Angribere scanner efter sårbare VMware-servere

Trusselsaktører har fået øjnene op for kritisk sårbarhed i VMware vCenter-servere.

Trusselsaktører er begyndt aktivt at scanne efter interneteksponerede VMware vCenter-servere, der ikke er patchet mod en RCE-sårbarhed. En sårbarhed, der påvirker alle vCenter-implementeringer, men som er patchet af VMware for ti dage siden. Det skriver Bleeping Computer på baggrund af en observation fra efterretningsvirksomheden Bad Packets.

Også CISA er på banen med en meddelelse om sandsynligheden for, at  ’..cybertrusselsaktører forsøger at udnytte CVE-2021-21985, en sårbarhed i forbindelse med fjernafvikling af kode i VMware vCenter Server og VMware Cloud Foundation.’

Selve patchene blev stillet til rådighed den 25. maj 2021, men det er ikke alle, der får opdateret, og ikke-patchede systemer et altid attraktivt mål. Som regel er VMware-servere særligt attraktive, eftersom systemerne typisk anvendes af større virksomheder og organisationer, hvorfor informationer her antageligvis har stor værdi for virksomhederne og derfor også for angriberne.

CISA opfordrer til opdatering af systemerne – selv hvis det kræver ’out-of-cycle work’ – og hvis det ikke kan lade sig gøre, anbefales implementering af workarounds, som det fremgår af VMwares advisory.

Links:

https://www.bleepingcomputer.com/news/security/attackers-are-scanning-for-vulnerable-vmware-servers-patch-now/

https://us-cert.cisa.gov/ncas/current-activity/2021/06/04/unpatched-vmware-vcenter-software

https://kb.vmware.com/s/article/83829

https://www.cert.dk/da/news/2021-26-05/VMware-advarer-om-kritisk-RCE-saarbarhed-der-paavirker-alle-vCenter-Server-installationer