Компанія VMware підтвердила, що критична вразливість віддаленого виконання коду сервера vCenter Server, виправлена у жовтні, зараз активно експлуатується. Вразливість класифікована як CVE-2023-34048 і спричинена недоліком запису поза межами в реалізації протоколу DCE/RPC vCenter, повідомляє BleepingComputer.
vCenter Server – це платформа керування для середовищ VMware vSphere, яка допомагає адміністраторам керувати серверами й віртуальними машинами (VM) ESX та ESXi.
Зловмисники можуть використовувати його віддалено в атаках низької складності з високим рівнем конфіденційності, цілісності та доступності, які не потребують автентифікації чи взаємодії з користувачем.
Через свою критичну природу VMware також випустила виправлення безпеки для багатьох продуктів, термін служби яких закінчився, без активної підтримки.
Брокери доступу до мережі люблять захоплювати сервери VMware, а потім продавати на форумах кіберзлочинців групам програм-вимагачів для легкого доступу до корпоративних мереж.
Багато груп програм-вимагачів (наприклад, Royal, Black Basta, LockBit і нещодавно RTM Locker, Qilin, ESXiArgs, Monti та Akira) тепер відомі тим, що безпосередньо націлені на сервери VMware ESXi жертв, щоб викрасти та зашифрувати їхні файли й вимагати величезні викупи.
Згідно з даними Shodan, понад 2000 серверів VMware Center нині потенційно вразливі до атак і наражають корпоративні мережі на ризики зламу, враховуючи їхню роль в управлінні vSphere.
Оскільки обхідного шляху немає, VMware закликала адміністраторів, які не можуть виправити свої сервери, суворо контролювати доступ до периметра мережі для компонентів керування vSphere.
«VMware наполегливо рекомендує суворий контроль доступу до периметра мережі для всіх компонентів керування та інтерфейсів у vSphere та пов’язаних компонентів, таких як сховище та мережеві компоненти, як частину загальної ефективної безпеки», – попередила компанія.
Конкретні мережеві порти, пов’язані з потенційним використанням в атаках, націлених на цю вразливість, це 2012/tcp, 2014/tcp і 2020/tcp.
У червні 2023 року VMware також виправила численні серйозні недоліки безпеки vCenter Server, які створювали ризики для виконання коду й обходу автентифікації для вразливих серверів.
Того ж тижня компанія виправила помилку нульового дня ESXi, яка використовувалася китайськими державними хакерами для атак на крадіжки даних, і попередила клієнтів про іншу критичну помилку Aria Operations for Networks.
З початку року ІТ-адміністраторам і командам безпеки довелося реагувати на попередження про численні вразливості системи безпеки, які активно експлуатуються, включно з нульовими днями, що впливають на сервери Ivanti Connect Secure, Ivanti EPMM і Citrix Netscaler.
Нагадаємо, що VMware стала частиною сімейства Broadcom і припинила продаж безстрокових ліцензій на продукти компанії. Замість цього вона пропонуватиме місячні підписки.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!
