Minggu Keamanan 23: Memanfaatkan Kerentanan di VMware vCenter

Kerentanan di VMware vCenter Server - perangkat lunak kontrol infrastruktur cloud - berisiko menjadi masalah yang tingkat keparahannya sebanding dengan zero-day yang ditemukan sebelumnya di Microsoft Exchange. Meskipun jumlah instalasi Server vCenter yang tersedia dari jaringan jauh lebih kecil (ribuan versus puluhan ribu server email), masing-masing dari mereka dapat mengelola armada besar sistem virtual. Kerentanan CVE-2021-21985 telah ditambal pada akhir Mei, dan berita minggu ini adalah munculnya Proof of Concept yang berfungsi di domain publik dan awal dari fase eksploitasi aktif.





Kesamaan lain dengan masalah Maret di Microsoft Exchange adalah kerentanan itu sendiri berisiko. Itu mencetak 9,8 dari 10 pada skala CVSSv3 dan memberikan penyerang akses penuh ke sistem operasi yang menjalankan vCenter. Secara khusus, kerentanan ditemukan di plugin Virtual SAN Health Check, yang diaktifkan secara default. Untuk administrator infrastruktur berbasis solusi VMware, ini adalah alasan untuk segera memperbarui ke versi terbaru, atau setidaknya memblokir kode yang bermasalah agar tidak berfungsi.

Sumber dari

• Security Advisory tertanggal 25 Mei.
• Sebuah artikel di Basis Pengetahuan yang menjelaskan cara memblokir plugin (penonaktifan plugin secara langsung tidak menutup kerentanan).
• Bukti Konsep Publik .
• Catatan Rilis untuk vCenter Server 6.7 Perbarui 3n. Juga patch telah dirilis untuk versi 7.0 dan 6.5 .
• Puasa di VMware dan FAQ blog FAQ .
• Artikel dalam edisi ArsTechnica.
• Berita tentang Habré.

Minggu lalu, tidak hanya bukti fungsionalitas PoC yang muncul di jaringan, tetapi juga kesaksian dari pengelola honeypot tentang pemindaian port massal untuk mencari instalasi yang rentan. Pencarian di mesin pencari khusus Shodan mengembalikan 5.500 port yang tersedia dari jaringan server vCenter, sebagian besar di Amerika Serikat. Peringatan resmi 4 Juni dirilis oleh Badan Keamanan Siber AS. ArsTechnica mengingatkan bahwa tahun ini banyak kerentanan kelas "mungkin sudah terlambat untuk ditambal" ditemukan: ini adalah masalah yang disebutkan di Exchange Server, dan kerentanan di VPN Pulse Secure dan Fortinet, dan lubang di perangkat lunak server BIG-IP dari Jaringan F5. Dalam kasus VMware, administrator hanya memiliki beberapa hari untuk menyelesaikan masalah. Dalam kasus Exchange, perlu untuk segera bereaksi: operasi dimulai sebelum rilis tambalan.

Apa lagi yang terjadi?

"Insiden dunia maya" (kemungkinan besar serangan ransomware) terjadi di pemasok daging besar, JBS Foods.



Sophos sedang menyelidiki malware yang mengeksploitasi kerentanan Maret di Exchange Server dan mengenkripsi data.



Penelitian terbaru oleh Kaspersky Lab: laporan tentang evolusi ancaman untuk kuartal pertama tahun 2021 ( artikel ikhtisar , statistik pada PC dan perangkat seluler ); gambaran umum tentang Gootkit Trojan dan panduan untuk email spoofing.



Minggu ini Amazon akan mengaktifkan fitur Amazon Sidewalk yang menghubungkan perangkat perusahaan (seperti bel pintu dengan kamera Amazon Ring dan alat keamanan rumah lainnya) ke dalam jaringan mesh. Trotoar memiliki fitur privasi yang meragukan: untuk "efisiensi yang lebih besar", perangkat orang lain dapat menggunakan saluran Anda untuk mengakses Internet untuk berkomunikasi dengan server.