Kritische nicht autorisierte Remote-Code-Ausführung in VMware vCenter (CVE-2021-21972)
Inhaltsverzeichnis:
Am 23. Februar 2021 behob VMware einen kritischen Fehler zur nicht autorisierten Remote-Code-Ausführung (RCE) (CVE-2021-21972) im Standard-vCenter-Server-Plugin. Direkt nach der Ankündigung und der Empfehlung Veröffentlichung begannen Bedrohungsakteure mit Massenscans nach öffentlich exponierten Instanzen. Bis heute haben Forscher 6700 VMware vCenter-Server festgestellt, die den Angriffen ausgesetzt sind. Da bereits öffentliche Proof-of-Concept (PoC)-Exploits auf GitHub verfügbar sind, um die Ausnutzungsversuche zu erleichtern, erwarten Experten bald eine Flut von Einbrüchen.
CVE-2021-21972 Beschreibung
Der Fehler liegt im HTML5-vSphere-Client. Diese Fehlkonfiguration ermöglicht es nicht autorisierten Hackern (mit Zugriff auf Port 443), eine spezifische Anfrage zu erstellen und beliebige Befehle auf dem anfälligen Server auszuführen. Dadurch können Angreifer sich problemlos in den kompromittierten Umgebungen bewegen und sensible Unternehmensinformationen stehlen. Sicherheitsexperten prognostizieren, dass die Schwachstelle stark von Ransomware-Gruppen und anderen Hackern, die nach wertvollen Daten suchen, ausgenutzt werden könnte.
Das Problem wurde offengelegt vom Positive Technologies-Forscher Mikhail Klyuchnikov und im Herbst 2020 dem Anbieter gemeldet. Die öffentliche Offenlegung war für später in diesem Jahr geplant, um den Administratoren Zeit zum Patchen zu geben. Ein PoC-Exploit wurde am 24. Februar 2021 auf GitHub platziert und drängt Organisationen dazu, ihre Systeme schnell zu sichern. Bemerkenswert ist, dass der PoC ein alarmierend trivialer Einzeiler ist, was die Chancen für massive Ausnutzung der Schwachstelle deutlich erhöht.
CVE-2021-21972 Erkennung und Abschwächung
Die Schwachstelle hat einen CVSSv3-Basiswert von 9.8 (von maximal 10) erhalten, was das Sicherheitsloch hochkritisch macht. Derzeit werden Administratoren aufgefordert, die VMware-Empfehlung zu lesen und umgehend zu patchen. Falls der Patch nicht sofort eingesetzt werden kann, sollten Benutzer vorübergehende Maßnahmen ergriffen, wie von VMware empfohlen.
Adam Swan, Senior Threat Hunting Engineer bei SOC Prime, hat eine Sigma-Regel für die Erkennung von Ausnutzungsversuchen des VMware vCenter RCE (CVE-2021-21972) veröffentlicht:
https://tdm.socprime.com/tdm/info/3OXu1LhU6yVQ#rule-context
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
NTA: Corelight
MITRE ATT&CK:
Taktiken: Initialzugriff, Privilegienerweiterung
Techniken: Exploit Public-Facing Application (T1190), Ausnutzung zur Privilegienerweiterung (1068)
Um die Details zur dedizierten Sigma-Regel zu erfahren und zu lernen, wie sie die Erkennung von CVE-2021-21972 verbessern kann, sehen Sie sich die Aufzeichnung unseres Webinars an „Security Talks mit SOC Prime: Alles über Sigma.“
In dieser Sitzung spricht Adam Swan über die Erstellung von Sigma-Regeln und beantwortet Fragen zur betreffenden Schwachstelle. Außerdem behandelt dieses Webinar viele interessante Themen rund um Sigma, warum es existiert und wie jeder, der Erkennungen verwaltet, von der Nutzung profitieren kann.
Abonnieren Sie den Threat Detection Marketplace, eine branchenführende Detection-as-Code-Plattform, und verkürzen Sie die Erkennungszeit von Cyberangriffen mit unserer über 95.000 SOC-Inhalte umfassenden Bibliothek. Möchten Sie zu den Community-Bedrohungsjagd-Aktivitäten beitragen? Treten Sie unserem Threat Bounty Program bei und erhalten Sie Belohnungen für Ihren Beitrag!
