Hơn 6.700 máy chủ VMware vCenter hiện đang bị lộ trực tuyến và dễ bị tấn công bởi một cuộc tấn công mới có thể cho phép tin tặc chiếm đoạt các thiết bị chưa được vá và chiếm toàn bộ mạng của các công ty một cách hiệu quả.

Theo công ty tình báo mối đe dọa Bad Packets, việc quét các thiết bị vCenter hiện đang được tiến hành.

Chúng tôi đã phát hiện thấy hoạt động quét hàng loạt nhắm vào các máy chủ VMware vCenter dễ bị tấn công ( https://t.co/t3Gv2ZgTdt ).

Quá trình quét đã bắt đầu sớm hơn vào ngày hôm nay sau khi một nhà nghiên cứu bảo mật Trung Quốc  công bố mã bằng chứng về khái niệm trên blog của họ  cho lỗ hổng được theo dõi là CVE-2021-21972.

Lỗ hổng này ảnh hưởng đến vSphere Client (HTML5), một plugin của VMware vCenter, một loại máy chủ thường được triển khai bên trong các mạng doanh nghiệp lớn như một tiện ích quản lý tập trung, qua đó nhân viên CNTT quản lý các sản phẩm VMware được cài đặt trên các máy trạm cục bộ.

Năm ngoái, công ty bảo mật Positive Technologies đã phát hiện ra rằng kẻ tấn công có thể nhắm mục tiêu vào giao diện HTTPS của plugin vCenter này và thực thi mã độc với các đặc quyền nâng cao trên thiết bị mà không cần phải xác thực.

Do vai trò trung tâm của một máy chủ vCenter bên trong các mạng công ty, sự cố được phân loại là rất nghiêm trọng và được báo cáo riêng tư cho VMware, công ty đã phát hành  các bản vá chính thức  vào ngày 23 tháng 2 năm 2021.

Do số lượng lớn các công ty chạy phần mềm vCenter trên mạng của họ, Positive Technologies  ban đầu dự định  giữ bí mật thông tin chi tiết về lỗi này cho đến khi quản trị viên hệ thống có đủ thời gian để kiểm tra và áp dụng bản vá.

Tuy nhiên, mã bằng chứng về khái niệm được đăng bởi nhà nghiên cứu Trung Quốc và  những người khác , cũng bắt đầu quét hàng loạt miễn phí cho các hệ thống vCenter dễ bị tấn công được kết nối trực tuyến với tin tặc vội vàng thỏa hiệp các hệ thống trước các băng nhóm đối thủ.

Vấn đề trở nên tồi tệ hơn vì việc khai thác lỗi này chỉ là một yêu cầu cURL trên một dòng lệnh, điều này giúp các tác nhân đe dọa có kỹ năng thấp dễ dàng tự động hóa các cuộc tấn công.

Có một RCE preauth trong vSphere với một yêu cầu nhận HTTP duy nhất, mà một số tổ chức phải đối mặt với môi trường internet. https://t.co/rKxbQANQ8n– Kevin Beaumont (@GossiTheDog) 

Theo  truy vấn của Shodan , hơn 6.700 máy chủ VMware vCenter hiện được kết nối với internet. Tất cả các hệ thống này hiện dễ bị tấn công nếu các quản trị viên không áp dụng các bản vá CVE-2021-21972 của ngày hôm qua.

VMware đã thực hiện rất nghiêm túc lỗi này và đã ấn định điểm mức độ nghiêm trọng là 9,8 trên tổng số tối đa là 10 và hiện đang kêu gọi khách hàng cập nhật hệ thống của họ càng sớm càng tốt.

Do vai trò quan trọng và trung tâm của máy chủ VMware vCenter trong mạng doanh nghiệp, một sự xâm phạm của thiết bị này có thể cho phép kẻ tấn công truy cập vào bất kỳ hệ thống nào được kết nối hoặc quản lý thông qua máy chủ trung tâm.

Đây là những loại thiết bị đe dọa các tác nhân (được gọi là “nhà môi giới truy cập mạng”) thích thỏa hiệp và sau đó bán trên các diễn đàn tội phạm mạng ngầm cho các băng nhóm ransomware, sau đó mã hóa tệp của nạn nhân và đòi tiền chuộc rất lớn. Hơn nữa, các băng đảng ransomware như Darkside và RansomExx đã bắt đầu truy lùng các hệ thống VMware vào năm ngoái , cho thấy việc nhắm mục tiêu các mạng doanh nghiệp dựa trên VM này có thể hiệu quả đến mức nào.

Vì PoC hiện đã được mở, Positive Technologies cũng đã quyết định xuất bản một báo cáo kỹ thuật chuyên sâu về lỗi, vì vậy những người bảo vệ mạng có thể tìm hiểu cách hoạt động của khai thác và chuẩn bị các công cụ phòng thủ hoặc pháp y bổ sung để phát hiện các cuộc tấn công trong quá khứ.

Tham khảo bài viết trên Hakin9 https://cehvietnam.com/2021/03/02/vmware-vsphere-metasploit/