-
06/07/2013
-
796
-
1.304 bài viết
Lỗ hổng RCE trong VMware vCenter Server đang bị khai thác tích cực
Các tin tặc đang tích cực quét hàng loạt trên Internet để tìm những máy chủ VMware vCenter tồn tại lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng mà công ty đã tung bản vá vào cuối tháng trước.
Hoạt động đang diễn ra đã được Bad Packets phát hiện vào ngày 3 tháng 6 và được nhà nghiên cứu bảo mật Kevin Beaumont xác nhận vào ngày hôm qua. “Hành vi rà quét hàng loạt được phát hiện từ IP 104.40.252.159 kiểm tra các máy chủ VMware vSphere dễ bị thực thi mã từ xa", theo tweet từ Troy Mursch - giám đốc nghiên cứu tại Bad Packets.
Lỗ hổng có mã CVE-2021-21985 (điểm CVSS 9,8), do thiếu xác thực đầu vào trong plug-in Virtual SAN (vSAN) Health Check, có thể bị kẻ tấn công lạm dụng để thực thi những lệnh với các đặc quyền không hạn chế trên hệ điều hành lưu trữ vCenter Server.
Theo VMWare, khách hàng nên cập nhật càng sớm càng tốt để vá các lỗ hổng, đặc biệt là các bản vá khẩn cấp, tránh bị tấn công chiếm quyền điều khiển, lây nhiễm ransomware.
Đây không phải là lần đầu tiên tin tặc có cơ hội quét Internet hàng loạt để tìm các máy chủ VMware vCenter dễ bị tấn công. Một lỗ hổng thực thi mã từ xa tương tự (CVE-2021-21972) được VMware vá vào tháng 2 đã trở thành mục tiêu của tin tặc nhằm khai thác và kiểm soát các hệ thống chưa được vá.
Theo Bad Packets và Binary Edge có ít nhất 14.858 máy chủ vCenter được tìm thấy có thể truy cập được qua internet.
Một nghiên cứu mới từ Cisco Talos vào đầu tuần này đã phát hiện ra những kẻ đứng sau mã độc Necro dựa trên Python đã tìm cách khai thác các máy chủ VMware vCenter tồn tại lỗ hổng bảo mật để tăng cường khả năng lây nhiễm của mã độc.
Hoạt động đang diễn ra đã được Bad Packets phát hiện vào ngày 3 tháng 6 và được nhà nghiên cứu bảo mật Kevin Beaumont xác nhận vào ngày hôm qua. “Hành vi rà quét hàng loạt được phát hiện từ IP 104.40.252.159 kiểm tra các máy chủ VMware vSphere dễ bị thực thi mã từ xa", theo tweet từ Troy Mursch - giám đốc nghiên cứu tại Bad Packets.
Lỗ hổng có mã CVE-2021-21985 (điểm CVSS 9,8), do thiếu xác thực đầu vào trong plug-in Virtual SAN (vSAN) Health Check, có thể bị kẻ tấn công lạm dụng để thực thi những lệnh với các đặc quyền không hạn chế trên hệ điều hành lưu trữ vCenter Server.
Theo VMWare, khách hàng nên cập nhật càng sớm càng tốt để vá các lỗ hổng, đặc biệt là các bản vá khẩn cấp, tránh bị tấn công chiếm quyền điều khiển, lây nhiễm ransomware.
Đây không phải là lần đầu tiên tin tặc có cơ hội quét Internet hàng loạt để tìm các máy chủ VMware vCenter dễ bị tấn công. Một lỗ hổng thực thi mã từ xa tương tự (CVE-2021-21972) được VMware vá vào tháng 2 đã trở thành mục tiêu của tin tặc nhằm khai thác và kiểm soát các hệ thống chưa được vá.
Theo Bad Packets và Binary Edge có ít nhất 14.858 máy chủ vCenter được tìm thấy có thể truy cập được qua internet.
Một nghiên cứu mới từ Cisco Talos vào đầu tuần này đã phát hiện ra những kẻ đứng sau mã độc Necro dựa trên Python đã tìm cách khai thác các máy chủ VMware vCenter tồn tại lỗ hổng bảo mật để tăng cường khả năng lây nhiễm của mã độc.
Theo The Hacker News