Security Week 23: эксплуатация уязвимости в VMware vCenter

Уязвимость в VMware vCenter Server — ПО для контроля над облачной инфраструктурой — рискует стать проблемой, сравнимой по опасности с ранее обнаруженными zero-day в Microsoft Exchange. Хотя число доступных из сети инсталляций vCenter Server гораздо меньше (тысячи против десятков тысяч почтовых серверов), каждая из них может управлять огромным парком виртуальных систем. Уязвимость CVE-2021-21985 закрыта патчем в конце мая, а новость этой недели — появление в открытом доступе работающего Proof of Concept и начало фазы активной эксплуатации.


Еще одно сходство с мартовскими проблемами Microsoft Exchange — в опасности самой уязвимости. По шкале CVSSv3 она получила 9,8 балла из 10 и обеспечивает атакующему полный доступ к операционной системе, на которой запущен vCenter. Конкретно уязвимость обнаружена в плагине Virtual SAN Health Check, который включен по умолчанию. Для администраторов инфраструктуры на базе решений VMware это повод немедленно обновиться до последней версии либо как минимум заблокировать работу проблемного кода.

Источники

• Security Advisory от 25 мая.
• Статья в Knowledge Base с описанием способа блокировки плагина (прямое отключение плагина уязвимость не закрывает).
• Публичный Proof of Concept.
• Release Notes для версии vCenter Server 6.7 Update 3n. Также выпущен патч для версий 7.0 и 6.5 .
• Пост в блоге VMware и FAQ .
• Статья в издании ArsTechnica.
• Новость на Хабре.
  

В сети на прошлой неделе появились не только подтверждения работоспособности PoC, но и свидетельства от мейнтейнеров ханипотов о массовом сканировании портов в поисках уязвимых инсталляций. Поиск в специализированном поисковике Shodan возвращает 5,5 тысяч доступных портов из сети серверов vCenter, большинство из них в США. 4 июня официальное предупреждение было выпущено американским госагентством по кибербезопасности. Издание ArsTechnica напоминает, что в этом году уязвимостей класса «возможно, уже поздно патчить» было обнаружено немало: это и упомянутая проблема в Exchange Server, и уязвимости в VPN Pulse Secure и Fortinet, и дыры в серверном ПО BIG-IP компании F5 Networks. В случае с VMware у администраторов было всего несколько дней на решение проблемы. В случае с Exchange реагировать и вовсе надо было немедленно: эксплуатация началась до выпуска патча.

Что еще произошло

«Киберинцидент» (скорее всего, атака с вымогательством) произошел у крупного поставщика мяса JBS Foods.

В компании Sophos исследуют вредоносное ПО, эксплуатирующее мартовские уязвимости в Exchange Server и шифрующее данные.

Свежие исследования «Лаборатории Касперского»: отчеты по эволюции угроз за первый квартал 2021 года ( обзорная статья, статистика по ПК и мобильным устройствам); обзор трояна Gootkit и путеводитель по e-mail спуфингу.

На этой неделе Amazon включит фичу Amazon Sidewalk, объединяющую устройства компании (такие как дверной звонок с камерой Amazon Ring и другие средства для безопасности жилища) в mesh-сеть. У Sidewalk есть сомнительная с точки зрения приватности особенность: для «большей эффективности» чужие устройства могут использовать для связи с сервером ваш канал для доступа к интернету.