Hackare har upptäckt en exploatering för VMware vCenter -sårbarhet

0 Shares

En fungerande exploatering för en kritisk sårbarhet i VMware vCenter som lappades förra veckan har upptäckts i naturen och används aktivt av hotaktörer, enligt cybersäkerhetsexperter.

Sårbarheten spåras som CVE-2021-22005 och finns i analystjänsten för vCenter Server och kan utnyttjas för att låta angripare fjärrköra skadlig kod på opatchade vCenter-servrar.

Flera säkerhetsexperter hade varnat för massskanningsaktivitet inom ett dygn efter att sårbarheten avslöjats, och hotet har blivit verkligt med upptäckten av en fungerande exploatering.

”Den 24 september 2021 bekräftade VMware rapporter om att CVE-2021-22005 utnyttjas i naturen. Säkerhetsforskare rapporterar också massskanning efter sårbara vCenter -servrar och allmänt tillgänglig exploateringskod. På grund av tillgängligheten av exploateringskod förväntar CISA sig att denna sårbarhet utnyttjas i stor utsträckning ”, delade USA: s Cybersecurity and Infrastructure Security Agency (CISA) i ett råd.

Gratis för alla

Även ungefär en vecka efter att VMware lade ut korrigeringen för sårbarheten, visar en rapport från säkerhetsleverantören Censys att det finns cirka 1500 opatchade internet-vända vCenter-servrar som kan utnyttjas.

Censys CTO Derek Abdine berättade för ZDNet att säkerhetsleverantören hade bevisat att fjärrkörning av utnyttjandet är ganska enkelt.

I en kommentar om sårbarhetens betydelse sa John Bambenek, huvudhotsjägare på Netenrich, till ZDNet att fjärrkörning (RCE) som root på vCenter -servrar är ganska betydande.

“Nästan varje organisation driver virtuella maskiner och om en hotaktör har root -åtkomst kan de lösa in alla maskiner i den miljön eller stjäla data på dessa virtuella maskiner med relativt enkelhet”, menade Bambenek.

Via ZDNet

0 Shares