Dalam perkembangan yang tidak sepenuhnya tidak terduga, pelaku ancaman telah mulai mencari orang-orang yang terpapar internet VMware (terbuka di tab baru) server vCenter yang adminnya belum menambalnya terhadap kerentanan unggahan file arbitrer yang penting diungkapkan kemarin (terbuka di tab baru).
Cacat keamanan kritis, dilacak sebagai CVE-2021-22005 berdampak pada penerapan vCenter Server andalan VMware, dan dapat membantu memfasilitasi serangan remote code execution (RCE) dari penyerang yang tidak diautentikasi tanpa memerlukan interaksi pengguna.
“Di era ini ransomware (terbuka di tab baru) paling aman untuk berasumsi bahwa penyerang sudah berada di dalam jaringan Anda di suatu tempat, di desktop dan bahkan mungkin mengendalikan akun pengguna, itulah sebabnya kami sangat menyarankan untuk mendeklarasikan perubahan darurat dan menambal sesegera mungkin,” diperingatkan (terbuka di tab baru) Bob Plankers, Arsitek Pemasaran Teknis di VMware kemarin saat dia mendesak admin vCenter Server untuk menerapkan tambalan tanpa penundaan.
Tampaknya pelaku ancaman lebih perhatian, dan tidak lama kemudian honeypots dari perusahaan intelijen ancaman, Bad Packets, dipindai (terbuka di tab baru) oleh pengguna jahat yang mencari Server vCenter yang belum ditambal.
Hanya masalah waktu
Paket Buruk kemudian ditambahkan (terbuka di tab baru) bahwa pemindaian berbahaya dari honeypot-nya mengungkapkan bahwa mereka didasarkan pada informasi solusi yang disediakan oleh VMware untuk pelanggan yang tidak dapat segera menambal peralatan mereka.
Berbagi perkembangan, BleepingComputer menunjukkan bahwa ini bukan pertama kalinya pelaku ancaman memanfaatkan kelemahan admin dalam menambal Server vCenter mereka untuk memindai dan menyerang mereka segera setelah kerentanan terungkap.
Faktanya, ada beberapa insiden serupa tahun ini saja, pertama di bulan Februari (berdasarkan (berdasarkan CVE-2021-21972), dan kemudian di bulan Mei (terbuka di tab baru) (berdasarkan CVE-2021-21985).
Satu-satunya anugrah dengan CVE-2021-22005, setidaknya untuk saat ini, adalah tidak seperti kerentanan yang disebutkan sebelumnya, peneliti keamanan belum menemukan kode eksploit apa pun yang dapat memanfaatkan bug tersebut.
Namun, karena pelaku ancaman secara aktif memindai server yang rentan, kemungkinan mereka sudah memiliki eksploit yang berfungsi, atau yang hampir selesai. Dalam kedua kasus tersebut, aktivitas tersebut harus cukup untuk meyakinkan admin untuk menghentikan semuanya dan segera menambal Server vCenter mereka yang terbuka.
Melalui BleepingComputer (terbuka di tab baru)
