Détecter les Tentatives d’Exploitation d’une Vulnérabilité Critique de VMware vCenter (CVE-2021-22005)
Table des matières :
Le 24 septembre 2021, la CISA a émis une alerte avertissant de multiples tentatives d’exploitation pour une vulnérabilité critique (CVE-2021-22005) dans VMware vCenter Server. Un grand nombre de scans pour les serveurs vulnérables ont éclaté après que le chercheur en sécurité vietnamien Jang a publié un exploit incomplet pour CVE-2021-2205. Les notes techniques de Jang étaient suffisantes pour que des hackers expérimentés produisent un exploit fonctionnel permettant l’exécution de code à distance avec des privilèges root sur l’instance affectée.
Description de CVE-2021-22005
Selon l’ avis de VMware, CVE-2021-22005 est un problème critique de téléchargement de fichiers arbitraires dans le service Analytics qui se produit en raison d’une mauvaise configuration du traitement des jetons de session. En cas d’exploitation réussie, la faille assure l’exécution de code à distance (RCE) avec des privilèges root pour tout attaquant capable d’atteindre vCenter Server sur le réseau, indépendamment des configurations de vCenter Server. En particulier, tout hacker ayant accès au réseau au port 443 sur vCenter Server peut exécuter du code sur vCenter Server Appliance en téléchargeant un fichier spécialement conçu.
Le 21 septembre 2021, VMware a divulgué publiquement le fameux problème et a publié un correctif pour atténuer toute activité malveillante possible. Cependant, quelques jours plus tard, un chercheur en sécurité vietnamien, Jang, a publié un exploit de preuve de concept (PoC) incomplet pour CVE-2021-22005, fournissant des indices pour contourner les contournements émis par VMware. Bien que l’exploit ait été intentionnellement élagué pour manquer la partie importante permettant la RCE, des acteurs de menace qualifiés sont capables de le modifier en code d’exploit pleinement fonctionnel pour des attaques réussies.
Actuellement, les chercheurs en sécurité observent de multiples scans pour les serveurs vCenter exposés depuis divers pays, y compris le Canada, les États-Unis, la Roumanie, les Pays-Bas, la Chine et Singapour. Une enquête rapide effectuée par Censys montre que plus de 7 000 instances de VMware vCenter sont exposées à Internet public. Parmi celles-ci, 3 264 hôtes sont considérés comme potentiellement vulnérables, et seulement 436 sont corrigés.
À la vue de la menace croissante des ransomwares, CVE-2021-22005 peut représenter un danger extrême car il fournit un moyen facile pour les attaquants de déposer des charges malveillantes sur les réseaux des organisations d’infrastructures critiques.
Détection et atténuation de CVE-2021-22005
La faille affecte tous les appareils exécutant les versions 6.7 et 7.0 de vCenter Server, et en raison de ses conséquences dévastatrices, reçoit une note de gravité critique de 9,8. VMware a publié un correctif pour la vulnérabilité accompagné d’un article de blog FAQ détaillé pour que les administrateurs puissent mettre à jour leurs instances dès que possible.
Pour détecter les tentatives d’exploitation de CVE-2021-22005 et protéger les organisations contre les intrusions, les praticiens de la sécurité peuvent télécharger une règle Sigma basée sur le comportement par notre développeur Passionné de primes de menace Onur Atali qui est déjà disponible sur la plateforme SOC Prime.
Vulnérabilité de Téléchargement de Fichier VMware vCenter Server CVE-2021-22005
La règle inclut des traductions pour les plateformes SIEM & ANALYTIQUES DE SÉCURITÉ suivantes : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
De plus, la règle est mappée à la méthodologie MITRE ATT&CK, abordant les tactiques de Persistance et la sous-technique de Web Shell (t1505.003) de la technique de Composant Logiciel Serveur (t1505).
Vous cherchez des moyens de répondre à vos cas d’utilisation personnalisés, d’améliorer la découverte de menaces et de rationaliser les capacités de chasse avec une seule solution économique ? Explorez la nouvelle plateforme SOC Prime qui répond à tous vos besoins en matière de sécurité dans un espace unique conçu pour rendre votre expérience de détection de menaces plus rapide, plus simple et plus intelligente. Vous voulez rejoindre notre initiative de crowdsourcing et devenir l’un de nos contributeurs de contenu? Commencez avec le premier programme Threat Bounty de l’industrie!
