kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> 6000台VMware vCenter设备,易受到远程攻击

6000台VMware vCenter设备,易受到远程攻击

2021-03-02
来源:关键基础设施安全应急响应中心

  据报道,安全公司Positive Technologies表示,全球超过6000个VMware vCenter设备可以通过互联网访问,其中包含一个关键的远程代码执行漏洞。目前,VMware已经发布了修补该漏洞的方法建议。

1.png

  据悉,该漏洞名为CVE-2021-21972,如果被利用,它可使黑客能够执行任意命令,危及vCenter服务器,并可能获得访问敏感数据的权限。

  该漏洞是在vSphere Client (HTML5)中发现的,这是VMware vCenter的一个插件,通常作为一个管理接口访问安装在大型企业网络工作站上的VMware主机。该界面允许管理员创建和管理虚拟机以及主机资源。

  Positive Technologies研究人员Mikhail Klyuchnikov说,通过利用这个漏洞,未经授权的用户可以发送一个经过特别设计的请求,最终得以在服务器上执行任意命令。

3.png

  Klyuchnikov说:“在获得了这样的机会之后,攻击者就可以发起这种攻击,成功地穿越公司网络,并访问存储在被攻击系统中的数据(例如有关虚拟机和系统用户的信息)。如果可以从互联网访问易受攻击的软件,则将使外部攻击者能够侵入公司的外部范围并访问敏感数据。这个漏洞是危险的,因为它可以被任何未经授权的用户使用。”

  安全公司KnowBe4的安全意识倡导者Javvad Malik说,组织应优先考虑修补任何VMware vCenter设备。

  Positive Technologies公司表示,在全世界6000多台VMware vCenter设备中,26%位于美国,其余位于德国、法国、中国、英国、加拿大、俄罗斯、中国台湾、伊朗和意大利。

3.png

  然而安全公司的研究人员报告,利用这个漏洞的主要威胁来自内部人士或其他人士,他们使用如社交工程或Web漏洞等方法穿透了网络边界的保护,从而可以访问内部网络。

  2020年8月,Positive Technologies发表了关于外部渗透测试的研究报告,并成功进入网络边界,获得93%的公司的本地网络资源。

  研究人员指出:“尽管90%以上的VMware vCenter设备完全位于外围,但根据Positive Technologies analytics的估计,其中一些设备可以进行远程访问。”

4.png

  此外,Positive Technologies还发现了一个VMware vCenter Server漏洞CVE-2021-21973,该漏洞允许未经授权的用户向vCenter Server插件发送POST请求,导致信息泄露。这可以促使黑客进行进一步的攻击,使他们能够扫描公司的内部网络,并获得有关各种服务的开放端口的信息。

  Positive Technologies建议从VMware安装更新,并从组织范围内删除vCenter Server接口,将其分配到内部网络中具有受限访问列表的单独VLAN。

  安全公司Synopsys的高级安全工程师鲍里斯·西波特指出:“即使像VMware这样的公司确保向其客户提供安全的软件,该版本发布后仍可能会出现安全漏洞。”

  早前,Positive Technologies的研究员Egor Dimitrenko在VMware vSphere Replication tool中发现了一个严重漏洞。如果该漏洞被利用,攻击者就可以访问该工具的管理web界面,以最大权限在服务器上执行任意代码,并在网络上开始横向移动,以夺取对公司基础设施的控制。


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
Baidu
map