IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

VMware vCenter

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

هشدار: حمله از طریق باگ مهم RCE به سرور VMware vCenter

 

عاملان خرابکار به طور فعال فضای سایبری را برای یافتن سرورهای آسیب پذیر VMware vCenter بروزرسانی نشده که در برابر نقص مهم اجرای کد از راه دور که این شرکت در اواخر ماه گذشته به آن پرداخت آسیب پذیر هستند، جستجو می کنند.

این فعالیت که توسط Bad Packets در حال بررسی است، در 3 ژوئن شناسایی شده و دیروز توسط محقق امنیتی، کوین بومونت تأیید گردیده است. تروی مارچ، مدیر ارشد تحقیقات Bad Packets در توییتر خود نوشت: "فعالیت اسکن انبوه و گسترده از طریق آنالیز 104.40.252.159 برای بررسی آسیب پذیری هاست VMware vSphere در برابر امکان اجرای کد از راه دور شناسایی گردید".

این توسعه به دنبال انتشار یک کد proof-of-concept یا PoC برای سواستفاده از RCE و در راستی هدفگیری نقص و باگ VMware vCenter انجام پذیرفته است.

به نقل از هکر نیوز، این مورد که با عنوان CVE-2021-21985 (نمره CVSS 9.8) مطرح می شود، نتیجه عدم اعتبار سنجی ورودی در افزونه Virtual SAN (vSAN) Health Check است که می تواند توسط مهاجم برای اجرای دستورات با اختیارات نامحدود بر روی سیستم عامل اصلی که میزبان سرور vCenter است، مورد سواستفاده قرار گیرد.

takian.ir alert critical rce bug in vmware 1

 

اگرچه این نقص توسط VMware در تاریخ 25 ماه می برطرف شده است، اما این شرکت به شدت به مشتریان خود اعلام کرده است که بلافاصله تغییر اضطراری جدید را اعمال کنند. به نثل از VMware: "در این بازه زمانی از فعالیت باج افزارها، ایمن ترین حالت این است که تصور کنیم یک مهاجم از قبل در جایی از شبکه و روی دسکتاپ قرار دارد و شاید حتی در حال کنترل یک حساب کاربری در داخل شبکه باشد؛ به همین دلیل است که ما توصیه می کنیم هرچه سریعتر تغییر اضطراری و بروزرسانی را اعمال نمایید".

takian.ir alert critical rce bug in vmware 2

 

این اولین بار نیست که مهاجمان به شکل فرصت طلبانه ای، فضای سایبری را برای یافتن سرورهای آسیب پذیر VMware vCenter جستجو می کنند. یک آسیب پذیری مشابه اجرای کد از راه دور (CVE-2021-21972) که توسط VMware در ماه فوریه پچ شد، هدف حمله عاملین تهدیدات سایبری که سعی در بهره برداری و کنترل سیستم های بروزرسانی نشده داشتند، قرار گرفت.

براساس گزارشات Bad Packets و Binary Edge، حداقل ۱۴۸۵۸ سرور vCenter در آن بازه زمانی از طریق فضای سایبری، برای مهاجمین قابل دسترسی و نفوذ بوده اند.

علاوه بر این، یک تحقیق جدید از Cisco Talos در اوایل این هفته منتشر شد که نشان داد عامل تهدید در پس ربات مبتنی بر پایتون Necro، با سواستفاده از همان ضعف امنیتی ذکر شده در راستای افزایش توانایی انتشار آلودگی بدافزار، به سرورهای VMware vCenter در معرض خطر نفوذ پیدا میکند.