这不是一个钻头:vmware vuln,具有9.8严重程度的级别受到攻击

2021-06-05 04:59:35

具有10分中的严重等级的VMware漏洞在于10分之一处于积极的开发。至少一个可靠的漏洞已经发布了公众,并且在狂野中成功尝试损害运行易受攻击软件的服务器。

漏洞,被跟踪为CVE-2021-21985,驻留在vCenter Server中,该工具是一个用于管理大数据中心的虚拟化的工具。上周发布的VMware Advisory表示,使用默认配置的vCenter计算机具有错误的错误,在许多网络中,允许在接触到Internet的端口上到达机器时执行恶意代码。星期三,一名研究员发表了利用缺陷的概念验证代码。一个人要求不被命名的研究员表示利用可靠地工作,并且需要对恶意目的使用代码需要几乎需要的额外工作。它可以使用来自CURL的五个请求来再现,该命令行工具使用HTTP,HTTPS,IMAP和其他常用Internet协议传输数据。

另一名关于发布的漏洞发布的研究员告诉我,他能够通过单击单击来修改它以获取远程代码执行。

研究人员说:“它将在没有任何认证机制的目标机器中获取代码执行。”

与此同时,研究员凯文博蒙特周五表示,他的蜜互斑黄之一 - 这意味着一个互联网连接的服务器运行过日期软件,因此研究人员可以监控主动扫描和开发 - 通过搜索易受攻击服务器的远程系统扫描。

大约35分钟后,他发了推文,“哦,我的一张蜜蛋白没有CVE-2021-21985在我工作的时候爆发,我哈希网壳(惊讶它不是一个硬币矿工)。”

哦,我的一个蜜蛋白受到了CVE-2021-21985,而我正在工作的时候,我哈希网?(惊讶它不是一个硬币矿工)。

- Kevin Beaumont(@Gossithedog)2021年6月4日

Web Shell是一个命令行工具,即在易受攻击的计算机上成功获得代码执行后使用的黑客使用。一旦安装,世界上任何地方的攻击者都基本上是合法管理员的控制。

周四报道了糟糕的包裹的特洛伊·米瑟,他的蜜罐也开始接受扫描。他说,周五,扫描正在持续。

野外活动是通过其他严重漏洞的恶意剥削,管理员的管理员的最新头痛。自年初以来,大型组织中使用的各种应用程序都受到攻击。在许多情况下,漏洞已经是零天,在公司发出补丁之前正在使用的漏洞利用。

攻击包括脉冲安全VPN利用目标联邦机构和国防承包商,成功利用基于西雅图的F5网络销售的服务器设备的代码执行缺陷,SonicWALL防火墙的折衷,使用零天在Microsoft Exchange中妥协于美国数以万计的组织,以及开发组织运行尚未更新的Fortinet VPN版本。与上面的所有已剥削的产品一样,vCenter驻留在大型组织网络的潜在弱势部分。一旦攻击者获得了对机器的控制,它通常只是一个时间问题,直到它们可以移动到网络的一部分,允许安装间谍恶意软件或勒索软件。

负责尚未修补CVE-2021-21985的vCenter计算机负责的管理员应尽可能立即安装更新。在星期一看到攻击卷剧群体并不令人惊讶。