VMware, Ekim ayında yamalı bir kritik vCenter Server uzaktan kod yürütme güvenlik açığının artık aktif sömürü altında olduğunu doğruladı.
VCenter Server, yöneticilerin ESX ve ESXI sunucularını ve sanal makineleri (VMS) yönetmelerine yardımcı olan VMware vSphere ortamları için bir yönetim platformudur.
"VMware, CVE-2023-34048'in sömürüsünün vahşi doğada gerçekleştiğini doğruladı." Dedi.
Güvenlik açığı, trend mikro güvenlik açığı araştırmacısı Grigory Dorodnov tarafından bildirilmiştir ve VCenter'ın DCE/RPC protokolü uygulamasında sınır dışı bir zayıflıktan kaynaklanmaktadır.
Saldırganlar, kimlik doğrulama veya kullanıcı etkileşimi gerektirmeyen yüksek gizlilik, dürüstlük ve kullanılabilirlik etkisi ile düşük karmaşık saldırılarda uzaktan yararlanabilir. Kritik doğası nedeniyle VMware, aktif destek olmadan birden fazla yaşam sonu ürünleri için güvenlik yamaları yayınladı.
Network Access Brokers, VMware sunucularını devralmayı ve daha sonra şirket ağlarına kolay erişim için fidye yazılım çetelerine siber suç forumlarında satmayı sever. Birçok fidye yazılımı grubu (Royal, Black Basta, Lockbit ve daha yakın zamanlarda RTM Locker, Qilin, Esxiargs, Monti ve Akira) artık kurbanların VMware ESXI sunucularını doğrudan hedeflemeleri ve büyük talep etmeleri için biliniyor. fidye.
Shodan verilerine göre, 2.000'den fazla VMware Center sunucusu şu anda çevrimiçi olarak maruz kalmaktadır, potansiyel olarak saldırılara karşı savunmasızdır ve kurumsal ağları vSphere yönetim rolleri göz önüne alındığında riskleri ihlal etmektedir.
Geçici çözüm olmadığından VMware, sunucularını vSphere yönetim bileşenlerine ağ çevre erişimini kesinlikle kontrol etmeye hazırlayamayan yöneticileri çağırdı.
Şirket, "VMware, genel etkili bir güvenlik duruşunun bir parçası olarak VSphere'deki tüm yönetim bileşenlerine ve depolama ve ağ bileşenleri gibi ilgili bileşenlere tüm yönetim bileşenlerine ve arayüzlerine sıkı ağ çevre erişim kontrolü öneriyor."
Bu güvenlik açığını hedefleyen saldırılarda potansiyel sömürü ile bağlantılı belirli ağ bağlantı noktaları 2012/TCP, 2014/TCP ve 2020/TCP'dir.
Haziran ayında VMware ayrıca, kod yürütme ve kimlik doğrulama baypas risklerini savunmasız sunuculara poz veren birden fazla yüksek aralıklı vCenter Server güvenlik kusurlarını düzeltti.
Aynı hafta, şirket, Çin devlet hackerları tarafından veri hırsızlığı saldırılarında kullanılan bir ESXI sıfır gününü sabitledi ve müşterileri ağ kusurları için aktif olarak sömürülen kritik ARIA operasyonlarının uyardı.
Yılın başlangıcından bu yana, BT yöneticileri ve güvenlik ekipleri, Ivanti Connect Secure, Ivanti EPMM ve Citrix NetScaler sunucularını etkileyen sıfır günler de dahil olmak üzere aktif sömürü altındaki birden fazla güvenlik açığı uyarılarını ele almak zorunda kaldı.
Çinli hackerlar iki yıl boyunca sıfır gün olarak vmware hatasını sömürüyor
Citrix, saldırılarda sömürülen yeni Netscaler sıfır günlerini uyarıyor
Bilgisayar korsanları, POC POC'yi kullanarak kritik Apache Struts kusurlarını kullanıyor
Sophos Backports RCE Desteklenmemiş Güvenlik Duvarlarına Saldırılardan Sonra Fix
Yeni Botnet kötü amaçlı yazılım, NVR'leri ve yönlendiricileri enfekte etmek için iki sıfır gün istismar ediyor
Kaynak: Bleeping Computer