Une vulnérabilité VMware avec un indice de gravité de 9,8 sur 10 est en cours d’exploitation. Au moins un exploit fiable a été rendu public, et il y a eu des tentatives réussies dans la nature pour compromettre les serveurs qui exécutent le logiciel vulnérable.
La vulnérabilité, suivie comme CVE-2021-21985, réside dans le Serveur vCenter, un outil de gestion de la virtualisation dans les grands centres de données. Un avis de VMware publié la semaine dernière a déclaré que les machines vCenter utilisant des configurations par défaut présentent un bogue qui, dans de nombreux réseaux, permet l’exécution de code malveillant lorsque les machines sont accessibles sur un port exposé à Internet.
Exécution de code, aucune authentification requise
Mercredi, un chercheur a publié code de preuve de concept qui exploite la faille. Un collègue chercheur qui a demandé à ne pas être nommé a déclaré que l’exploit fonctionnait de manière fiable et que peu de travail supplémentaire était nécessaire pour utiliser le code à des fins malveillantes. Il peut être reproduit à l’aide de cinq requêtes de cURL, un outil en ligne de commande qui transfère des données à l’aide de HTTP, HTTPS, IMAP et d’autres protocoles Internet courants.
Un autre chercheur qui tweeté à propos de l’exploit publié m’a dit qu’il était capable de le modifier pour obtenir l’exécution de code à distance en un seul clic de souris.
« Il obtiendra l’exécution du code dans la machine cible sans aucun mécanisme d’authentification », a déclaré le chercheur.
je haz web shell
Le chercheur Kevin Beaumont, quant à lui, dit vendredi que l’un de ses pots de miel, c’est-à-dire un serveur connecté à Internet exécutant un logiciel obsolète pour que le chercheur puisse surveiller l’analyse et l’exploitation actives, a commencé à voir l’analyse par des systèmes distants à la recherche de serveurs vulnérables.
Environ 35 minutes plus tard, il a tweeté: « Oh, l’un de mes pots de miel s’est fait éclater avec CVE-2021-21985 pendant que je travaillais, j’ai un shell Web (surpris que ce ne soit pas un mineur). »
Oh, l’un de mes pots de miel s’est fait éclater avec CVE-2021-21985 pendant que je travaillais, je haz webshell (surpris que ce ne soit pas un mineur de pièces).
– Kevin Beaumont (@GossiTheDog) 4 juin 2021
Un shell Web est un outil en ligne de commande que les pirates utilisent après avoir réussi à exécuter du code sur des machines vulnérables. Une fois installés, les attaquants partout dans le monde ont essentiellement le même contrôle que les administrateurs légitimes.
Troy Mursch de Mauvais Paquets rapporté jeudi que son pot de miel avait également commencé à recevoir des scans. Vendredi, les scans se poursuivaient, il mentionné. Quelques heures après la publication de cet article, la Cybersecurity and Infrastructure Security Administration a publié un avis.
Il a déclaré : « CISA est conscient de la probabilité que les acteurs de la cybermenace tentent d’exploiter CVE-2021-21985, une vulnérabilité d’exécution de code à distance dans VMware vCenter Server et VMware Cloud Foundation. Bien que des correctifs aient été mis à disposition le 25 mai 2021, les systèmes restent une cible attrayante et les attaquants peuvent exploiter cette vulnérabilité pour prendre le contrôle d’un système non corrigé. »
Sous barrage
L’activité dans la nature est le dernier casse-tête pour les administrateurs qui étaient déjà sous le barrage d’exploits malveillants d’autres vulnérabilités graves. Depuis le début de l’année, diverses applications utilisées dans les grandes organisations ont fait l’objet d’attaques. Dans de nombreux cas, les vulnérabilités étaient des failles zero-day, des exploits qui étaient utilisés avant que les entreprises ne publient un correctif.
Les attaques comprenaient des exploits Pulse Secure VPN ciblant des agences fédérales et des sous-traitants de la défense, des exploits réussis d’une faille d’exécution de code dans la gamme d’appliances de serveurs BIG-IP vendues par F5 Networks, basé à Seattle, la compromission des pare-feu Sonicwall, l’utilisation de zero-day dans Microsoft Exchange pour compromettre des dizaines de milliers d’organisations aux États-Unis et l’exploitation d’organisations exécutant des versions du VPN Fortinet qui n’avaient pas été mises à jour.
Comme tous les produits exploités ci-dessus, vCenter réside dans des parties potentiellement vulnérables des réseaux de grandes entreprises. Une fois que les attaquants ont pris le contrôle des machines, ce n’est souvent qu’une question de temps jusqu’à ce qu’ils puissent se déplacer vers des parties du réseau qui permettent l’installation de logiciels malveillants d’espionnage ou de ransomware.
Les administrateurs responsables des machines vCenter qui n’ont pas encore mis à jour CVE-2021-21985 doivent installer la mise à jour immédiatement si possible. Il ne serait pas surprenant de voir les volumes d’attaque crescendo d’ici lundi.
Message mis à jour pour ajouter l’avis CISA.
