Af Eskil Sørensen, 01/03/21
Kun en dag efter, at VMware publicerede programrettelser til en kritisk sårbarhed i vCenter Server, begyndte hackere at scanne internettet efter sårbare servere.
Sådan skrev Security Week onsdag i sidste uge, den 25. februar, på baggrund af en rapport fra threat intelligence-virksomheden Bad Packets. I rapporten fremgik det, at virksomheden allerede den 24. februar havde opdaget "massescanningsaktivitet" rettet mod vCenter-servere, der var berørt af en sårbarhed, CVE-2021-21972, som påvirker vSphere Client-komponenten i vCenter Servere. En sårbarhed, der kan udnyttes af en ekstern, uautoriseret angriber til at afvikle vilkårlige kommandoer med forhøjede privilegier på det operativsystem, der er vært for vCenter Serveren.
Det fremgår af Security Weeks artikel, at der er over 6.000 potentielt sårbare systemer, der er tilgængelige direkte fra internettet. I de fleste tilfælde skal en angriber dog have adgang til organisationens netværk for at udnytte sårbarheden.
Det er Cybersikkerhedsfirmaet Positive Technologies, der opdagede fejlen og rapporterede det til VMware. Positive Technologies har ifølge Security Week offentliggjort tekniske detaljer for sårbarheden efter at have set, at flere personer havde frigivet proof-of-concept (PoC)-exploitkode, kort efter VMware offentliggjorde sine opdateringer.
Historien her minder systemadministratorer om, at det skal gå stærkt med at installere opdateringer, når først sårbarhederne er ude.
Links:
https://www.securityweek.com/hackers-scanning-vmware-vcenter-servers-aff...
https://cert.dk/da/news/2021-02-24/Kritisk-fejl-i-HTML5-klienten-i-VMware