DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Lỗ hổng trong VMware vCenter Server có thể khiến tổ chức bị tấn công từ xa
Gần đây, VMware đã gửi thông báo cho khách hàng rằng sản phẩm vCenter Server của họ bị ảnh hưởng bởi một lỗ hổng nghiêm trọng có thể bị kẻ tấn công lợi dụng để thực thi các lệnh với các đặc quyền cao.
vCenter Server là phần mềm quản lý được thiết kế để cung cấp một nền tảng tập trung nhằm kiểm soát môi trường VMware vSphere. Lỗ hổng nghiêm trọng do nhà nghiên cứu Mikhail Klyuchnikov của Positive Technologies phát hiện, ảnh hưởng đến plugin vCenter Server mà vSphere Client sử dụng.
Lỗ hổng được đánh số là CVE-2021-21972 với điểm CVSS 9,8, kẻ tấn công với quyền truy cập mạng vào cổng 443 có thể khai thác lỗ hổng này để "thực hiện các lệnh với các đặc quyền không hạn chế trên hệ điều hành chạy phần mềm vCenter Server.”
Theo Positive Technologies, có đến 90% thiết bị vCenter chỉ có thể truy cập được từ bên trong tổ chức, trong khi đó, việc khai thác lỗ hổng bảo mật trong trường hợp này yêu cầu quyền truy cập vào mạng nội bộ của mục tiêu. Tuy nhiên, theo thống kê, vẫn có hơn 6.000 hệ thống sử dụng vCenter có thể truy cập trực tiếp từ internet.
Công ty an ninh mạng cho biết hơn một phần tư số thiết bị này được đặt tại Hoa Kỳ, tiếp theo là Đức (7%), Pháp (6%), Trung Quốc (6%), Anh (4%), Canada (4%) , Nga (3%), Đài Loan (3%), Iran (3%) và Ý (3%).
Nhà nghiên cứu cho biết: "Theo quan điểm của chúng tôi, lỗ hổng RCE trong vCenter Server có thể gây ra mối đe dọa không kém so với lỗ hổng nổi tiếng trong Citrix (CVE-2019-19781). Lỗi này cho phép người dùng không cần yêu xác thực gửi một yêu cầu được chế tạo đặc biệt, sau đó sẽ cho họ cơ hội thực hiện các lệnh tùy ý trên máy chủ."
Mikhail Klyuchnikov nói thêm, "Sau khi có quyền thực thi lệnh tùy ý, kẻ tấn công có thể phát triển cuộc tấn công này, thâm nhập vào mạng công ty và giành quyền truy cập vào dữ liệu được lưu trữ trong hệ thống bị tấn công (chẳng hạn như thông tin về máy ảo và người dùng hệ thống). Nếu phần mềm dễ bị tấn công có thể được truy cập từ Internet, điều này sẽ cho phép kẻ tấn công từ xa xâm nhập vào công ty từ bên ngoài và cũng có thể truy cập vào dữ liệu nhạy cảm. Một lần nữa, tôi muốn lưu ý rằng lỗ hổng này rất nguy hiểm, vì nó có thể được sử dụng bởi bất kỳ người dùng trái phép nào."
Klyuchnikov cũng phát hiện một lỗi giả mạo yêu cầu từ phía máy chủ (SSRF) có mức độ nguy hiểm trung bình trong vCenter Server. Kẻ tấn công có quyền truy cập mạng vào cổng 443 có thể khai thác lỗ hổng này để lấy thông tin bao gồm thông tin về các cổng mở liên kết với các dịch vụ tương ứng, những thông tin này có thể hữu ích cho các cuộc tấn công tiếp theo.
VMware cũng đã thông báo cho người dùng về lỗ hổng CVE-2021-21974, một lỗi tràn bộ đệm heap nghiêm trọng cao trong ESXi có thể bị kẻ tấn công khai thác với quyền truy cập mạng vào cổng 427 để thực thi mã tùy ý.
Lỗ hổng được nhà nghiên cứu Lucas Leong của Trend Micro's Zero Day Initiative (ZDI) báo cáo cho VMware. ZDI vẫn chưa công bố chi tiết về lỗ hổng này.
VMware đã phát hành các bản vá và cách giải quyết cho từng sản phẩm và phiên bản bị ảnh hưởng.
vCenter Server là phần mềm quản lý được thiết kế để cung cấp một nền tảng tập trung nhằm kiểm soát môi trường VMware vSphere. Lỗ hổng nghiêm trọng do nhà nghiên cứu Mikhail Klyuchnikov của Positive Technologies phát hiện, ảnh hưởng đến plugin vCenter Server mà vSphere Client sử dụng.
Lỗ hổng được đánh số là CVE-2021-21972 với điểm CVSS 9,8, kẻ tấn công với quyền truy cập mạng vào cổng 443 có thể khai thác lỗ hổng này để "thực hiện các lệnh với các đặc quyền không hạn chế trên hệ điều hành chạy phần mềm vCenter Server.”
Theo Positive Technologies, có đến 90% thiết bị vCenter chỉ có thể truy cập được từ bên trong tổ chức, trong khi đó, việc khai thác lỗ hổng bảo mật trong trường hợp này yêu cầu quyền truy cập vào mạng nội bộ của mục tiêu. Tuy nhiên, theo thống kê, vẫn có hơn 6.000 hệ thống sử dụng vCenter có thể truy cập trực tiếp từ internet.
Công ty an ninh mạng cho biết hơn một phần tư số thiết bị này được đặt tại Hoa Kỳ, tiếp theo là Đức (7%), Pháp (6%), Trung Quốc (6%), Anh (4%), Canada (4%) , Nga (3%), Đài Loan (3%), Iran (3%) và Ý (3%).
Nhà nghiên cứu cho biết: "Theo quan điểm của chúng tôi, lỗ hổng RCE trong vCenter Server có thể gây ra mối đe dọa không kém so với lỗ hổng nổi tiếng trong Citrix (CVE-2019-19781). Lỗi này cho phép người dùng không cần yêu xác thực gửi một yêu cầu được chế tạo đặc biệt, sau đó sẽ cho họ cơ hội thực hiện các lệnh tùy ý trên máy chủ."
Mikhail Klyuchnikov nói thêm, "Sau khi có quyền thực thi lệnh tùy ý, kẻ tấn công có thể phát triển cuộc tấn công này, thâm nhập vào mạng công ty và giành quyền truy cập vào dữ liệu được lưu trữ trong hệ thống bị tấn công (chẳng hạn như thông tin về máy ảo và người dùng hệ thống). Nếu phần mềm dễ bị tấn công có thể được truy cập từ Internet, điều này sẽ cho phép kẻ tấn công từ xa xâm nhập vào công ty từ bên ngoài và cũng có thể truy cập vào dữ liệu nhạy cảm. Một lần nữa, tôi muốn lưu ý rằng lỗ hổng này rất nguy hiểm, vì nó có thể được sử dụng bởi bất kỳ người dùng trái phép nào."
Klyuchnikov cũng phát hiện một lỗi giả mạo yêu cầu từ phía máy chủ (SSRF) có mức độ nguy hiểm trung bình trong vCenter Server. Kẻ tấn công có quyền truy cập mạng vào cổng 443 có thể khai thác lỗ hổng này để lấy thông tin bao gồm thông tin về các cổng mở liên kết với các dịch vụ tương ứng, những thông tin này có thể hữu ích cho các cuộc tấn công tiếp theo.
VMware cũng đã thông báo cho người dùng về lỗ hổng CVE-2021-21974, một lỗi tràn bộ đệm heap nghiêm trọng cao trong ESXi có thể bị kẻ tấn công khai thác với quyền truy cập mạng vào cổng 427 để thực thi mã tùy ý.
Lỗ hổng được nhà nghiên cứu Lucas Leong của Trend Micro's Zero Day Initiative (ZDI) báo cáo cho VMware. ZDI vẫn chưa công bố chi tiết về lỗ hổng này.
VMware đã phát hành các bản vá và cách giải quyết cho từng sản phẩm và phiên bản bị ảnh hưởng.
Theo: securityweek