Lỗi mới khiến hơn 6.700 máy chủ VMware đứng trước nguy cơ bị tấn công

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:3333, 25/02/21, 11:02 AM.

  1. WhiteHat News #ID:3333

    WhiteHat News #ID:3333 WhiteHat Support

    Tham gia: 04/06/14, 02:06 PM
    Bài viết: 332
    Đã được thích: 32
    Điểm thành tích:
    48
    Hơn 6.700 máy chủ VMware vCenter hiện đang đứng trước nguy cơ bị tấn công, cho phép tin tặc chiếm đoạt các thiết bị chưa được vá và chiếm toàn bộ mạng của các công ty.
    Theo hãng Bad Packets, việc quét các thiết bị vCenter hiện vẫn đang diễn ra.
    [​IMG]
    Quá trình quét đã bắt đầu sau khi một nhà nghiên cứu Trung Quốc công bố POC cho lỗ hổng CVE-2021-21972.
    Lỗ hổng này ảnh hưởng đến vSphere Client (HTML5), một plugin của VMware vCenter, loại máy chủ thường được triển khai bên trong các mạng doanh nghiệp lớn như một tiện ích quản lý tập trung, qua đó nhân viên IT quản lý các sản phẩm VMware được cài đặt trên các máy trạm cục bộ.
    Năm ngoái, công ty bảo mật Positive Technologies đã phát hiện ra hacker có thể nhắm mục tiêu vào giao diện HTTPS của plugin vCenter này và thực thi mã độc với các đặc quyền nâng cao trên thiết bị mà không cần phải xác thực.
    Do vai trò quan trọng của máy chủ vCenter bên trong các mạng công ty, sự cố được phân loại là rất nghiêm trọng và được thông báo riêng tư cho VMware, công ty đã phát hành các bản vá chính thức vào ngày 23 tháng 2 năm 2021.
    Theo Shodan, hơn 6.700 máy chủ VMware vCenter hiện đang được kết nối với internet. Tất cả các hệ thống này hiện dễ bị tấn công nếu các quản trị viên không áp dụng các bản vá CVE-2021-21972 được phát hành hôm 23/2.
    VMware đã xử lý rất nghiêm túc lỗi này và đánh giá mức độ nghiêm trọng là 9,8 trên tổng số tối đa là 10 và hiện đang kêu gọi khách hàng cập nhật hệ thống của họ càng sớm càng tốt.
    Do vai trò quan trọng và trung tâm của máy chủ VMware vCenter trong mạng doanh nghiệp, việc xâm phạm thiết bị có thể cho phép kẻ tấn công truy cập vào bất kỳ hệ thống nào được kết nối hoặc quản lý thông qua máy chủ trung tâm.
    Đây là những loại thiết bị mà kẻ xấu rất ưa thích, thường được bán trên các diễn đàn tội phạm mạng. Hơn nữa, từ năm ngoái các nhóm hacker tấn công ransomware như Darkside và RansomExx đã bắt đầu truy quét các hệ thống VMware, cho thấy việc nhắm mục tiêu các mạng doanh nghiệp dựa trên VM này có thể hiệu quả đến mức nào.
    Vì PoC đã công bố nên Positive Technologies cũng đã phát hành một báo cáo kỹ thuật chuyên sâu về lỗi, vì vậy những quản trị mạng có thể tìm hiểu cách thức khai thác lỗ hổng và chuẩn bị các công cụ phòng thủ để phát hiện các cuộc tấn công.

    Theo: ZDNet
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan