კრიტიკული დისტანციური კოდის შესრულების ხარვეზი ათასობით VMWare vCenter სერვერზე რჩება გაუხსნელი

  • Sep 07, 2023

დაახლოებით ერთი თვის შემდეგ, ინტერნეტთან დაკავშირებული სერვერები დაუცველი რჩება თავდასხმის მიმართ.

მკვლევარებმა გააფრთხილეს, რომ ათასობით VMWare vCenter სერვერი ინტერნეტში დგას კრიტიკულ დაუცველობაზე პატჩების გამოქვეყნებიდან რამდენიმე კვირის შემდეგ.

უსაფრთხოება

  • უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
  • როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
  • საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
  • როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ

დაუცველობა გავლენას ახდენს VMWare vCenter სერვერზე, ცენტრალიზებული მართვის პროგრამაზე.

VMWare-მა გამოსცა პატჩები ორი კრიტიკული შეცდომებისთვის, CVE-2021-21985 და CVE-2021-2198625 მაისს.

უსაფრთხოების პირველი ხარვეზი, CVE-2021-21985, გავლენას ახდენს VMware vCenter სერვერზე და VMware Cloud Foundation-ზე და მას აქვს CVSS ქულა 9.8. ეს შეცდომა იყო ნაპოვნია vSAN დანამატში, რომელიც ჩართულია ნაგულისხმევად აპლიკაციაში, რომელიც საშუალებას აძლევს თავდამსხმელებს განახორციელონ დისტანციური კოდის შესრულება (RCE), თუ მათ აქვთ წვდომა პორტზე 443.

VMWare-მა განაცხადა უსაფრთხოების კონსულტაციაში რომ ამ მძიმე ხარვეზის ექსპლუატაცია შესაძლებელია ისე, რომ საფრთხის შემქმნელებს შეეძლოთ წვდომა "ძირითადი ოპერაციული სისტემა, რომელიც მასპინძლობს vCenter სერვერს" "შეუზღუდავი პრივილეგიებით".

შეცდომა გავლენას ახდენს vCenter სერვერზე 6.5, 6.7 და v.7.0-თან ერთად Cloud Foundation vCenter Server 3.x და 4.x.

მეორე დაუცველობა, CVE-2021-21986, არის vSphere კლიენტში (HTML5) და vSphere ავთენტიფიკაციის მექანიზმში. სხვადასხვა დანამატები: ვირტუალური SAN ჯანმრთელობის შემოწმება, საიტის აღდგენა, vSphere Lifecycle Manager და VMware Cloud Director ხელმისაწვდომობა.

ნაკლებად კრიტიკულად განიხილება CVSS 6.5 ქულით, ეს ხარვეზი მაინც აძლევს 443 პორტზე წვდომის მქონე თავდამსხმელებს უფლებას „შეასრულონ ზემოქმედების ქვეშ მოქცეული დანამატებით დაშვებული მოქმედებები ავთენტიფიკაციის გარეშე“.

როგორც ჩანს, ათასობით ინტერნეტის სერვერი კვლავ დაუცველი და დაუცველია როგორც CVE-2021-21985, ასევე CVE-2021-21986-ის მიმართ.

სამშაბათს, Trustwave SpiderLabs-ის მკვლევარებმა განაცხადეს ანალიზი VMWare vCenter სერვერებმა გამოავლინეს VMWare vCenter სერვერების 5271 შემთხვევა, რომლებიც ხელმისაწვდომია ონლაინ, რომელთა უმეტესობა მუშაობს 6.7, 6.5 და 7.0 ვერსიებზე, პორტი 443 ყველაზე ხშირად დასაქმებული.

შემდგომი გამოკვლევისთვის Shodan-ის საძიებო სისტემის გამოყენების შემდეგ, გუნდმა შეძლო მონაცემების ამოღება 4969 შემთხვევიდან და მათ დაადგინეს, რომ სულ 4019 შემთხვევა - ანუ 80,88% - რჩება შეუცვლელი.

დანარჩენი 19.12% სავარაუდოდ დაუცველია, რადგან ეს არის პროგრამული უზრუნველყოფის ძველი ვერსიები, მათ შორის ვერსიები 2.5x და 4.0x, რომლებიც სიცოცხლის ბოლომდეა და მხარდაჭერილი არ არის.

იმ დროს, როდესაც გამყიდველმა გასცა უსაფრთხოების შესწორებები, VMWare-მ განაცხადა მოწყვლადობა მოითხოვა მომხმარებლების "დაუყოვნებელი ყურადღება". როგორც ადრე იტყობინება ZDNet, პატჩებმა შეიძლება დაარღვიოს მესამე მხარის დანამატები და თუ შესწორებების გამოყენება შეუძლებელია, სერვერის მფლობელებს სთხოვენ გამორთონ VMWare დანამატები ექსპლუატაციის საფრთხის შესამსუბუქებლად.

რეკომენდებულია ამ ტიპის კრიტიკული შეცდომების აღმოფხვრა ან შერბილება რაც შეიძლება სწრაფად.

Proof-of-Concept (PoC) კოდი გამოქვეყნებულია CVE-2021-21985-ისთვის. საკითხი საკმაოდ მწვავეა, რომ აშშ-ის კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტო (CISA) გააფრთხილა მოვაჭრეები მათი კონსტრუქციების დალაგება.

წინა და დაკავშირებული გაშუქება

  • დაუყონებლივ დააყენეთ: VMware აფრთხილებს vCenter-ში დისტანციური კოდის შესრულების კრიტიკულ ხვრელს
  • VMware ავრცელებს "Anywhere Workspace" ინსტრუმენტების კომპლექტს
  • VMware აერთიანებს სერვისებს ახალი Modern Apps Connectivity პლატფორმისთვის

გაქვთ რჩევა? უსაფრთხოდ დაუკავშირდით WhatsApp | სიგნალი +447713 025 499 ან მეტი Keybase-ზე: charlie0