13:20

Для критической уязвимости в VMware vCenter доступен рабочий эксплоит

Готовый эксплоит для уязвимости удаленного выполнения кода в VMware vCenter ( CVE-2021-22005 ) теперь широко доступен, чем и пользуются киберпреступники. В отличие от версии, выложенной в интернет в конце прошлой недели, новый вариант эксплоита может использоваться для открытия на уязвимой системе обратной оболочки, позволяющей удаленно выполнить произвольный код. С помощью уязвимости злоумышленник может загружать файлы в аналитический сервис vCenter Server без какой-либо авторизации. Разработчик эксплоитов wvu выпустил неотредактированный эксплоит для CVE-2021-22005, работающий на конечных точках с включенным компонентом Customer Experience Improvement Program (CEIP), который обычно включен по умолчанию. Однако, по словам VMware, проэксплуатировать уязвимость может "каждый, кто имеет доступ к vCenter Server по сети, независимо от настроек конфигурации". В своем техническом анализе wvu подробно рассказал о том, что его код делает на каждом этапе, начиная с запросов, создающих необходимую для обхода каталога директорию, и планирования развертывания обратной оболочки. Как отмечает исследователь, хотя эксплоит генерирует множество файлов, атака не фиксируется стандартными решениями безопасности, поэтому он рекомендовал использовать Audit Framework, который собирает данные как о событиях безопасности, так и о событиях, с безопасностью не связанных. VMware раскрыла CVE-2021-22005 21 сентября нынешнего года. Проблема получила оценку опасности 9,8 из максимальных 10. В опубликованном на прошлой неделе уведомлении безопасности Агентства кибербезопасности и безопасности инфраструктуры (CISA) призвала организации критической инфраструктуры, использующие серверы vCenter, приоритизировать обновления этих машин или применить временные решения. Через несколько дней после выхода уведомления CISA в интернете появился первый PoC-эксплоит. В своем оригинальном виде он был нефункциональным, так что малоопытные скрипт-кидди воспользоваться им не могли. Тем не менее, обладающие специальными навыками хакеры вполне были способны превратить его в рабочий инструмент для удаленного выполнения кода. Злоумышленники начали проявлять интерес к уязвимости всего через несколько часов после ее раскрытия производителем. Теперь, когда доступен полноценный эксплоит, ряды атакующих пополнятся малоопытными хакерами и число атак, в том числе с использованием вымогательского ПО, возрастет.

• 13:47 Открытый интерес к фьючерсам на Ethereum впервые превысил $15,6 млрд
• 13:31 Ethereum уже почти $4000. Почему?
• 13:26 Как далекий от криптовалют документалист при помощи мамы и $2500 снял фильм о крахе FTX
• 12:33 Дело о взятке в 2718 BTC поступило в подмосковный суд
• 11:11 Defi Llama: Клиенты криптобиржи Bybit вывели более $50 млн за сутки
• 10:51 StarkWare представила платформу масштабирования для ZK-приложений
• 10:42 Эксперт оценил перспективы криптовалюты Дурова
• 10:37 Слабая иена усилит биткоин

И еще 20