據報道,安全公司Positive Technologies表示,全球超過6000個VMware vCenter設備可以通過互聯網訪問,其中包含一個關鍵的遠程代碼執行漏洞。目前,VMware已經發布了修補該漏洞的方法建議。
據悉,該漏洞名為CVE-2021-21972,如果被利用,它可使黑客能夠執行任意命令,危及vCenter服務器,并可能獲得訪問敏感數據的權限。
該漏洞是在vSphere Client (HTML5)中發現的,這是VMware vCenter的一個插件,通常作為一個管理接口訪問安裝在大型企業網絡工作站上的VMware主機。該界面允許管理員創建和管理虛擬機以及主機資源。
Positive Technologies研究人員Mikhail Klyuchnikov說,通過利用這個漏洞,未經授權的用戶可以發送一個經過特別設計的請求,最終得以在服務器上執行任意命令。
Klyuchnikov說:“在獲得了這樣的機會之后,攻擊者就可以發起這種攻擊,成功地穿越公司網絡,并訪問存儲在被攻擊系統中的數據(例如有關虛擬機和系統用戶的信息)。如果可以從互聯網訪問易受攻擊的軟件,則將使外部攻擊者能夠侵入公司的外部范圍并訪問敏感數據。這個漏洞是危險的,因為它可以被任何未經授權的用戶使用。”
安全公司KnowBe4的安全意識倡導者Javvad Malik說,組織應優先考慮修補任何VMware vCenter設備。
Positive Technologies公司表示,在全世界6000多臺VMware vCenter設備中,26%位于美國,其余位于德國、法國、中國、英國、加拿大、俄羅斯、中國臺灣、伊朗和意大利。
然而安全公司的研究人員報告,利用這個漏洞的主要威脅來自內部人士或其他人士,他們使用如社交工程或Web漏洞等方法穿透了網絡邊界的保護,從而可以訪問內部網絡。
2020年8月,Positive Technologies發表了關于外部滲透測試的研究報告,并成功進入網絡邊界,獲得93%的公司的本地網絡資源。
研究人員指出:“盡管90%以上的VMware vCenter設備完全位于外圍,但根據Positive Technologies analytics的估計,其中一些設備可以進行遠程訪問。”
此外,Positive Technologies還發現了一個VMware vCenter Server漏洞CVE-2021-21973,該漏洞允許未經授權的用戶向vCenter Server插件發送POST請求,導致信息泄露。這可以促使黑客進行進一步的攻擊,使他們能夠掃描公司的內部網絡,并獲得有關各種服務的開放端口的信息。
Positive Technologies建議從VMware安裝更新,并從組織范圍內刪除vCenter Server接口,將其分配到內部網絡中具有受限訪問列表的單獨VLAN。
安全公司Synopsys的高級安全工程師鮑里斯·西波特指出:“即使像VMware這樣的公司確保向其客戶提供安全的軟件,該版本發布后仍可能會出現安全漏洞。”
早前,Positive Technologies的研究員Egor Dimitrenko在VMware vSphere Replication tool中發現了一個嚴重漏洞。如果該漏洞被利用,攻擊者就可以訪問該工具的管理web界面,以最大權限在服務器上執行任意代碼,并在網絡上開始橫向移動,以奪取對公司基礎設施的控制。