Hàng nghìn máy chủ đang chạy máy chủ vCenter có thể gặp bất ngờ khó chịu.
Tin tặc đang quét hàng loạt trên Internet để tìm kiếm các máy chủ VMware có lỗ hổng thực thi mã mới được tiết lộ có mức độ nghiêm trọng là 9,8 trên 10.
CVE-2021-21974, khi lỗ hổng bảo mật được theo dõi, là lỗ hổng thực thi mã từ xa trong máy chủ VMware vCenter, một ứng dụng dành cho Windows hoặc Linux mà quản trị viên sử dụng để kích hoạt và quản lý ảo hóa các mạng lớn.
Một ngày sau khi VMware phát hành bản vá, proof-of-concept khai thác đã xuất hiện từ ít nhất sáu khác nhau nguồn. Mức độ nghiêm trọng của lỗ hổng, kết hợp với tính khả dụng của các khai thác đang hoạt động cho cả máy Windows và Linux, đã khiến tin tặc phải tranh giành để chủ động tìm các máy chủ dễ bị tấn công.
Mursch nói rằng công cụ tìm kiếm BinaryEdge đã tìm thấy gần 15.000 máy chủ vCenter được tiếp xúc với Internet, trong khi tìm kiếm của Shodan cho thấy khoảng 6.700. Việc quét hàng loạt nhằm xác định các máy chủ chưa cài đặt bản vá mà VMware đã phát hành.
Thực thi mã không thay đổi, không cần ủy quyền
CVE-2021-21972 cho phép hacker không có quyền tải tệp lên các máy chủ vCenter dễ bị tấn công có thể truy cập công khai qua cổng 443, các nhà nghiên cứu từ công ty bảo mật Tenable cho biết.
Khai thác thành công, tin tặc có được đặc quyền thực thi mã từ xa không bị kiểm soát trong hệ điều hành cơ bản. Lỗ hổng bắt nguồn từ việc thiếu xác thực trong plugin vRealize Operations, được cài đặt theo mặc định.
Lỗ hổng đạt 9,8 trên 10,0 mức độ nghiêm trọng trên Hệ thống chấm điểm lỗ hổng phổ biến phiên bản 3.0. Mikhail Klyuchnikov, nhà nghiên cứu Công nghệ Tích cực, người đã phát hiện ra lỗ hổng và báo cáo riêng cho VMware, đã so sánh rủi ro do CVE-2021-21972 gây ra với CVE-2019-19781, một lỗ hổng nghiêm trọng trong Bộ điều khiển phân phối ứng dụng Citrix.
“Lỗi này cho phép người dùng trái phép gửi một yêu cầu được chế tạo đặc biệt, yêu cầu này sau đó sẽ cho họ cơ hội thực hiện các lệnh tùy ý trên máy chủ.
Sau khi nhận được cơ hội như vậy, kẻ tấn công có thể phát triển cuộc tấn công này, di chuyển thành công qua mạng công ty và giành quyền truy cập vào dữ liệu được lưu trữ trong hệ thống bị tấn công (chẳng hạn như thông tin về máy ảo và người dùng hệ thống).
Nếu phần mềm dễ bị tấn công có thể được truy cập từ Internet, điều này sẽ cho phép kẻ tấn công bên ngoài xâm nhập vòng ngoài của công ty và cũng có thể truy cập vào dữ liệu nhạy cảm. Một lần nữa, tôi muốn lưu ý rằng lỗ hổng này rất nguy hiểm vì nó có thể được sử dụng bởi bất kỳ người dùng trái phép nào”, Klyuchnikov đã viết.
CVE-2021-21972 ảnh hưởng đến vCenter Server phiên bản 6.5, 6.7 và 7.01. Người dùng đang chạy một trong các phiên bản này nên cập nhật lên 6.5 U3n, 6.7 U3l hoặc 7.0 U1c càng sớm càng tốt.
Những người không thể cài đặt ngay một bản vá nên thực hiện các cách giải quyết này, liên quan đến việc thay đổi tệp ma trận tương thích và đặt plugin vRealize thành không tương thích.
Quản trị viên có máy chủ vCenter tiếp xúc trực tiếp với Internet nên hết sức cân nhắc việc hạn chế hoạt động này hoặc ít nhất là sử dụng VPN.