已经检测到靶向vCenter Honeypots的RCE利用活动
更新敦促运行VMware的vCenter服务器更新其系统,因为新研究表明,大约4,000个实例仍然容易受到三周前公开的两个关键安全缺陷的影响。
这漏洞在Vsphere客户端(HTML5)中发现,每个CVSS得分为9.8。
它们包括远程代码执行(RCE)错误(CVE-2021-21985)允许具有无限制特权的命令执行,并以虚拟SAN Health检查插件缺乏输入验证为中心,默认情况下是启用的。
其他漏洞(CVE-2021-21986)在vsphere中发现验证多个插件中使用的机制。CVE说明读到,结果是,恶意行为者可以潜在地“执行受影响的插件允许的操作”。
即使VMware于5月25日发布了补丁,研究今天出版(6月15日)SpiderLabs研究人员表明,超过4,000个vCenter服务器实例仍然容易受到剥削。
丰富的选择
Vcenter Server是一种集中管理实用程序,用于管理虚拟机,ESXI主机和其他因组件。
VMware主导了服务器虚拟化市场,VSPHERE拥有最大的市场份额和vCenter Server排名第五,根据Datanyze。
Trustwave安全研究人员使用Shodan发现了VMware Vcenter Server的5,271个面向Internet的实例,其中近四分之四(76%) - 4,019 - 基于其自我报告的版本和使用脆弱端口的缺陷而容易受到损害。
推荐的Shodan创始人John Matherly在物联网安全和双重用途黑客工具上
“修补是一个非常困难的问题,尤其是对于大型组织而言,尤其是复杂的问题,” Trustwave SpiderLabs威胁情报的高级安全研究经理Karl Sigler告诉每日swbeplay2018官网ig。
“您有地理和时区问题。对于多个团队使用的生产系统,您需要与这些团队进行协调以进行预期的停机时间。
“很多时候,需要在实验室环境中进行测试,然后才能将其推向生产系统,以验证该补丁不会引起其解决的更多问题。”
另外950个vCenter Server主机的运行型甚至比弱势版本较旧,其中八个栏正在运行的版本,这些版本已达到生命的尽头。
尽管SpiderLabs表示没有发现野生剥削,但威胁情报公司Bad Packets首席研究官Troy Mursch,Bad Beack,推文6月13日,几名主持人试图利用RCE缺陷,以袭击不良包的vCenter蜜罐。
补丁和缓解
受影响的版本包括6.5.0构建17994927之前的vCenter Server 6.5.0、6.7.0之前的6.7.0构建18010531和7.0.0之前7.0.2构建17958471,以及Cloud Foundation Venter Server 3.10.2.1.2.1.2.1.2.1.2.1.2.1.2.1.2.1.2.2.1 x构建18015401,在4.2.1构建18016307之前4.x。
vCenter Server的修补版本为6.5 U3P,6.7 U3N和7.0 U2B,而Cloud Foundation的更新为3.10.2.1和4.2.1。
VMware先前已发行指示关于如何禁用针对无法立即应用更新的组织的受影响插件。
RCE缺陷是由'发现的Ricter z’中国Infosec公司360 Noah Lab,内部检测到了另一个缺陷。
本文于6月15日更新了Trustwave的Karl Sigler的评论,并于6月16日反映了Bad Packet检测到的试图利用漏洞的尝试。
不要忘记阅读安全研究人员将Apache气流变成漏洞赏金摇钱树
