Новая критическая уязвимость в VMware vCenter облегчает жизнь вымогателям

Компания VMware выпустила экстренный патч для vCenter Server, призвав пользователей  как можно скорее закрыть дыру, облегчающую внедрение шифровальщика в сеть после взлома. Злоумышленники не могут не оценить такое удобство, и атаки с использованием новой уязвимости не заставят себя долго ждать.

Согласно бюллетеню, проблема, зарегистрированная под идентификатором CVE-2021-22005, позволяет загрузить на сервер любой файл. Злоумышленник с сетевым доступом на порту 443 может этим воспользоваться для выполнения вредоносного кода.

Виновником появления уязвимости является сервис аналитики vCenter. Степень опасности бреши оценена в 9,8 балла по шкале CVSS. Ее наличие подтверждено для vCenter Server веток 6.7 (виртуальные модули на базе Linux) и 7.0, а также для Cloud Foundation 3.x и 4.x. Тем, кто не может сразу установить патч, VMware предлагает временное решение — обновить файл /etc/vmware-analytics/ph-web.xml и перезапустить уязвимый сервис.

Кроме CVE-2021-22005, разработчик устранил еще 18 уязвимостей в vCenter Server, в том числе возможности для эскалации привилегий, получения закрытой информации, обхода защиты и аутентификации. Двенадцать из этих проблем актуальны также для ветки 6.5.

Оценка уровня угрозы во всех случаях ниже критического, однако любую из этих уязвимостей, по словам VMware, можно использовать после проникновения в сеть.

«В эпоху шифровальщиков лучше всего думать, что злоумышленник уже прячется где-то в сети на десктопе, а может, даже завладел аккаунтом пользователя, — пишут разработчики в комментарии к новому набору заплат. — Мы настоятельно рекомендуем объявить аврал и запустить процедуру по внесению изменений и патчингу в кратчайшие сроки».

Практика показывает, что у VMware есть все основания для подобных заявлений. В этом году вендор еще дважды латал опасные дыры в vCenter Server, и оба раза злоумышленники начинали их искать и опробовать почти сразу после публикации.