Kritische VMware vCenter Sicherheitslücke (CVE-2021-22005) Angriffserkennung
Inhaltsverzeichnis:
Am 24. September 2021 hat CISA eine Warnung herausgegeben vor mehreren Exploit-Versuchen für eine kritische Schwachstelle (CVE-2021-22005) in VMware vCenter Server gewarnt. Nach der Veröffentlichung eines unvollständigen Exploits für CVE-2021-2205 durch den vietnamesischen Sicherheitsforscher Jang kamen zahlreiche Scans nach den verwundbaren Servern auf. Jangs technische Notizen reichten aus, um erfahrenen Hackern die Erstellung eines funktionierenden Exploits zu ermöglichen, der eine Remote-Code-Ausführung mit Root-Rechten auf der betroffenen Instanz ermöglicht.
CVE-2021-22005 Beschreibung
Laut der VMware Beratung, handelt es sich bei CVE-2021-22005 um ein kritisches Problem des willkürlichen Dateiuploads im Analytics-Dienst, das aufgrund einer Fehlkonfiguration bei der Handhabung von Session-Token auftritt. Im Falle einer erfolgreichen Ausnutzung ermöglicht der Fehler eine Remote-Code-Ausführung (RCE) mit Root-Rechten für jeden Angreifer, der über das Netzwerk Zugang zum vCenter Server hat, unabhängig von den vCenter Server-Konfigurationen. Besonders jeder Hacker mit Netzwerkzugriff auf Port 443 des vCenter Servers kann Code auf der vCenter Server Appliance ausführen, indem er eine speziell gestaltete Datei hochlädt.
Am 21. September 2021 hat VMware öffentlich das berüchtigte Problem bekannt gegeben und einen Patch veröffentlicht, um mögliche bösartige Aktivitäten zu mindern. Doch wenige Tage später hat der vietnamesische Sicherheitsforscher Jang ein unvollständiges Proof-of-Concept (PoC) Exploit gepostet für CVE-2021-22005, das Hinweise bietet, um von VMware herausgegebene Workarounds zu überwinden. Obwohl der Exploit absichtlich gekürzt wurde, um den wichtigen Teil der RCE zu verhindern, sind versierte Bedrohungsakteure in der Lage, ihn zu einem voll funktionsfähigen Exploit-Code für erfolgreiche Angriffe zu modifizieren.
Derzeit beobachten Sicherheitsforscher mehrere Scans für exponierte vCenter-Server aus verschiedenen Ländern, darunter Kanada, die USA, Rumänien, die Niederlande, China und Singapur. Eine schnelle Untersuchung durch Censys zeigt, dass über 7.000 VMware vCenter-Instanzen dem öffentlichen Internet ausgesetzt sind. Darunter werden 3.264 Hosts als potenziell anfällig betrachtet und nur 436 sind gepatcht.
Angesichts der eskalierenden Bedrohung durch Ransomware kann CVE-2021-22005 eine extreme Gefahr darstellen, da es Angreifern einen einfachen Weg bietet, bösartige Nutzdaten in die Netzwerke von Organisationen kritischer Infrastrukturen zu schleusen.
CVE-2021-22005 Erkennung und Abmilderung
Der Fehler betrifft alle Geräte, die vCenter Server Versionen 6.7 und 7.0 ausführen, und erhält aufgrund seiner verheerenden Folgen eine kritische Schwerebewertung von 9,8. VMware hat einen Patch für die Schwachstelle veröffentlicht, begleitet von einem detaillierten FAQ-Blogbeitrag , damit Administratoren ihre Instanzen so schnell wie möglich aktualisieren können.
Um Exploit-Versuche von CVE-2021-22005 zu erkennen und Organisationen vor Eindringlingen zu schützen, können Sicherheitsexperten eine verhaltensbasierte Sigma-Regel von unserem engagierten Threat Bounty Entwickler Onur Atali herunterladen, die bereits auf der SOC Prime Plattform verfügbar ist.
CVE-2021-22005 VMware vCenter Server Datei-Upload-Schwachstelle
Die Regel beinhaltet Übersetzungen für die folgenden SIEM- und Sicherheitsanalytik-Plattformen: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Auch ist die Regel der MITRE ATT&CK-Methodik zugeordnet, die sich mit den Persistenz-Taktiken und der Web-Shell-Subtechnik (t1505.003) der Server-Software-Komponenten (t1505) Technik befasst.
Suchen Sie nach Möglichkeiten, um Ihre benutzerdefinierten Anwendungsfälle zu adressieren, die Bedrohungserkennung zu verbessern und die Jagdfähigkeiten mit einer einzigen kosteneffizienten Lösung zu optimieren? Entdecken Sie die neu veröffentlichte SOC Prime Plattform, die all Ihre Sicherheitsbedürfnisse in einem Raum bedient, um Ihre Bedrohungserkennungserfahrung schneller, einfacher und intelligenter zu gestalten. Möchten Sie an unserer Crowdsourcing-Initiative teilnehmen und einer unserer Inhaltsbeiträger werden? Starten Sie mit dem branchenweit ersten Threat Bounty Program!
