严重等级为 9.8 的 VMware 漏洞正在受到攻击？

西多

利用 vCenter 中的代码执行缺陷在未修补的计算机上安装 Web 外壳程序。
严重等级为 9.8（满分 10 分）的 VMware 漏洞正在被积极利用。至少有一个可靠的漏洞已经公开，并且已经成功地尝试破坏运行易受攻击软件的服务器。
该漏洞被跟踪为 CVE-2021-21985，位于 vCenter Server 中，这是一种用于管理大型数据中心虚拟化的工具。上周发布的VMware公告称，使用默认配置的vCenter计算机存在一个错误，在许多网络中，当计算机在暴露在互联网上的端口上可访问时，允许执行恶意代码。
代码执行，无需身份验证

周三，一位研究人员发布了利用该漏洞的概念验证代码。一位不愿透露姓名的研究员表示，该漏洞利用工作可靠，并且几乎不需要额外的工作即可将代码用于恶意目的。可以使用来自 cURL 的五个请求来重现它，cURL 是一种命令行工具，使用 HTTP、HTTPS、IMAP 和其他常见的互联网协议传输数据。
另一位在推特上发布有关已发布漏洞的研究人员告诉我，他能够修改它，只需单击一下鼠标即可获得远程代码执行。
“它将在没有任何身份验证机制的情况下在目标机器中执行代码，”研究人员说。
与此同时，研究员凯文·博蒙特（Kevin Beaumont）周五表示，他的一个蜜罐 - 意味着一个连接互联网的服务器运行过时的软件，以便研究人员可以监控主动扫描和利用 - 开始看到远程系统搜索易受攻击的服务器的扫描。
大约35分钟后，他在推特上写道：“哦，我的一个蜜罐在我工作时被CVE-2021-21985弹出，我讨厌网络外壳（惊讶它不是一个硬币矿工）。
Web shell 是黑客在易受攻击的计算机上成功执行代码后使用的命令行工具。安装后，世界上任何地方的攻击者基本上都拥有与合法管理员相同的控制权。
坏包的特洛伊·默希周四报道说，他的蜜罐也开始接收扫描件。他说，周五，扫描仍在继续。在这篇文章上线几个小时后，网络安全和基础设施安全管理局发布了一份公告。
它说：“CISA意识到网络威胁行为者试图利用CVE-2021-21985的可能性，CVE-2021-21985是VMware vCenter服务器和VMware云基础中的远程执行代码漏洞。尽管补丁已于2021年5月25日推出，但未修补的系统仍然是一个有吸引力的目标，攻击者可以利用此漏洞来控制未修补的系统。
在弹幕下

对于已经受到其他严重漏洞的恶意攻击的管理员来说，野外活动是最新的头痛问题。自今年年初以来，大型组织中使用的各种应用程序都受到了攻击。在许多情况下，这些漏洞是零日漏洞，这些漏洞在公司发布补丁之前就被使用了。
攻击包括针对联邦机构和国防承包商的脉冲安全 VPN 漏洞利用、成功利用西雅图 F5 Networks 销售的服务器设备 BIG-IP 系列中的代码执行漏洞、破坏 Sonicwall 防火墙、在 Microsoft Exchange 中使用零日漏洞危害美国数以万计的组织，以及利用组织 运行尚未更新的福提内特 VPN 版本。
与上述所有被利用的产品一样，vCenter 位于大型组织网络中可能易受攻击的部分。一旦攻击者控制了机器，他们通常只是时间问题，他们就可以移动到允许安装间谍恶意软件或勒索软件的网络部分。
负责尚未修补 CVE-2021-21985 的 vCenter 计算机的管理员应尽可能立即安装更新。周一看到攻击量增加也就不足为奇了。
漏洞复现

vps


attack


后续利用




影响版本

​​VMware：vCenter Server​​：

• - 非7.0 U2b版本的7.0版本
  
• - 非6.7 U3n版本的6.7版本
  
• - 非6.5 U3p版本的6.5版本
  

​​VMware：Cloud Foundation​​：

• - 低于4.2.1版本的4.x版本
  
• - 低于3.10.2.1版本的3.x版本
  

通用修补建议

​​VMware：vCenter Server​​：

• - 7.0版本升级到7.0 U2b
  
• - 6.7版本升级到6.7 U3n
  
• - 6.5版本升级到6.5 U3p
  

​​VMware：Cloud Foundation​​：

• - 4.x版本升级到4.2.1
  
• - 3.x版本升级到3.10.2.1
  

参考：arstechnica

香蕉你个吧啦

非常好，顶一下

古即

确实不错，顶先