Un exploit funzionante per CVE-2021-22005, una vulnerabilità con VMware vCenter, è stato rilasciato e secondo quanto riferito viene utilizzato dagli attori delle minacce, secondo gli esperti che seguono il problema.
La scorsa settimana VMware ha segnalato una vulnerabilità critica nel servizio di analisi di vCenter Server e ha invitato gli utenti ad aggiornare i propri sistemi il prima possibile.
Il 21 settembre, VMware ha dichiarato che il suo vCenter Server è affetto da una vulnerabilità di caricamento file arbitraria nel servizio Analytics che consentirebbe a un attore malintenzionato con accesso alla rete di sfruttare questa vulnerabilità per eseguire codice sui server vCenter.
Entro il 24 settembre, VMware ha confermato che CVE-2021-22005 veniva sfruttato in natura e dozzine di ricercatori di sicurezza online hanno segnalato scansioni di massa per vCenter Server vulnerabili e codici exploit disponibili al pubblico.
CISA seguito con un proprio avvertimento il Venerdì, scrivendo su Twitter che si aspettavano "diffuso sfruttamento di VMware vCenter Server CVE-2.021-22.005." Come VMware, hanno invitato gli utenti a eseguire l'aggiornamento a una versione fissa il più rapidamente possibile o ad applicare la soluzione temporanea fornita da VMware.
Lo stesso giorno, la società di sicurezza informatica Censys ha pubblicato un rapporto che mostrava che c'erano circa 3.264 host con connessione a Internet e potenzialmente vulnerabili. Più di 430 sono state patchate e 1.369 sono versioni non interessate o hanno applicato la soluzione alternativa.
"La protezione del cliente è la massima priorità di VMware e consigliamo vivamente ai clienti interessati di applicare immediatamente le patch come indicato nell'avviso. Come best practice, VMware incoraggia tutti i clienti ad applicare gli ultimi aggiornamenti del prodotto, le patch di sicurezza e le mitigazioni rese disponibili per i loro specifici ambiente e distribuire i nostri prodotti in una configurazione con protezione avanzata", ha affermato la società.
"I clienti dovrebbero anche iscriversi alla mailing list di VMware Security-Announce per ricevere avvisi di sicurezza VMware nuovi e aggiornati".
"Posso confermare lo sfruttamento in-the-wild ora. Sembra che sia correlato alla seconda vulnerabilità che fa parte di CVE-2021-22005. Non ho visto prove di sfruttamento utilizzando l'endpoint hyper/send (l'altra parte di CVE-2021-22005), ma quell'endpoint è leggermente meno praticabile perché ha una condizione di prerequisito. L'endpoint /dataapp è più preoccupante in quanto non ci sono prerequisiti e si pensa che esista su più versioni di vCenter", ha spiegato Derek Abdine, CTO di Censys
"Inoltre, l'esposizione interna è ancora un grosso problema. Ce ne sono un certo numero che si affacciano esternamente, ma non dovrebbe essere la norma. Molte organizzazioni hanno cluster VMware privati e questo problema rappresenterà comunque un rischio significativo per loro se un utente malintenzionato è in grado di sfruttare l'exploit internamente."
Anche Will Dormann, analista di vulnerabilità presso il CERT/CC, ha confermato su Twitter che l'exploit per CVE-2021-22005 è ora completamente pubblico.
Secondo Bad Packets, host di Hong Kong, Vietnam, Paesi Bassi, Giappone, Singapore e altri paesi in tutto il mondo continuano a cercare la vulnerabilità.
Abdine ha notato che mentre una patch è disponibile da giorni, c'è un fenomeno di "saturazione delle patch" in cui le patch non raggiungono mai il 100%.
"Ad esempio, 5 giorni dopo la pubblicazione del post sul blog Atlassian Confluence , abbiamo riscontrato solo un calo del 30% sul totale dei servizi di confluenza vulnerabili esposti. Quando è emerso di recente il problema di Western Digital My Book Live, abbiamo osservato la stessa cosa anche nel spazio consumer (rispetto al software aziendale per Confluence/VMware)," ha affermato Abdine.
"Penso che ci siano ancora molti host là fuori che destano preoccupazione. Greynoise.io e Bad Packet stanno entrambi assistendo a scansioni opportunistiche che alcuni chiamano sfruttamento di massa. Tuttavia, da quello che posso dire finora, chiunque stia eseguendo queste richieste che vengono catturati da Greynoise e Bad Packets stanno semplicemente prelevando gli URL dalla ricerca della comunità (di Censys e @testanull su Twitter) e tentando di colpire gli URL per coloro che non hanno una conoscenza completa di come ottenere l'esecuzione."
Ora che è stato rilasciato un exploit, Abdine ha aggiunto che le "porte si sono aperte", consentendo a qualsiasi aggressore con competenze tecniche inferiori di eseguire uno sfruttamento di massa.
"Quindi, tutto sommato, non credo che siamo ancora fuori dai guai e, ancora una volta, è molto comune eseguire cluster VMware in data center interni accessibili solo tramite VPN aziendali. Le macchine virtuali dovrebbero continuare a funzionare. Tuttavia , le operazioni e la gestione che si ottengono con vCenter saranno assolutamente influenzate durante l'aggiornamento e potrebbero avere un impatto sulle operazioni per le organizzazioni che utilizzano regolarmente vCenter", ha affermato Abdine.
Quasi ogni organizzazione gestisce macchine virtuali e se un attore di minacce ha accesso root, potrebbe riscattare ogni macchina in quell'ambiente o rubare i dati su quelle macchine virtuali con relativa facilità, ha affermato John Bambenek, principale cacciatore di minacce di Netenrich
Altri esperti, come Alec Alvarado, capo del team di intelligence sulle minacce di Digital Shadows, hanno notato che gli attori delle minacce seguono le notizie tanto quanto i ricercatori di sicurezza. Alvarado ha fatto eco a quanto detto da Abdine, spiegando che gli attori meno sofisticati ora hanno la possibilità di sfruttare la vulnerabilità grazie al proof of concept.
Ma per Bud Broomhead, CEO di Viakoo, la situazione si è ridotta alla gestione delle patch.
"La gestione manuale delle patch mette un'organizzazione a rischio a causa della natura lenta (o inesistente) del processo, lasciando un'organizzazione vulnerabile", ha affermato Broomhead.
Commenti
Posta un commento