중대한 VMware vCenter 취약점 (CVE-2021-22005) 악용 시도 탐지
목차:
2021년 9월 24일, CISA는 경고를 발령했습니다 VMware vCenter Server의 치명적인 취약점(CVE-2021-22005)에 대한 여러 악용 시도에 대한 경고를 발령했습니다. 베트남 보안 연구원 Jang이 CVE-2021-22005에 대한 불완전한 익스플로잇을 공개한 후 취약한 서버에 대한 대량의 스캔이 발생했습니다. Jang의 기술 노트는 경험 많은 해커들이 영향을 받은 인스턴스에서 원격 코드 실행을 가능하게 하는 작동 가능한 익스플로잇을 제작하기에 충분했습니다.
CVE-2021-22005 설명
VMware 자문에 따르면, CVE-2021-22005는 세션 토큰 처리의 잘못된 구성으로 인해 Analytics 서비스에서 발생하는 치명적인 임의 파일 업로드 문제입니다. 이 취약점이 성공적으로 악용될 경우, 네트워크를 통해 vCenter Server에 접근할 수 있는 공격자에게 루트 권한으로 원격 코드 실행(RCE)을 보장합니다. 특히 vCenter Server의 포트 443에 네트워크 접근 권한을 가진 해커는 특수 제작된 파일을 업로드하여 vCenter Server Appliance에서 코드를 실행할 수 있습니다.
2021년 9월 21일, VMware는 이 악명 높은 문제를 공개하고 가능한 악성 활동을 완화하기 위한 패치를 발표했습니다. 그러나 며칠 후, 베트남 보안 연구원 Jang은 포스트했습니다 VMware가 발행한 해결 방법을 극복하기 위한 힌트를 제공하는 CVE-2021-22005의 불완전한 개념 증명(PoC) 익스플로잇을 게시했습니다. 익스플로잇은 의도적으로 중요한 RCE 부분을 누락시켰음에도 불구하고, 숙련된 위협 행위자는 이를 완전한 익스플로잇 코드로 수정하여 성공적인 공격을 수행할 수 있습니다.
현재 보안 연구원들은 캐나다, 미국, 루마니아, 네덜란드, 중국, 싱가포르를 포함한 여러 나라에서 노출된 vCenter 서버에 대한 다수의 스캔을 관찰하고 있습니다. Censys가 수행한 빠른 조사는 7,000개 이상의 VMWare vCenter 인스턴스가 공공 인터넷에 노출되어 있으며, 이 중 3,264 호스트가 잠재적으로 취약하며, 436개만 패치되었습니다.
랜섬웨어 위협이 증가하는 상황에서 CVE-2021-22005는 공격자가 중요 인프라 조직의 네트워크에 악성 페이로드를 떨어뜨릴 수 있는 쉬운 방법을 제공하기 때문에 극도로 위험할 수 있습니다.
CVE-2021-22005 탐지 및 완화
이 결함은 vCenter Server 버전 6.7 및 7.0을 실행하는 모든 기기에 영향을 미치며, 그 심각한 결과로 인해 9.8의 치명적인 심각도 등급을 받습니다. VMware는 체계적인 FAQ 블로그 게시물과 함께 취약점 패치를 제공하여 관리자들이 가능한 한 빨리 인스턴스를 업그레이드할 수 있도록 했습니다.
CVE-2021-22005 악용 시도를 감지하고 조직을 침입으로부터 보호하기 위해, 보안 전문가들은 당사의 예리한 Threat Bounty 개발자인 Onur Atali 에 의해 이미 SOC Prime 플랫폼에서 사용할 수 있는 행동 기반 Sigma 규칙을 다운로드할 수 있습니다.
CVE-2021-22005 VMware vCenter Server 파일 업로드 취약점
이 규칙은 다음의 SIEM 및 보안 분석 플랫폼을 위한 번역을 포함합니다: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
또한 이 규칙은 MITRE ATT&CK 방법론에 맞추어 공격 지속 전술 및 서버 소프트웨어 구성 요소(t1505) 기술의 웹 셸 하위 기술(t1505.003)을 다룹니다.
맞춤형 사용 사례를 해결하고 위협 발견을 강화하며 단일 비용 효율적인 솔루션으로 사냥 기능을 간소화하는 방법을 찾고 계십니까? SOC Prime의 플랫폼을 탐색하십시오. 이 플랫폼은 하나의 공간에서 모든 보안 요구 사항을 충족하며, 위협 감지 경험을 더 빠르고, 더 간단하고, 더 지능적으로 만들어줍니다. 당사의 크라우드소싱 이니셔티브에 참여하여 콘텐츠 기여자가 되고 싶으십니까? 산업 최초의 Threat Bounty 프로그램을 시작하세요!
