Η VMware επιβεβαίωσε ότι μια κρίσιμη ευπάθεια εκτέλεσης κώδικα απομακρυσμένου διακομιστή vCenter που επιδιορθώθηκε τον Οκτώβριο είναι τώρα υπό ενεργή εκμετάλλευση.
Ο vCenter Server είναι μια πλατφόρμα διαχείρισης για περιβάλλοντα VMware vSphere που βοηθά τους διαχειριστές να διαχειρίζονται διακομιστές ESX και ESXi και εικονικές μηχανές (VM).
«Η VMware επιβεβαίωσε αυτή την εκμετάλλευση του
CVE-2023-34048
έχει συμβεί στην άγρια φύση», η εταιρεία
είπε
σε μια
ενημέρωση
που προστέθηκε στην αρχική συμβουλευτική αυτή την εβδομάδα.
Η ευπάθεια αναφέρθηκε από τον ερευνητή τρωτότητας της Trend Micro, Grigory Dorodnov και προκαλείται από
εκτός ορίων γράφουν
αδυναμία στην υλοποίηση του πρωτοκόλλου DCE/RPC του vCenter.
Οι εισβολείς μπορούν να το εκμεταλλευτούν εξ αποστάσεως σε επιθέσεις χαμηλής πολυπλοκότητας με υψηλή
εμπ
ιστευτικότητα, ακεραιότητα και επιπτώσεις στη διαθεσιμότητα που δεν απαιτούν έλεγχο ταυτότητας ή αλληλεπίδραση με τον χρήστη. Λόγω της κρίσιμης φύσης της, η VMware έχει επίσης εκδώσει ενημερώσεις κώδικα ασφαλείας για πολλά προϊόντα στο τέλος του κύκλου ζωής τους χωρίς ενεργή υποστήριξη.
Στους μεσίτες πρόσβασης δικτύου αρέσει να αναλαμβάνουν διακομιστές VMware και στη συνέχεια να πωλούν σε φόρουμ για εγκλή
ματ
α στον
κυβερνοχώρο
σε συμμορίες ransomware για εύκολη πρόσβαση σε εταιρικά δίκτυα. Πολλές ομάδες ransomware (όπως Royal, Black Basta, LockBit και, πιο πρόσφατα, RTM Locker, Qilin, ESXiArgs, Monti και Akira) είναι πλέον γνωστές ότι στοχεύουν απευθείας τους διακομιστές VMware ESXi των θυμάτων για να κλέψουν και να κρυπτογραφήσουν τα αρχεία τους και να απαιτήσουν τεράστια λύτρα.
Σύμφωνα με στοιχεία του Shodan,
περισσότεροι από 2.000 διακομιστές VMware Center
επί του παρόντος εκτίθενται στο διαδίκτυο, δυνητικά ευάλωτα σε επιθέσεις και εκθέτουν εταιρικά δίκτυα σε κινδύνους παραβίασης, δεδομένου του ρόλου διαχείρισης vSphere.
Διακομιστές VMware vCenter που εκτίθενται στο
Διαδίκτυο
(Shodan)
Επειδή δεν υπάρχει λύση, η VMware προέτρεψε τους διαχειριστές που δεν μπορούν να επιδιορθώσουν τους διακομιστές τους να ελέγχουν αυστηρά την περιμετρική πρόσβαση του δικτύου στα στοιχεία διαχείρισης vSphere.
“Η VMware συνιστά ανεπιφύλακτα τον αυστηρό έλεγχο πρόσβασης περιμέτρου δικτύου σε όλα τα στοιχεία διαχείρισης και διεπαφές στο vSphere και τα σχετικά στοιχεία, όπως τα στοιχεία αποθήκευσης και δικτύου, ως μέρος μιας συνολικής αποτελεσματικής στάσης ασφαλείας”, η εταιρεία
προειδοποίησε
.
Οι συγκεκριμένες θύρες δικτύου που συνδέονται με πιθανή εκμετάλλευση σε επιθέσεις που στοχεύουν αυτήν την ευπάθεια είναι οι 2012/tcp, 2014/tcp και 2020/tcp.
Τον Ιούνιο, η VMware διόρθωσε επίσης πολλαπλά ελαττώματα ασφαλείας του διακομιστή vCenter υψηλής σοβαρότητας που θέτουν κινδύνους για την εκτέλεση κώδικα και την παράκαμψη ελέγχου ταυτότητας σε ευάλωτους διακομιστές.
Την ίδια εβδομάδα, η εταιρεία διόρθωσε ένα ESXi zero-day που χρησιμοποιούνταν από κινεζικούς κρατικούς χάκερ σε επιθέσεις κλοπής δεδομένων και προειδοποίησε τους πελάτες για ένα άλλο κρίσιμο ελάττωμα του Aria Operations for Networks που αξιοποιήθηκε ενεργά.
Από την αρχή του έτους, οι διαχειριστές πληροφορικής και οι ομάδες ασφαλείας έπρεπε να αντιμετωπίσουν προειδοποιήσεις για πολλαπλές ευπάθειες ασφαλείας υπό ενεργή εκμετάλλευση, συμπεριλαμβανομένων των μηδενικών ημερών που επηρεάζουν τους διακομιστές Ivanti Connect Secure, Ivanti EPMM και Citrix Netscaler.
VIA:
bleepingcomputer.com
