針對前天VMware修補的一個關(guān)鍵的任意文件上傳漏洞，黑客團體正在針對全球未修補的暴露于互聯(lián)網(wǎng)的VMware vCenter服務(wù)器，該漏洞會導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

　　被定義為CVE-2021-22005（CVSS 3.1嚴(yán)重性等級為9.8/10）的高危安全漏洞，會影響所有具有默認(rèn)配置的VMware vCenter Server6.7和7.0部署。攻擊者可以利用該安全漏洞通過上傳特制文件在未修補的vCenter Server部署上執(zhí)行命令和軟件。

　　該漏洞由SolidLab LLC的George Noseevich和 Sergey Gerasimov報告，未經(jīng)身份驗證的攻擊者可以在低復(fù)雜度攻擊中遠(yuǎn)程利用它，而無需用戶交互。

　　補丁發(fā)布后數(shù)小時黑客就開始掃描

　　雖然漏洞利用代碼尚未公開，但威脅情報公司Bad Packets已經(jīng)發(fā)現(xiàn)了正在進(jìn)行的掃描活動 ，其中一些VMware蜜罐記錄了攻擊者在VMware發(fā)布安全更新幾個小時后探測關(guān)鍵漏洞的存在。

　　“從116[.]48.233.234檢測到CVE-2021-22005掃描活動，”Bad Packets在今天早些時候發(fā)推文，后來補充說，掃描使用的是VMware為無法立即修補其設(shè)備的客戶提供的解決方法信息。

　　根據(jù)用于聯(lián)網(wǎng)設(shè)備的Shodan搜索引擎，目前，數(shù)以千計的潛在易受攻擊的 vCenter服務(wù)器可通過互聯(lián)網(wǎng)訪問并受到攻擊 。

　　易受攻擊的VMware vCenter服務(wù)器 （Shodan）

　　這不是黑客第一次掃描和攻擊易受攻擊的VMware vCenter服務(wù)器。

　　今年2月， 在安全研究人員發(fā)布了另一個影響所有默認(rèn)vCenter安裝的關(guān)鍵 RCE 安全漏洞 （CVE-2021-21972） 的概念驗證 （PoC） 漏洞利用代碼后，黑客大規(guī)模掃描了未打補丁的vCenter設(shè)備。

　　今年6月，在線發(fā)布漏洞利用代碼后，黑客開始掃描暴露于互聯(lián)網(wǎng)的VMware vCenter服務(wù)器，這些服務(wù)器容易受到CVE-2021-21985 RCE漏洞的攻擊。

　　VMware警告即將到來的利用嘗試

　　這些正在進(jìn)行的掃描是在VMware前天發(fā)布的警告之后進(jìn)行的，對此我們以強調(diào)盡快針對CVE-2021-22005漏洞修補服務(wù)器的重要性。

　　VMware技術(shù)營銷架構(gòu)師Bob Plankers表示： “無論vCenter Server的配置設(shè)置如何，任何可以通過網(wǎng)絡(luò)訪問vCenter Server以獲取訪問權(quán)限的人都可以利用此漏洞 ?！?/p>

　　“在這個勒索軟件時代，最安全的做法是假設(shè)攻擊者已經(jīng)在您的網(wǎng)絡(luò)中某處，在桌面上，甚至可能控制著用戶帳戶，這就是為什么我們強烈建議您盡快宣布緊急更改和修補程序?！?/p>

　　該公司提供了一種臨時解決方法， 要求管理員編輯虛擬設(shè)備上的文本文件并手動重新啟動服務(wù)或使用腳本刪除漏洞利用向量。

　　VMware還發(fā)布了一份詳細(xì)的FAQ文檔，其中包含有關(guān)CVE-2021-22005 缺陷漏洞的其他問題和答案。

　　“立即修復(fù)！此漏洞的后果很嚴(yán)重，并且在公開可用的漏洞利用之前可能是時間問題 - 可能是幾分鐘后，” VMware補充道。

　　“隨著勒索軟件的威脅如今迫在眉睫，最安全的立場是假設(shè)攻擊者可能已經(jīng)通過使用網(wǎng)絡(luò)釣魚或魚叉式網(wǎng)絡(luò)釣魚等技術(shù)控制了桌面和用戶帳戶并采取相應(yīng)行動。

　　”這意味著攻擊者可能已經(jīng)能夠從企業(yè)防火墻內(nèi)部訪問vCenter Server，時間至關(guān)重要?！?/p>