Yaklaşık bir ay sonra, internete bakan sunucular saldırılara karşı savunmasız durumda.
Araştırmacılar, internete bakan binlerce VMWare vCenter sunucusunun, yamaların yayınlanmasından haftalar sonra bile hala kritik güvenlik açıkları barındırdığı konusunda uyardı.
Güvenlik
- Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
- Telefonunuzdaki casus yazılımları bulma ve kaldırma
- En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
- Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?
Güvenlik açıkları, merkezi bir yönetim aracı olan VMWare vCenter Server'ı etkiliyor.
VMWare iki kritik hata için yama yayınladı. CVE-2021-21985 Ve CVE-2021-2198625 Mayıs'ta.
İlk güvenlik açığı olan CVE-2021-21985, VMware vCenter Server ve VMware Cloud Foundation'ı etkiliyor ve 9,8 CVSS puanı aldı. Bu hata saldırganların bağlantı noktasına erişimleri varsa uzaktan kod yürütme (RCE) yürütmesine olanak tanıyan, uygulamada varsayılan olarak etkinleştirilmiş bir vSAN eklentisinde bulunur 443.
VMWare dedi ki bir güvenlik danışmanlığında Bu ciddi hatanın, tehdit aktörlerinin "vCenter Sunucusunu barındıran temel işletim sistemine" "sınırsız ayrıcalıklarla" erişebilmesi için istismar edilebileceği belirtiliyor.
Hata, Cloud Foundation vCenter Server 3.x ve 4.x'in yanı sıra vCenter Server 6.5, 6.7 ve v.7.0'ı da etkiliyor.
İkinci güvenlik açığı olan CVE-2021-21986, vSphere Client'ta (HTML5) ve vSphere kimlik doğrulama mekanizmasında mevcuttur. çeşitli eklentiler: Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager ve VMware Cloud Director Kullanılabilirlik.
6,5 CVSS puanıyla daha az kritik kabul edilen bu kusur, saldırganların 443 numaralı bağlantı noktasına erişimi olan "etkilenen eklentilerin izin verdiği eylemleri kimlik doğrulaması olmadan gerçekleştirmesine" izin veriyor.
İnternete bakan binlerce sunucunun hâlâ hem CVE-2021-21985 hem de CVE-2021-21986'ya açık ve savunmasız olduğu görülüyor.
Salı günü, Trustwave SpiderLabs'tan araştırmacılar şunları söyledi: bir analiz VMWare vCenter sunucularının sayısı, mevcut VMWare vCenter sunucularının 5.271 örneğini ortaya çıkardı çoğunluğu 6.7, 6.5 ve 7.0 sürümlerini çalıştırıyor; en yaygın olarak 443 numaralı bağlantı noktası kullanılıyor istihdam edildi.
Ekip, daha ayrıntılı inceleme için Shodan arama motorunu kullandıktan sonra 4969 örnekten veri çekmeyi başardı ve toplam 4019 örneğin yani %80,88'inin yama yapılmadan kaldığını buldu.
Geriye kalan %19,12'lik kısım ise, 2.5x ve 4.0x sürümleri de dahil olmak üzere, kullanım ömrü sona eren ve desteklenmeyen yazılımın eski sürümleri olduğundan, savunmasız olmaları muhtemeldir.
Satıcı güvenlik düzeltmelerini yayınladığında VMWare şunları söyledi: talep edilen güvenlik açıkları kullanıcıların "hemen ilgilenmesi". Onceki gibi ZDNet'in bildirdiğiyamalar bazı üçüncü taraf eklentileri bozabilir ve düzeltmelerin uygulanması mümkün değilse sunucu sahiplerinden devre dışı bırakmaları istenir VMWare eklentileri istismar tehdidini azaltmak için.
Bu tür kritik hataların mümkün olan en kısa sürede ele alınması veya azaltılması önerilir.
CVE-2021-21985 için Kavram Kanıtı (PoC) kodu yayınlandı. Sorun, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) Satıcıları uyardı yapılarına yama yapmak için.
Önceki ve ilgili kapsam
-
Hemen yama yapın: VMware, vCenter'daki kritik uzaktan kod yürütme açığı konusunda uyarıyor
-
VMware "Anywhere Workspace" araç paketini kullanıma sunuyor
-
VMware, yeni Modern Apps Bağlantı platformu için hizmetleri birleştiriyor
Bir ipucunuz var mı? WhatsApp aracılığıyla güvenli bir şekilde iletişime geçin | +447713 025 499 veya Keybase üzerinden sinyal: charlie0