تایید VMware مبنی بر سواستفاده از نقص بحرانی vCenter در حملات سایبری
اخبار داغ فناوری اطلاعات و امنیت شبکه
مجموعه VMware تایید کرده است که یک آسیبپذیری حیاتی اجرای کد از راه دور سرور vCenter پچشده در ماه اکتبر، اکنون بصورت فعال تحت بهرهبرداری است.
پلتفرم vCenter Server یک پلتفرم مدیریتی برای محیطهای VMware vSphere است که به ادمینها کمک میکند تا سرورهای ESX و ESXi و ماشینهای مجازی (VM) را مدیریت کنند.
این شرکت در بروزرسانی اضافه شده به اطلاعات اولیه این هفته گفت: "VMware تایید کرده است که بهرهبرداری از CVE-2023-34048 در فضای سایبری رخ داده است".
این آسیبپذیری توسط محقق آسیبپذیری Trend Micro، درودنوف گریگوری گزارش شده است و ناشی از ضعف نوشتن خارج از محدوده در اجرای پروتکل DCE/RPC vCenter است.
مهاجمان میتوانند از راه دور در حملات با پیچیدگی کم با حفظ محرمانگی، یکپارچگی و تاثیر در دسترسی بالا که نیازی به احراز هویت یا تعامل کاربر ندارند، از آن سواستفاده کنند. به دلیل ماهیت حیاتی خود، VMware همچنین پچهای امنیتی را برای چندین محصول که بهپایان عمر پشتیبانی خود رسیده و بدون پشتیبانی فعال هستند، منتشر کرده است.
بروکرهای دسترسی به شبکه دوست دارند سرورهای VMware را تصاحب کنند و سپس در انجمنهای جرایم سایبری به گروههای باجافزاری بفروشند تا دسترسی آسان به شبکههای سازمانی داشته باشند. بسیاری از گروههای باجافزار (مانند Royal، Black Basta، LockBit، و اخیرا، RTM Locker، Qilin، ESXiArgs، Monti، و Akira) اکنون به دلیل هدف قرار دادن مستقیم سرورهای VMware ESXi قربانیان برای سرقت و رمزگذاری فایلهای آنها و تقاضای باجهای هنگفت شناخته شدهاند.
با توجه به دادههای Shodan، بیش از ٢٠٠٠ سرور مرکز VMware در حال حاضر بهصورت آنلاین در معرض خطر هستند، به طور بالقوه در معرض حملات قرار دارند و با توجه به نقش مدیریتی vSphere، شبکههای سازمانی را در معرض خطرات نقض داده قرار میدهند.
همانگونه که در تصویر مشخص است، با توجه به عدم اعمال بروزرسانیها، در ایران نیز، این پلتفرم در استانهای تهران، قم، همدان، هرمزگان، خوزستان، فارس و غیره، میتواند تحت تاثیر حملات قرار بگیرد.
از آنجا که هیچ راهحل قطعی وجود ندارد، VMware از ادمینهایی که نمیتوانند سرورهای خود را پچ کنند، خواسته است که دسترسی محیطی شبکه به اجزای مدیریت vSphere را بهشدت کنترل کنند.
این شرکت هشدار داد: "VMware قویا کنترل دسترسی محیطی شبکه را به تمام مولفههای مدیریتی و اینترفیسهای موجود در vSphere و کامپوننتهای مرتبط مانند ذخیرهسازی و کامپوننتهای شبکه بهعنوان بخشی از وضعیت امنیتی موثر توصیه میکند".
پورتهای شبکه خاص مرتبط با بهرهبرداری بالقوه در حملاتی که این آسیبپذیری را هدف قرار میدهند، 2012/tcp، 2014/tcp و 2020/tcp هستند.
در ماه ژوئن، VMware همچنین چندین نقص امنیتی سرور vCenter را که خطرات اجرای کد و دور زدن احراز هویت را برای سرورهای آسیبپذیر ایجاد میکرد، برطرف کرد.
در همین هفته، این شرکت یک (Zero-Day) روز صفر ESXi را که توسط هکرهای دولتی چین در حملات سرقت داده استفاده میشد، اصلاح کرد و به مشتریان در مورد یکی دیگر از نقصهای حیاتی Aria Operations for Networks هشدار داد.
از ابتدای سال، مدیران فناوری اطلاعات و تیمهای امنیتی مجبور به رسیدگی به هشدارهای آسیبپذیریهای امنیتی متعدد تحت بهرهبرداری فعال بودهاند، ازجمله روزهای صفر که بر سرورهای Ivanti Connect Secure، Ivanti EPMM و Citrix Netscaler تاثیر میگذارند.
برچسب ها: Citrix Netscaler, Ivanti Connect Secure, Ivanti EPMM, 2020/tcp, ESXiArgs, Qilin, RTM Locker, Monti, CVE-2023-34048, DCE/RPC vCenter, ESX, VMware vSphere, Akira, Black Basta, vCenter, Cyber Warfare, ESXi, LockBit, ماشین مجازی, Virtual Machine, VMware vCenter, cybersecurity, VMware, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news