena PoC sekarang terbuka, Positive Technologies juga telah memutuskan untuk menerbitkan laporan teknis mendalam tentang bug tersebut, sehingga pembela jaringan dapat mempelajari cara kerja eksploitasi dan menyiapkan pertahanan tambahan atau alat forensik untuk mendeteksi serangan di masa lalu.