Компания VMware поблагодарила эксперта Positive Technologies Михаила Ключникова за помощь в устранении двух уязвимостей в vCenter Server. Эта платформа предназначена для централизованного управления и автоматизации VMware vSphere, ключевого продукта в современных центрах обработки данных. По оценкам IDC , компания занимает до 80% на рынке виртуальных машин. В 2019 году VMware вошла в рейтинг компаний с наибольшим потенциалом роста Fortune Future 50.

Наиболее опасная уязвимость относится к классу Remote Code Execution, что является одной из самых значительных угроз по классификации OWASP. Возможность удаленного выполнения кода на сервере в 100% случаев приводит к взлому ресурса. Ошибка получила идентификатор CVE-2021-21972 и оценку 9,8 по шкале CVSS v3. Проблема была обнаружена в функционале vSphere Client.

Основной угрозой в контексте данной уязвимости являются внутренние злоумышленники, которые преодолели защиту сетевого периметра с помощью других методов (социальной инженерии, веб-уязвимостей и т. д.) либо имеют доступ к внутренней сети с помощью ранее установленных бэкдоров. В прошлом году было опубликовано исследование «Итоги внешних пентестов — 2020», согласно которому попасть внутрь сетевого периметра и получить доступ к ресурсам локальной сети специалистам Positive Technologies удалось в 93% компаний.

Несмотря то, что более 90% устройств VMware vCenter находятся целиком внутри периметра (оценка аналитической службы Positive Technologies), часть их доступна удаленно. По данным мониторинга актуальных угроз (threat intelligence) компании Positive Technologies, число доступных из интернета и содержащих уязвимость CVE-2021-21972 устройств VMware vCenter во всем мире превышает 6 тысяч. Четверть таких устройств находятся в США (26%). Далее следуют Германия (7%), Франция (6%), Китай (6%), Великобритания (4%), Канада (4%), Россия (3%), Тайвань (3%), Иран (3%), Италия (3%).

«На наш взгляд, RCE-уязвимость в vCenter Server может представлять не меньшую угрозу, нежели нашумевшая уязвимость Citrix ( CVE-2019-19781 ), — рассказывает Михаил Ключников. — Ошибка позволяет неавторизованному пользователю отправить специально сформированный запрос, который впоследствии предоставит ему возможность выполнять произвольные команды на сервере. После получения такой возможности злоумышленник может развить атаку, успешно продвинуться по корпоративной сети и получить доступ к данным, хранящимся на атакуемой системе (информации о виртуальных машинах, о пользователях системы и т. д.). Если же доступ к уязвимому ПО есть из глобальной сети, то это позволит внешнему злоумышленнику преодолеть внешний периметр организации и также получить доступ к конфиденциальной информации. Еще раз хочется отметить, что уязвимость является опасной, так как ей может воспользоваться любой неавторизованный пользователь».

Другая уязвимость (CVE-2021-21973 с оценкой 5,3) позволяет неавторизованному пользователю отправлять запросы от имени атакуемого сервера. Данная ошибка может помочь злоумышленнику в развитии дальнейших атак. В частности, используя эти недостатки, есть возможность сканировать внутреннюю сеть организации и получать информацию об открытых портах различных сервисов.

Эксперты Positive Technologies рекомендуют в обязательном порядке установить обновления от вендора, а также убрать интерфейсы vCenter Server с периметра организаций, если они там есть, а во внутренней сети — выделить их в отдельный VLAN с ограниченным списком доступа.

Для устранения уязвимостей необходимо руководствоваться также рекомендациями, указанными в официальном уведомлении компании VMware.


Сразу же появился эксплоит

Исследователь опубликовал PoC-эксплоит сразу же после выхода исправления, не дав компаниям времени на его развертывание.

По данным Shodan, более 6,7 тыс. доступных через интернет серверов VMware vCenter уязвимы к новой атаке, позволяющей злоумышленникам захватывать контроль над необновленными устройствами и, как следствие, над внутренними сетями организаций.

Как сообщили эксперты ИБ-компании Bad Packets, они уже фиксируют попытки массового сканирования интернета в поисках установок VMware vCenter, содержащих уязвимость CVE-2021-21972 . Данная уязвимость затрагивает плагин vSphere Client (HTML5) и позволяет удаленно выполнять код. По шкале CVSS v3 проблема получила 9,8 балла из максимальных 10. Уязвимость совместно с CVE-2021-21973 была обнаружена специалистом Positive Technologies Михаилом Ключниковым и исправлена 23 февраля 2021 года.

Сканирования начались в среду, 24 февраля, после публикации китайским исследователем PoC-эксплоита для CVE-2021-21972. Выложив PoC-эксплоит в открытый доступ, исследователь не только не дал компаниям времени на развертывание исправлений, но и спровоцировал волну сканирований в поисках уязвимых систем VMware vCenter. Что еще хуже, эксплоит представляет собой однострочный запрос cURL, поэтому даже неопытные злоумышленники могут автоматизировать свои атаки.

Поскольку серверы VMware vCenter играют центральную роль в корпоративных сетях, их компрометация может позволить злоумышленникам получить доступ к любой подключенной к ним системе. Злоумышленники (известные как «брокеры доступа к сети») зачастую взламывают такие устройства, а затем продают доступ к ним на подпольных форумах операторам вымогательского ПО. Кроме того, такие киберпреступные группировки, как Darkside и RansomExx, еще в прошлом году начали атаковать системы VMware, демонстрируя, насколько эффективным может быть нацеливание на корпоративные сети на основе виртуальных машин.