Bug RCE Kritis di Server VMware vCenter Di Bawah Serangan Aktif

  • Whatsapp
VMware vCenter Server

Pelaku jahat secara aktif memindai internet untuk server VMware vCenter yang rentan yang tidak ditambal terhadap kelemahan eksekusi kode jarak jauh yang kritis, yang ditangani perusahaan akhir bulan lalu.

Aktivitas yang sedang berlangsung terdeteksi oleh Paket Buruk pada 3 Juni dan dikuatkan kemarin oleh peneliti keamanan Kevin Beaumont. “Aktivitas pemindaian massal terdeteksi dari 104.40.252.159 memeriksa host VMware vSphere yang rentan terhadap eksekusi kode jarak jauh,” tweeted Troy Mursch, kepala peneliti di Bad Packets.

Bacaan Lainnya

auditor kata sandi

Perkembangannya mengikuti publikasi a bukti dari konsep (PoC) RCE mengeksploitasi kode yang menargetkan bug VMware vCenter.

Dilacak sebagai CVE-2021-21985 (CVSS skor 9,8), masalah ini merupakan konsekuensi dari kurangnya validasi input di plugin Pemeriksaan Kesehatan Virtual SAN (vSAN), yang dapat disalahgunakan oleh penyerang untuk menjalankan perintah dengan hak istimewa yang tidak dibatasi pada sistem operasi dasar yang menghosting Server vCenter.

VMware vCenter Server

Meskipun cacat telah diperbaiki oleh VMware pada 25 Mei, perusahaan sangat mendesak pelanggannya untuk segera menerapkan perubahan darurat. “Di era ransomware ini, paling aman untuk mengasumsikan bahwa penyerang sudah berada di dalam jaringan di suatu tempat, di desktop dan bahkan mungkin mengendalikan akun pengguna, itulah sebabnya kami sangat menyarankan untuk mendeklarasikan perubahan darurat dan patch sesegera mungkin. ,” kata VMware.

VMware vCenter Server

Ini bukan pertama kalinya musuh secara oportunis memindai internet secara massal untuk mencari server VMware vCenter yang rentan. Kerentanan eksekusi kode jarak jauh serupa (CVE-2021-21972) yang ditambal oleh VMware pada bulan Februari menjadi target pelaku ancaman siber mencoba untuk mengeksploitasi dan mengambil kendali dari sistem yang belum ditambal.

Paling sedikit 14.858 server vCenter ditemukan dapat dijangkau melalui internet, menurut Bad Packets dan Binary Edge.

Terlebih lagi, sebuah penelitian baru dari Cisco Talos awal pekan ini menemukan bahwa aktor ancaman di balik bot Necro berbasis Python menyusup ke server VMware vCenter yang terbuka dengan menyalahgunakan kelemahan keamanan yang sama untuk meningkatkan kemampuan penyebaran infeksi malware.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *