VMware vCenter의 심각한 비인가 원격 코드 실행 취약점 (CVE-2021-21972)

2021년 2월 23일, VMware는 기본 vCenter Server 플러그인에서 발생한 중요한 비인가 원격 코드 실행(RCE) 버그(CVE-2021-21972)를 해결했습니다. 발표와 함께 권고문 가 발표되자마자, 위협 행위자들은 대규모로 공개된 인스턴스를 스캔하기 시작했습니다. 현재까지 연구자들은 공격에 노출된 6700개의 VMware vCenter 서버를 발견했습니다. GitHub에 공개된 개념 증명(PoC) 익스플로잇을 통해 공격 시도가 용이해짐에 따라 전문가들은 곧 무차별적인 침입이 예상된다고 보고 있습니다.

CVE-2021-21972 설명

오류는 HTML5 vSphere 클라이언트에 존재합니다. 이 설정 오류로 인해 비인가 해커가 포트 443에 접근하여 특정 요청을 작성하고 취약한 서버에서 임의의 명령을 실행할 수 있습니다. 결과적으로 적들은 손쉽게 손상된 환경 내부를 이동하며 민감한 기업 정보를 훔칠 수 있습니다. 실제로, 보안 분석가들은 랜섬웨어 단체 및 귀중한 데이터를 탐색하는 다른 해커들에 의해 이 취약성이 심각하게 악용될 가능성이 높다고 예측하고 있습니다.

결함은 Positive Technologies의 연구원 Mikhail Klyuchnikov에 의해 발견되어 2020년 가을에 공급업체에 보고되었습니다. 관리자가 패치할 시간을 주기 위해 공개는 올해 이후로 계획되었습니다. 그러나 PoC 익스플로잇이 by Positive Technologies researcher Mikhail Klyuchnikov and reported to the vendor in autumn 2020. The public disclosure was planned later this year to give admins time to patch. However, a PoC exploit GitHub에 배포된 2021년 2월 24일, 조직은 시스템을 신속히 보안하도록 촉구하고 있습니다. 특히 이 PoC는 매우 간단한 원라이너로, 현장에서 대규모 취약성 악용의 가능성을 크게 증가시킵니다.

CVE-2021-21972 탐지 및 완화

이 결함은 CVSSv3 기준 점수 9.8(최대 10)로 할당되어 보안 결함을 매우 심각하게 만듭니다. 현재, 관리자는 VMware 권고문 을 검토하고 가능한 빨리 패치를 적용하도록 요청받습니다. 패치를 즉시 배포할 수 없는 경우, 사용자는 VMware가 권장하는 임시 완화 를 적용해야 합니다.

SOC Prime의 수석 위협 헌팅 엔지니어 Adam Swan은 VMware vCenter RCE(CVE-2021-21972) 익스플로잇 시도를 탐지하기 위한 커뮤니티 Sigma 규칙을 발표했습니다:

https://tdm.socprime.com/tdm/info/3OXu1LhU6yVQ#rule-context 

이 규칙은 다음 플랫폼으로 번역되었습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

NTA: Corelight

MITRE ATT&CK:

전략: 초기 접근, 권한 상승

기법: 공개된 애플리케이션 악용(T1190), 권한 상승을 위한 악용(1068)

지정된 Sigma 규칙에 대한 세부 정보와 CVE-2021-21972 탐지를 어떻게 개선할 수 있는지 알아보려면, 우리의 웹 세미나 녹화를 시청하세요 “SOC Prime과 함께하는 보안 토크: Sigma 모든 것.”

이 세션에서 Adam Swan은 Sigma 규칙 작성에 대해 이야기하며 해당 취약성과 관련된 질문에 답변합니다. 또한, 이 웹 세미나는 Sigma, 그 이유, 탐지를 관리하는 사람이 어떻게 이를 통해 이익을 얻을 수 있는지에 대한 많은 흥미로운 주제를 다룹니다.

위협 탐지 마켓플레이스 구독하고, 업계 최초의 Detection as Code 플랫폼과 95,000개 이상의 SOC 콘텐츠 라이브러리로 사이버 공격 탐지의 평균 시간을 줄이세요. 커뮤니티 위협 헌팅 활동에 기여하고 싶으신가요? 위협 현상금 프로그램에 참여하세요 하고 기여에 대한 보상을 받으세요!