Rilevare i Tentativi di Sfruttamento della Vulnerabilità Critica di VMware vCenter (CVE-2021-22005)
Indice:
Il 24 settembre 2021, CISA ha emesso un avviso avvertendo di molteplici tentativi di sfruttamento per una vulnerabilità critica (CVE-2021-22005) in VMware vCenter Server. Un gran numero di scansioni per i server vulnerabili è emerso dopo che il ricercatore di sicurezza vietnamita Jang ha pubblicato un exploit incompleto per CVE-2021-22005. Le note tecniche di Jang erano sufficienti per gli hacker esperti per produrre un exploit funzionante che abilita l’esecuzione di codice remoto con privilegi di root sull’istanza interessata.
Descrizione di CVE-2021-22005
Secondo il avvisodi VMware, CVE-2021-22005 è un problema critico di caricamento arbitrario di file nel servizio Analytics che si verifica a causa di una configurazione errata nella gestione dei token di sessione. Se sfruttato con successo, il difetto garantisce l’esecuzione di codice remoto (RCE) con privilegi di root per qualsiasi attaccante in grado di raggiungere il vCenter Server sulla rete, indipendentemente dalle configurazioni di vCenter Server. In particolare, qualsiasi hacker con accesso alla rete alla porta 443 su vCenter Server può eseguire codice su vCenter Server Appliance caricando un file appositamente creato.
Il 21 settembre 2021, VMware ha divulgato pubblicamente il noto problema e ha rilasciato una patch per mitigare possibili attività dannose. Tuttavia, pochi giorni dopo, il ricercatore di sicurezza vietnamita Jang ha pubblicato una prova di concetto (PoC) incompleta per CVE-2021-22005, fornendo suggerimenti per superare le soluzioni alternative emesse da VMware. Sebbene l’exploit fosse intenzionalmente troncato per omettere la parte importante che abilita l’RCE, gli attori delle minacce esperti sono in grado di modificarlo in un codice di exploit completo per attacchi di successo.
Attualmente, i ricercatori di sicurezza osservano molteplici scansioni per i server vCenter esposti da vari paesi, tra cui Canada, Stati Uniti, Romania, Paesi Bassi, Cina e Singapore. Una rapida indagine effettuata da Censys mostra che oltre 7.000 istanze di VMware vCenter sono esposte a Internet pubblico. Tra queste, 3.264 host sono considerati potenzialmente vulnerabili e solo 436 sono corretti.
In vista delle crescenti minacce di ransomware, CVE-2021-22005 può rappresentare un pericolo estremo poiché fornisce un modo semplice per gli attaccanti di depositare payload dannosi nelle reti delle organizzazioni infrastrutturali critiche.
Rilevamento e Mitigazione di CVE-2021-22005
La falla colpisce tutti i dispositivi che eseguono le versioni 6.7 e 7.0 di vCenter Server e, a causa delle sue conseguenze devastanti, riceve un punteggio di severità critica di 9.8. VMware ha rilasciato una patch per la vulnerabilità accompagnata da un dettagliato post sul blog FAQ affinché gli amministratori possano aggiornare le loro istanze il prima possibile.
Per rilevare i tentativi di sfruttamento di CVE-2021-22005 e proteggere le organizzazioni dall’intrusione, i professionisti della sicurezza possono scaricare una regola Sigma basata sul comportamento dal nostro acuto sviluppatore di Threat Bounty Onur Atali che è già disponibile sulla piattaforma SOC Prime.
CVE-2021-22005 Vulnerabilità di Caricamento File in VMware vCenter Server
La regola include traduzioni per le seguenti piattaforme SIEM & SECURITY ANALYTICS: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Inoltre, la regola è mappata alla metodologia ATT&CK di MITRE affrontando le tattiche di Persistenza e la sotto-tecnica Web Shell (t1505.003) della tecnica Server Software Component (t1505).
Cerchi modi per affrontare i tuoi casi d’uso personalizzati, migliorare la scoperta delle minacce e ottimizzare le capacità di caccia con una soluzione efficiente? Esplora la nuova piattaforma di SOC Prime che soddisfa tutte le tue esigenze di sicurezza in un unico spazio progettato per rendere la tua esperienza di rilevamento delle minacce più veloce, semplice e intelligente. Vuoi unirti alla nostra iniziativa di crowdsourcing e diventare uno dei nostri contributori di contenuti? Inizia con il programma Threat Bounty, il primo del settore!
