在野外,

这不是一个钻:VMware vuln 9.8严重性评级受到攻击

代码执行漏洞vCenter利用在应用补丁的机器上安装web层。

丹Goodin- - - - - -2021年6月4日下午17点UTC

一个VMware漏洞严重性评级为9.8的正在积极开发中。至少有一个可靠的利用已经上市,有成功的尝试在野外妥协脆弱的软件运行的服务器。

进一步的阅读

脆弱性,追踪cve - 2021 - 21985,驻留在vCenter服务器,一个工具来管理大型数据中心的虚拟化。一个VMware咨询上周发布说vCenter机器使用默认配置有一个bug,在许多网络,允许恶意代码的执行,当机器的一个端口,暴露在互联网上。

代码执行,不需要身份验证

周三,研究员发表概念验证代码利用缺陷。一位要求不透露姓名的研究员说,利用工作可靠,小额外的工作需要使用恶意的代码的目的。可以复制使用五旋度的要求,一个命令行工具,传输数据使用HTTP, HTTPS, IMAP和其他常见的互联网协议。

另一个研究员在推特上对发布利用告诉我他可以修改它以获得远程代码执行与一个单一的点击鼠标。

快速的确认,这是真正的PoC cve - 2021 - 21985pic.twitter.com/jsXKFf1lZZ
- Janggggg (@testanull)2021年6月3日

“这将在目标机器代码的执行没有任何身份验证机制,”研究人员说。

我热影响区web壳

与此同时,研究员凯文·博蒙特周五表示,他的一个honeypots-meaning联网服务器运行过时的软件因此研究者可以监视活动扫描和exploitation-began看到扫描服务器通过远程系统寻找脆弱。

大约35分钟后,他在推特上,“哦,我的一个“粘蜜罐”出现了cve - 2021 - 21985当我工作的时候,我热影响区web壳(惊讶它不是一个硬币矿工)。”

哦,我的一个“粘蜜罐”出现了cve - 2021 - 21985当我工作的时候,我热影响区网站管理权限(惊讶它不是一个硬币矿业公司)。
——凯文·博蒙特(@GossiTheDog)2021年6月4日

web shell是一个命令行工具,黑客使用成功获得代码执行后脆弱的机器。安装之后,攻击者在世界任何地方控制本质上是相同的,合法的管理员。

特洛伊Mursch坏包周四报道他的蜜罐也开始接受扫描。周五,扫描仍在继续,他说。这篇文章上线后几个小时,网络安全和基础设施安全管理局发布了咨询。

它说:“中钢协的网络威胁的可能性演员正试图利用cve - 2021 - 21985,一个远程代码执行漏洞在VMware vCenter VMware服务器和云基础。尽管补丁可用5月25日,2021年,应用补丁的系统仍然是一个有吸引力的目标,攻击者可以利用此漏洞控制发动系统”。

在接二连三

在野外活动的最新头痛管理员已经在接二连三的恶意攻击其他严重漏洞。自今年年初以来,各种各样的应用程序中使用的大型组织受到攻击。在许多情况下,零日漏洞,利用被使用之前,公司发布了一个补丁。

进一步的阅读

成千上万的美国组织在持续的Microsoft Exchange黑客

攻击包括脉冲安全VPN利用针对联邦机构和国防承包商,成功的事迹代码缺陷的几个服务器西雅图F5网络销售的电器,Sonicwall防火墙的妥协在微软交换,使用零日成千上万的组织妥协在美国,开发组织运行的版本没有更新该VPN。

像以上产品的利用,vCenter驻留在大型组织潜在的脆弱地区的网络。一旦攻击者控制的机器,它通常只是一个时间问题,直到他们可以移动的部分网络,允许间谍恶意软件的安装或ransomware。

管理员负责vCenter机器还没有补丁cve - 2021 - 21985应该立即安装更新,如果可能的话。它不会是令人惊讶的看到周一的攻击卷高潮。

文章更新添加中钢协顾问。

丹Goodin丹是安全Ars Technica的编辑,2012年他加入注册工作后,美联社,彭博新闻和其他出版物。

60读者评论

fractlArs禁卫队的
回复星期五2021年6月04,24点
- 受欢迎的
可能是一天结束,另一个利用。

526个帖子|注册2017年3月21日
WanderlostSmack-Fu大师,在训练
回复星期五2021年6月04,24点
- 受欢迎的
100个帖子|注册2019年12月21日
nehinksArs长官
回复星期五2021年6月04,3点
- 受欢迎的
“中国说话”部分的意思是什么?研究员是中国,或看到恶意软件的实现在中国(而不是俄罗斯大概)吗?

4840个帖子|注册2010年7月16日
DefenestrarArs长官 118金宝app
回复星期五6月04 2021 3:33
一遍吗?

3452个帖子|注册2012年5月10日
副赶大车的人Ars长官 118金宝app
回复星期五2021年6月04,34点
nehinks写道:

“中国说话”部分的意思是什么?研究员是中国,或看到恶意软件的实现在中国(而不是俄罗斯大概)吗?

基于切线的根源Iswin.org几秒钟,我要与“研究员是中国人。”Looks like it writes about security vulernabilities.

否则……呃…怎么说“因为没有洛dos ?”在普通话,广东话,和几十个其他的中国方言吗?

5230个帖子|注册2012年6月3日
MrTomArs Scholae Palatinae
回复星期五2021年6月04,35点
- 受欢迎的
扔掉我所有的技术、骑自行车和为当地交付花店工作每天都听起来更好。

782个帖子|注册2015年10月15日
chifwafwaniArs百夫长
回复星期五2021年6月04,3点
下雨的时候它倒。

204个帖子|注册2018年8月1日
myk.dinis聪明,Ars岁老兵 118金宝app
回复星期五2021年6月04,3:44点
这是报道几天前,不是吗?

打补丁的,已经忘记了。

幸运的是,我们在这一个。铪脆弱性有我们匆忙。

163个帖子|注册2012年2月7日
JuboalSmack-Fu大师,在训练 118金宝app
回复星期五2021年6月04,3:47点
- 新海报
这类的活动是西方政府需要停止囤积安全漏洞的原因,开始尽快解决所有设备的安全。
当前模型的安全漏洞为自己和希望,只有„好人”知道他们已经失败了。
在美国很多人似乎认为威慑是唯一的方法来防止这些攻击,但是想象一下美国国家安全局的500亿美元可以寻找bug,然后分享他们的软件制造商,从而使整个世界更加安全。
然后俄罗斯或中国黑客会少很多利用他们的恶作剧。
这当然会减少攻击性网络功能的价格为西方演员。
最后一次编辑Juboal在星期五2021年6月04,3:52点

5文章|注册2020年4月5日
HoneybogArs百夫长
回复星期五2021年6月04,3:49点
- 受欢迎的
MrTom写道:

扔掉我所有的技术、骑自行车和为当地交付花店工作每天都听起来更好。

直到交付应用卖花的使用采取订单PII泄漏你所有…

565个帖子|注册2020年1月28日,
biffbobfredArs Scholae Palatinae
回复星期五2021年6月04,3:52点
- 受欢迎的
Defenestrar写道:

一遍吗?

同样的错误,正在积极攻击。如果你还没有修补,现在将是一个很好的时间。放弃不管你正在做的和修补这将是一个很好的利用你的时间。

1007个帖子|注册2014年10月13日
SaneMethodSmack-Fu大师,在训练 118金宝app
回复星期五2021年6月04,3:56点
- 受欢迎的
Juboal写道:

这类的活动是西方政府需要停止囤积安全漏洞的原因,开始尽快解决所有设备的安全。
当前模型的安全漏洞为自己和希望,只有„好人”知道他们已经失败了。

西方政府不囤积这些漏洞,因为他们是“好人”,需要他们的手拯救生命和保护模糊的小猫,或者诸如此类的。发现和利用他们出于同样的原因,任何政府控制,恐吓,破坏,毁灭。

你必须有崇高的理想和一个严格的道德准则,而不是专注于揭示和修正等问题。

祝你好运找到那些在地球上任何一个政府。

20个帖子|注册2018年10月1日
ukeandhike聪明,Ars岁老兵 118金宝app
回复星期五2021年6月04,跑点
- 受欢迎的
biffbobfred写道:

Defenestrar写道:

一遍吗?

同样的错误,正在积极攻击。如果你还没有修补,现在将是一个很好的时间。放弃不管你正在做的和修补这将是一个很好的利用你的时间。

你会很惊讶(或者没有)到我的客户有多少,完全有能力、有经验的IT管理员,惊慌失措的今天,尽管上周新闻了。

这是当会计在公司走“哦,你有足够的为10名员工工作吗?我相信你会做得很好只有3补丁服务器有多难吗?”

Facepalm指的甚至不公正。

383个帖子|注册2020年9月11日
LorribotArs百夫长
回复星期五2021年6月04,13点
所以如果你vCenter服务器暴露在互联网可能被一些歹徒砍,天哪一个惊喜。
如果你公开vCenter互联网不太可能你认为基本安全修补一个值得实践,并可能弱管理密码和你desrve你得到的一切。
对于大多数企业不应该接触到互联网除了防火墙和VPN设备。等一切需要互联网连接的网站,应该举办,从你的业务完全隔离,基本的外部安全不是火箭科学。内部安全更加困难,充满了v“业务”争夺坏实践和它导致业务工作实践改变(如修补每月不SAP团队每3 - 6个月,你知道,因为太难了)。

229个帖子|注册2016年1月23日
TheFuArs长官
回复星期五2021年6月04,15点
- 受欢迎的
一定叫VMware支持。让他们获得这些许可费用!

3327个帖子|注册2012年4月18日
狂热的獾聪明,Ars岁老兵
回复星期五2021年6月04,4:20点
- 受欢迎的
叶子vCenter从这该死的互联网访问谁? !

192个帖子|注册2015年11月23日
afidelArs Legatus Legionis 118金宝app
回复星期五2021年6月04,24点
- 受欢迎的
biffbobfred写道:

Defenestrar写道:

一遍吗?

同样的错误,正在积极攻击。如果你还没有修补,现在将是一个很好的时间。放弃不管你正在做的和修补这将是一个很好的利用你的时间。

你也应该立即评估无论精神失常促使你把你的vcenter服务器在互联网上而非锁定管理网络。我的意思是,这当然也可以被用作一种特权升级攻击敌人,找到进入你的管理网络,所以你应该还是尽快修补,但你不需要头发着火在这如果你已经有一个适当的设计和减轻网络。

14540个帖子|注册2002年3月12日
ukeandhike聪明,Ars岁老兵 118金宝app
回复星期五2021年6月04,24点
- 受欢迎的
狂热的獾写道:

叶子vCenter从这该死的互联网访问谁? !

公司的基础设施包括6不同遗产网络从不同的并购加上劳累管理员。

认真我得到你的观点,但很多IT管理员和我一起工作就像人在一艘船体是谁违反了大炮30的地方,他们已经把一桶焦油和告诉上班。组织功能障碍总是了能力。

383个帖子|注册2020年9月11日
gloglogloSeniorius Lurkius
回复星期五2021年6月04,24点
狂热的獾写道:

叶子vCenter从这该死的互联网访问谁? !

有一个功能,默认情况下是开启的。

vSphere客户机(HTML5)包含一个远程代码执行漏洞由于缺乏输入验证在虚拟圣健康检查插件默认启用的vCenter服务器。恶意的演员与网络访问端口443可能利用这个问题与不受限制的权限执行命令在底层操作系统,主机vCenter服务器上。

downvotes让我看更多…我看到我上市如果人们仅仅是可存取的利用,事实上,让它开放的互联网。谢谢你的负面的鼓励哈哈=)
最后一次编辑glogloglo在星期五2021年6月04,4:56点

49个帖子|注册2012年4月27日
NowickiArs长官 118金宝app
回复星期五2021年6月04,近点
WTF VMware !什么是所有这些高关键代码执行漏洞?至少它不是另一个HTML 5的插件。

剧透: 显示

5483个帖子|注册2015年1月6日
AreWeThereYetiArs长官 118金宝app
回复星期五2021年6月04,三十五分
SaneMethod写道:

Juboal写道:

这类的活动是西方政府需要停止囤积安全漏洞的原因,开始尽快解决所有设备的安全。
当前模型的安全漏洞为自己和希望,只有„好人”知道他们已经失败了。

西方政府不囤积这些漏洞,因为他们是“好人”,需要他们的手拯救生命和保护模糊的小猫,或者诸如此类的。发现和利用他们出于同样的原因,任何政府控制,恐吓,破坏,毁灭。

你必须有崇高的理想和一个严格的道德准则,而不是专注于揭示和修正等问题。

祝你好运找到那些在地球上任何一个政府。

这是一个粗略的简化。我们读到这些黑客和ransomware袭击,和每个人都在努力找到一些方法来阻止攻击。你认为是如何运作的吗?

农业研究所和其他很多愚蠢的人开始尖叫“炸弹!”,或“剿灭他们从互联网”如果你能做到,如果没有世界大战。的合法的国家安全局的作用是利用存储0天的报复。俄罗斯和中国,和其他国家这样做大便需要感觉一些真正的痛wink wink俯瞰和可能的支持所有的罪犯困扰世界的港口。这是一个非常小的数量的实际工具我们要利用网络罪犯。破坏重要基础设施吗?得到一些严重但神秘可否认的损害。

是唯一能得到的关注暴徒和普京一样。

4128个帖子|注册2009年9月15日
jwbakerArs长官
回复星期五2021年6月04,4:39点
我想我很幸运,免费许可ESXi我一直呆了十多年没有任何的脆弱特性。

3544个帖子|注册2000年3月3日
NowickiArs长官 118金宝app
回复星期五2021年6月04,4:41点
jwbaker写道:

我想我很幸运,免费许可ESXi我一直呆了十多年没有任何的脆弱特性。

哈哈哈,这给我的印象是极大的讽刺,并表明最佳实践结合客户要求不支付任何东西。

5483个帖子|注册2015年1月6日
kmmatneyArs百夫长
回复星期五2021年6月04,4:54点
我认为这并不影响VMWare工作站,但我更新它以防……

314个帖子|注册2015年3月27日,
SGJ聪明,Ars岁老兵 118金宝app
回复星期五2021年6月04,5:09点
AreWeThereYeti写道:

SaneMethod写道:

Juboal写道:

这类的活动是西方政府需要停止囤积安全漏洞的原因,开始尽快解决所有设备的安全。
当前模型的安全漏洞为自己和希望,只有„好人”知道他们已经失败了。

西方政府不囤积这些漏洞,因为他们是“好人”,需要他们的手拯救生命和保护模糊的小猫,或者诸如此类的。发现和利用他们出于同样的原因,任何政府控制,恐吓,破坏,毁灭。

你必须有崇高的理想和一个严格的道德准则,而不是专注于揭示和修正等问题。

祝你好运找到那些在地球上任何一个政府。

这是一个粗略的简化。我们读到这些黑客和ransomware袭击,和每个人都在努力找到一些方法来阻止攻击。你认为是如何运作的吗?

农业研究所和其他很多愚蠢的人开始尖叫“炸弹!”,或“剿灭他们从互联网”如果你能做到,如果没有世界大战。的合法的国家安全局的作用是利用存储0天的报复。俄罗斯和中国,和其他国家这样做大便需要感觉一些真正的痛wink wink俯瞰和可能的支持所有的罪犯困扰世界的港口。这是一个非常小的数量的实际工具我们要利用网络罪犯。破坏重要基础设施吗?得到一些严重但神秘可否认的损害。

是唯一能得到的关注暴徒和普京一样。

我同意,通常的嫌疑人需要面对他们行为的后果,但报复同比并不是无风险。能走多远之前的网络报复成为你的对手吗开战的原因non-cyber响应?

190个帖子|注册2015年11月25日
ZPrimeArs Legatus Legionis 118金宝app
回复星期五2021年6月04,习用点
笑在Nutanix AHV

(我知道,所有的软件利用,Nutanix技术只是Linux盒子所以最终会有自己的缺陷……这就是为什么我不让管理界面。)

18485个帖子|注册2000年1月22日
dmccartyArs Scholae Palatinae 118金宝app
回复星期五2021年6月04,5:16点
当然我不是第一个注意到有多少个9。x漏洞了通讯社的周末开始?

1044个帖子|注册2004年9月27日
panton41Ars长官 118金宝app
回复星期五2021年6月04,21点
MrTom写道:

扔掉我所有的技术、骑自行车和为当地交付花店工作每天都听起来更好。

我放弃了它,作为一个食品送货司机,因为这种东西。我不需要,压力在我的生活中。

5579个帖子|注册2010年3月12日
afidelArs Legatus Legionis 118金宝app
回复星期五2021年6月04,27点
dmccarty写道:

当然我不是第一个注意到有多少个9。x漏洞了通讯社的周末开始?

如果就像周末开始你说上周二,然后确定。我是说9.8 CVE分数这后续几乎是不可避免的,实际上我很震惊花了一个星期的时间利用和警告出来。

14540个帖子|注册2002年3月12日
alansh42Ars Scholae Palatinae 118金宝app
回复星期五2021年6月04,下午5:30
Lorribot写道:

所以如果你vCenter服务器暴露在互联网可能被一些歹徒砍,天哪一个惊喜。
如果你公开vCenter互联网不太可能你认为基本安全修补一个值得实践,并可能弱管理密码和你desrve你得到的一切。
对于大多数企业不应该接触到互联网除了防火墙和VPN设备。等一切需要互联网连接的网站,应该举办,从你的业务完全隔离,基本的外部安全不是火箭科学。内部安全更加困难,充满了v“业务”争夺坏实践和它导致业务工作实践改变(如修补每月不SAP团队每3 - 6个月,你知道,因为太难了)。

是的,但这就是为什么很多这些攻击开始“请检查附件发票- May2021_inv.pdf.exe”。他们开始与网络内获得立足之地,然后扩展。

833个帖子|注册2013年10月10日,
adespotonArs长官
回复星期五2021年6月04,31点
MrTom写道:

扔掉我所有的技术、骑自行车和为当地交付花店工作每天都听起来更好。

不幸的是,自行车的技术。当前的非常先进的技术。和你的当地花店很可能使用转基因作物。

4695个帖子|注册2013年6月19日
sonolumiArs长官 118金宝app
回复星期五2021年6月04,5:49点
adespoton写道:

MrTom写道:

扔掉我所有的技术、骑自行车和为当地交付花店工作每天都听起来更好。

不幸的是,自行车的技术。当前的非常先进的技术。和你的当地花店很可能使用转基因作物。

通用汽车是至少使用其产能过剩,在等待芯片,很好地利用。

3411个帖子|注册2012年6月14日
TheDubSmack-Fu大师,在训练
回复星期五2021年6月04,6:02点
当然这是变得更糟。犯罪支付如果你不能建立法治。现在相当于有人上来和射击你的孩子,和警察做的就是讲你没有倒钩线和一个机枪保护你的家。

13个帖子|注册2021年4月9日
panton41Ars长官 118金宝app
回复星期五2021年6月04,下午6:10
sonolumi写道:

adespoton写道:

MrTom写道:

扔掉我所有的技术、骑自行车和为当地交付花店工作每天都听起来更好。

不幸的是,自行车的技术。当前的非常先进的技术。和你的当地花店很可能使用转基因作物。

通用汽车是至少使用其产能过剩,在等待芯片,很好地利用。

…嗯…

…转基因…

5579个帖子|注册2010年3月12日
ukeandhike聪明,Ars岁老兵 118金宝app
回复星期五2021年6月04,13点
panton41写道:

sonolumi写道:

adespoton写道:

MrTom写道:

扔掉我所有的技术、骑自行车和为当地交付花店工作每天都听起来更好。

不幸的是,自行车的技术。当前的非常先进的技术。和你的当地花店很可能使用转基因作物。

通用汽车是至少使用其产能过剩,在等待芯片,很好地利用。

…嗯…

…转基因…

我猜,通用汽车“植物”特别关键的事情困惑…这里有生长的地面和西尔维拉多成长的事情。

编辑:清晰

383个帖子|注册2020年9月11日
CoppercloudArs Scholae Palatinae 118金宝app
回复星期五2021年6月04,28点
上次我们可能散列出来,但有人提醒我:除了显而易见的(懒惰和愚蠢)为什么你把vcenter放到网上的?

1037个帖子|注册2016年10月25日
5.0Seniorius Lurkius
回复星期五2021年6月04,6:31点
- 新海报
adespoton写道:

MrTom写道:

扔掉我所有的技术、骑自行车和为当地交付花店工作每天都听起来更好。

不幸的是,自行车的技术。当前的非常先进的技术。和你的当地花店很可能使用转基因作物。

最大的“实际上……”I've seen in a while.
布拉沃。

8帖子|注册2008年8月27日
spartan56聪明,Ars岁老兵
回复星期五2021年6月04,56点
狂热的獾写道:

叶子vCenter从这该死的互联网访问谁? !

可能那些太懒或者劳累/人手不足维持适当的修补/维护策略。

106个帖子|注册2016年1月8日
RealityGone聪明,Ars岁老兵
回复星期五2021年6月04,7:12点
dmccarty写道:

当然我不是第一个注意到有多少个9。x漏洞了通讯社的周末开始?

这是一个漫长的周末在澳大利亚西部。我觉得对SOC的人。他们可能有一个时间。

132个帖子|注册2013年3月29日,