我的位置 威胁预警  >  漏洞公告

6000台VMware vCenter设备,易受到远程攻击

来源:E安全 时间:2021-03-02 阅读次数:

据报道,安全公司Positive Technologies表示,全球超过6000个VMware vCenter设备可以通过互联网访问,其中包含一个关键的远程代码执行漏洞。目前,VMware已经发布了修补该漏洞的方法建议。

据悉,该漏洞名为CVE-2021-21972,如果被利用,它可使黑客能够执行任意命令,危及vCenter服务器,并可能获得访问敏感数据的权限。

该漏洞是在vSphere Client (HTML5)中发现的,这是VMware vCenter的一个插件,通常作为一个管理接口访问安装在大型企业网络工作站上的VMware主机。该界面允许管理员创建和管理虚拟机以及主机资源。

Positive Technologies研究人员Mikhail Klyuchnikov说,通过利用这个漏洞,未经授权的用户可以发送一个经过特别设计的请求,最终得以在服务器上执行任意命令。

Klyuchnikov说:“在获得了这样的机会之后,攻击者就可以发起这种攻击,成功地穿越公司网络,并访问存储在被攻击系统中的数据(例如有关虚拟机和系统用户的信息)。如果可以从互联网访问易受攻击的软件,则将使外部攻击者能够侵入公司的外部范围并访问敏感数据。这个漏洞是危险的,因为它可以被任何未经授权的用户使用。”

安全公司KnowBe4的安全意识倡导者Javvad Malik说,组织应优先考虑修补任何VMware vCenter设备。

Positive Technologies公司表示,在全世界6000多台VMware vCenter设备中,26%位于美国,其余位于德国、法国、中国、英国、加拿大、俄罗斯、中国台湾、伊朗和意大利。

然而安全公司的研究人员报告,利用这个漏洞的主要威胁来自内部人士或其他人士,他们使用如社交工程或Web漏洞等方法穿透了网络边界的保护,从而可以访问内部网络。

2020年8月,Positive Technologies发表了关于外部渗透测试的研究报告,并成功进入网络边界,获得93%的公司的本地网络资源。

研究人员指出:“尽管90%以上的VMware vCenter设备完全位于外围,但根据Positive Technologies analytics的估计,其中一些设备可以进行远程访问。”

此外,Positive Technologies还发现了一个VMware vCenter Server漏洞CVE-2021-21973,该漏洞允许未经授权的用户向vCenter Server插件发送POST请求,导致信息泄露。这可以促使黑客进行进一步的攻击,使他们能够扫描公司的内部网络,并获得有关各种服务的开放端口的信息。

Positive Technologies建议从VMware安装更新,并从组织范围内删除vCenter Server接口,将其分配到内部网络中具有受限访问列表的单独VLAN。

安全公司Synopsys的高级安全工程师鲍里斯·西波特指出:“即使像VMware这样的公司确保向其客户提供安全的软件,该版本发布后仍可能会出现安全漏洞。”

早前,Positive Technologies的研究员Egor Dimitrenko在VMware vSphere Replication tool中发现了一个严重漏洞。如果该漏洞被利用,攻击者就可以访问该工具的管理web界面,以最大权限在服务器上执行任意代码,并在网络上开始横向移动,以夺取对公司基础设施的控制。

 

 

原文来源:E安全

8条评论