Исследователь опубликовал PoC-эксплоит сразу же после выхода исправления, не дав компаниям времени на его развертывание.
По данным Shodan, более 6,7 тыс. доступных через интернет серверов VMware vCenter уязвимы к новой атаке, позволяющей злоумышленникам захватывать контроль над необновленными устройствами и, как следствие, над внутренними сетями организаций.
Как сообщили эксперты ИБ-компании Bad Packets, они уже фиксируют попытки массового сканирования интернета в поисках установок VMware vCenter, содержащих уязвимость CVE-2021-21972 . Данная уязвимость затрагивает плагин vSphere Client (HTML5) и позволяет удаленно выполнять код. По шкале CVSS v3 проблема получила 9,8 балла из максимальных 10. Уязвимость совместно с CVE-2021-21973 была обнаружена специалистом Positive Technologies Михаилом Ключниковым и исправлена 23 февраля 2021 года.
Сканирования начались в среду, 24 февраля, после публикации китайским исследователем PoC-эксплоита для CVE-2021-21972. Выложив PoC-эксплоит в открытый доступ, исследователь не только не дал компаниям времени на развертывание исправлений, но и спровоцировал волну сканирований в поисках уязвимых систем VMware vCenter. Что еще хуже, эксплоит представляет собой однострочный запрос cURL, поэтому даже неопытные злоумышленники могут автоматизировать свои атаки.
Поскольку серверы VMware vCenter играют центральную роль в корпоративных сетях, их компрометация может позволить злоумышленникам получить доступ к любой подключенной к ним системе. Злоумышленники (известные как «брокеры доступа к сети») зачастую взламывают такие устройства, а затем продают доступ к ним на подпольных форумах операторам вымогательского ПО. Кроме того, такие киберпреступные группировки, как Darkside и RansomExx, еще в прошлом году начали атаковать системы VMware, демонстрируя, насколько эффективным может быть нацеливание на корпоративные сети на основе виртуальных машин.
Лечим цифровую неграмотность без побочных эффектов