Exploit funzionante disponibile per vulnerabilità critiche in VMware vCenter

La nuova variante dell’exploit può essere utilizzata per aprire una shell inversa su un sistema vulnerabile.

Un exploit già pronto per la vulnerabilità dell’esecuzione di codice in remoto in VMware vCenter (CVE-2021-22005) è ora ampiamente disponibile, che è quello utilizzato dai criminali informatici.

A differenza della versione pubblicata su Internet alla fine della scorsa settimana, la nuova versione dell’exploit può essere utilizzata per aprire una shell inversa su un sistema vulnerabile, consentendo di eseguire codice arbitrario in remoto.

La vulnerabilità consente a un utente malintenzionato di caricare file sul servizio di analisi di vCenter Server senza alcuna autorizzazione. Lo sviluppatore di exploit wvu ha rilasciato un exploit inedito per CVE-2021-22005 che funziona su endpoint con il Customer Experience Improvement Program (CEIP) abilitato, che di solito è abilitato per impostazione predefinita.

Tuttavia, secondo VMware, la vulnerabilità può essere sfruttata “da chiunque abbia accesso al vCenter Server in rete, indipendentemente dalle impostazioni di configurazione”.

Nella sua particolare analisi tecnica WVU ha detto tutto ciò che il codice sta facendo in ogni fase, a cominciare con la query, crea la necessità di bypass directory catalogo e la pianificazione di una distribuzione.

Come osserva il ricercatore, sebbene l’exploit generi molti file, l’attacco non viene rilevato dalle soluzioni di sicurezza standard, quindi ha consigliato di utilizzare Audit Framework, che raccoglie dati sia sugli eventi di sicurezza che sugli eventi non correlati alla sicurezza.

VMware ha annunciato CVE-2021-22005 il 21 settembre di quest’anno. Il problema ha ricevuto un livello di gravità di 9,8 su un massimo di 10. Nell’avviso di sicurezza della scorsa settimana , la Cyber ​​and Infrastructure Security Agency (CISA) ha esortato le organizzazioni di infrastrutture critiche che utilizzano i server vCenter a dare priorità agli aggiornamenti a tali macchine o ad applicare soluzioni alternative.

Pochi giorni dopo la pubblicazione dell’avviso CISA, è apparso su Internet il primo exploit PoC. Nella sua forma originale, non era funzionale, quindi gli script kiddy inesperti non potevano usarlo. Tuttavia, gli hacker con competenze specializzate erano abbastanza in grado di trasformarlo in uno strumento funzionante per l’esecuzione di codice remoto.

Gli aggressori hanno iniziato a mostrare interesse per la vulnerabilità solo poche ore dopo che il produttore l’ha rivelata. Ora che è disponibile un exploit completo, gli hacker inesperti si uniranno ai ranghi degli aggressori e il numero di attacchi, compresi quelli che utilizzano ransomware, aumenterà.