Vulnerabilitate critică în cadrul VMware vCenter exploatată în atacuri

VMware a confirmat că o vulnerabilitate critică  în cadrul serverului vCenter, remediată în octombrie 2023, este exploatată active în atacuri.

Vulnerabilitatea este de tip out-of-bounds write în implementarea protocolului DCE/RPC al vCenter.

Atacatorii o pot exploata de la distanță în atacuri de complexitate redusă, dar cu impact major asupra confidențialității, integrității și disponibilității și nu necesită autentificare sau interacțiune cu utilizatorul. Datorită naturii critice, VMware a emis, de asemenea, actualizări de securitate pentru mai multe produse care nu mai beneficiază de suport.

Câteva grupări ransomware (precum Royal, Black Basta, LockBit și, mai recent, RTM Locker, Qilin, ESXiArgs, Monti și Akira) sunt cunoscute pentru că vizează direct serverele VMware ESXi vulnerabile.

Conform datelor Shodan, mai mult de 2.000 de servere VMware Center sunt în prezent expuse online, fiind potențial vulnerabile la atacuri și expunând rețelele corporative la riscuri de încălcare a securității.

VMware îndeamnă administratorii care nu pot aplica actualizări pe servere, să controleze accesul rețelei la componentele de management vSphere.

Porturile de rețea specifice care au legătură cu atacurile menționate sunt 2012/tcp, 2014/tcp și 2020/tcp.

Sursa: https://www.bleepingcomputer.com/news/security/vmware-confirms-critical-vcenter-flaw-now-exploited-in-attacks/