VMware ha pubblicato, a fine Maggio, un alert urgente che invita i suoi utenti a patchare urgentemente alcune vulnerabilità che impattano i vCenter Server: l'alert rivela l'esistenza delle vulnerabilità contestualmente alla pubblicazione delle patch, nella speranza che i cyber attaccanti non abbiano il tempo di sfruttarle. Ecco perchè l'alert invita caldamente gli utenti a patchare prima possibile le vulnerabilità, collegandole direttamente al rischio ransomware.
vCenter Server è una soluzione di gestione dei server che aiuta gli amministratori IT a gestire macchine virtuali e host virtualizzati negli ambienti aziendali tramite una console centralizzata.
La prima vulnerabilità, la CVE-2021-21985 impatta i vCenter Server 6.5, 6.7 e 7.0: qui è consultabile l'avviso di sicurezza. Questa vulnerabilità può essere sfruttata da remoto da un attaccante non autenticato tramite un attacco piuttosto semplice che non richiede alcuna interazione da parte dell'utente.
"il vSphere Client (HTML5) contiene una vulnerabilità di esecuzione di codice da remoto dovuto alla mancata validazione degli input nel plugin Virtual SAN Health Check, che è abilitato di default nei vCenter Server" spiegano da WMware. "Un attaccante con accesso alla porta 443 può sfruttare questa vulnerabilità per eseguire comandi con privilegi illimitati nel sistema operativo ospitato dal vCenter Server".
Il problema riguarda chiunque usi vCenter Server, perchè, in uso o meno, Virtual SAN Health Check è abilitato di default.
La seconda vulnerabilità segnalata da VMware è la CVE-2021-21986, di livello medio di rischio: è presente nei plugin Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager e VMware Cloud Director Availability ed è collegata ad alcuni problemi nel meccanismo di autenticazione.
Queste vulnerabilità sono già sfruttate per attaccare le aziende?
Alla richiesta di patching urgente di WMware ha fatto eco anche un avviso da parte del CISA (Cybersecurity and Infrastructure Security Agency), che ha invitato tutte le aziende statunitensi e non solo ad installare gli aggiornamenti. Segno che la paura di nuovi attacchi a tappeto contro le aziende sfruttando vulnerabilità conosciute e già patchate c'è ed è alta: ancora sono in corso, ad esempio, attacchi contro enti e aziende che sfruttano le vulnerabilità ProxyLogon dei Server Microsoft Exchange, nonostante queste siano risolte da tempo.
A rinfocolare i timori comunque è il fatto che online si sono già diffusi, in pochissimi giorni, una serie di Proof Of Concept di exploit, vere e proprie "bozze di codice" pensate per attaccare le aziende "passando" da WMware.
Quick confirm that this is the real PoC of CVE-2021-21985 👍 pic.twitter.com/jsXKFf1lZZ
— Janggggg (@testanull) June 3, 2021
Stime di massima parlando i oltre 6000 sistemi vulnerabili.
Già dai primi di Giugno moltissimi ricercatori di sicurezza hanno iniziato a denunciare scansioni di massa in cerca di vCenter Server WMware vulnerabili. La prima a denunciare l'attività di scanning in corso è stata l'azienda di threat intelligent Bad Packets, mentre il motore di ricerca di dispositivi connessi ad Internet Shodan conferma che sono centinaia i server vCenter raggiungibili tramite Internet e vulnerabili.
Mass scanning activity detected from 104.40.252.159 (🇳🇱) checking for VMware vSphere hosts vulnerable to remote code execution (CVE-2021-21985).
— Bad Packets (@bad_packets) June 3, 2021
Vendor advisory: https://t.co/D0aWkbQMPT#threatintel
Nessun commento:
Posta un commento