Более 6,700 серверов VMware находятся в открытом доступе и являются уязвимыми для атак, что может позволить хакерам захватить незащищенные устройства и сети компаний.
Как сообщают специалисты из Bad Packets, сейчас идет процесс сканирования устройств VMware vCenter. Сканирование началось после того, как китайский исследователь безопасности опубликовал код PoC (Proof-of-Concept) для уязвимости CVE-2021-21972.
Уязвимость затрагивает vSphere Client (HTML5), плагин для VMware vCenter, который представляет собой тип сервера, который обычно развертывается в крупных корпоративных сетях в качестве утилиты управления. С его помощью персонал управляет продуктами VMware, которые установлены на локальные рабочие станции.
В прошлом году эксперты из Positive Technologies обнаружили, что хакеры могут атаковать интерфейс HTTPS этого плагина и исполнить вредоносный код с повышенными привилегиями на устройстве. 23 февраля компания выпустила патч для этой уязвимости.
ПО vCenter используют многие компании, поэтому Positive Technologies планировала держать детали бага в секрете, пока сисадмины не протестируют патч.
Но из-за опубликованного китайским исследователем кода PoC отсрочки не последовало. Вместо этого началось массовое сканирование уязвимых систем vCenter, подключенных к интернету. Что еще хуже, эксплойт для этого бага является однострочным запросом cURL. Это делает его уязвимым для атак даже низкоквалифицированных хакеров.
На данный момент более 6,700 серверов VMware vCenter подключены к интернету. Все системы являются уязвимыми для атак.
VMware также просит своих клиентов как можно скорее обновить их системы.