Eksploitasi yang berfungsi untuk kerentanan kritis di VMware (terbuka di tab baru) vCenter ditambal minggu lalu (terbuka di tab baru) telah terlihat di alam liar dan secara aktif digunakan oleh pelaku ancaman, menurut keamanan cyber (terbuka di tab baru) ahli.
Dilacak sebagai CVE-2021-22005, kerentanan ada di layanan analitik Server vCenter, dan dapat dieksploitasi untuk memungkinkan penyerang mengeksekusi kode berbahaya dari jarak jauh pada Server vCenter yang tidak ditambal.
Beberapa ahli keamanan telah memperingatkan aktivitas pemindaian massal (terbuka di tab baru) dalam satu hari setelah pengungkapan kerentanan, dan ancaman menjadi nyata dengan ditemukannya eksploitasi yang berfungsi.
“Pada 24 September 2021, VMware mengonfirmasi laporan bahwa CVE-2021-22005 sedang dieksploitasi secara liar. Peneliti keamanan juga melaporkan pemindaian massal untuk Server vCenter yang rentan dan kode eksploit yang tersedia untuk umum. Karena ketersediaan kode eksploit, CISA mengharapkan eksploitasi luas atas kerentanan ini, ”berbagi Badan Keamanan Siber dan Infrastruktur AS (CISA) dalam sebuah penasehat (terbuka di tab baru).
Gratis untuk semua
Bahkan sekitar seminggu setelah VMware mengeluarkan tambalan untuk kerentanan tersebut, sebuah laporan oleh vendor keamanan Censys menunjukkan bahwa ada sekitar 1500 server vCenter menghadap internet yang belum ditambal yang dapat dieksploitasi.
CTO Censys Derek Abdine memberi tahu ZDNet bahwa vendor keamanan telah membuktikan bahwa eksekusi eksploit dari jarak jauh cukup mudah.
Mengomentari pentingnya kerentanan, kata John Bambenek, pemburu ancaman utama di Netenrich ZDNet eksekusi kode jarak jauh (RCE) sebagai root di server vCenter cukup signifikan.
“Hampir setiap organisasi mengoperasikan mesin virtual dan jika pelaku ancaman memiliki akses root, mereka bisa melakukannya tebusan (terbuka di tab baru) setiap mesin di lingkungan itu atau mencuri data di mesin virtual itu dengan relatif mudah, ”pendapat Bambenek.
Melalui ZDNet (terbuka di tab baru)