VMware bevestigt dat kritieke fout in vCenter nu wordt uitgebuit in aanvallen
Door
Sergiu Gatlan
Publicatie van
BleepingComputer
VMware heeft bevestigd dat een kritieke vCenter Server kwetsbaarheid voor remote code execution, die in oktober is gepatcht,
nu actief wordt uitgebuit.
vCenter Server is een beheerplatform voor VMware vSphere-omgevingen dat beheerders helpt ESX- en ESXi-servers en virtuele
machines (VM's) te beheren.
"VMware heeft bevestigd dat uitbuiting van CVE-2023-34048 in het wild heeft plaatsgevonden", aldus het bedrijf in een update,
die deze week is toegevoegd aan de oorspronkelijke advisory.
De kwetsbaarheid werd gemeld door Trend Micro kwetsbaarheidsonderzoeker Grigory Dorodnov en wordt veroorzaakt door een
out-of-bounds schrijfzwakte in de DCE/RPC protocolimplementatie van vCenter.
Aanvallers kunnen het op afstand misbruiken in eenvoudige aanvallen, met een grote impact op vertrouwelijkheid, integriteit en beschikbaarheid, waarvoor geen authenticatie of gebruikersinteractie nodig is. Vanwege het kritieke karakter heeft VMware ook beveiligingspatches uitgegeven voor meerdere end-of-life producten zonder actieve ondersteuning.
Network access brokers nemen graag VMware-servers over en verkopen deze vervolgens op cybercrime-forums aan
ransomware-bendes voor eenvoudige toegang tot bedrijfsnetwerken.
Veel ransomware-groepen (zoals Royal, Black Basta, LockBit en, meer recentelijk, RTM Locker, Qilin, ESXiArgs, Monti en Akira)
staan er nu om bekend, dat ze zich rechtstreeks richten op de VMware ESXi-servers van slachtoffers, om hun bestanden te stelen
en te versleutelen en enorm losgeld te eisen.
Volgens gegevens van Shodan zijn momenteel meer dan 2.000 VMware Center-servers online, mogelijk kwetsbaar voor
aanvallen en bedrijfsnetwerken blootgesteld aan risico's, op inbreuken gezien hun vSphere-beheerrol.
VMware vCenter-servers blootgesteld aan internet (Shodan)
Omdat er geen workaround is, heeft VMware er bij beheerders die hun servers niet kunnen patchen op aangedrongen om de netwerktoegang tot vSphere-beheercomponenten strikt te controleren.
"VMware raadt ten zeerste aan om de netwerktoegang tot alle beheercomponenten en interfaces in vSphere en
gerelateerde componenten, zoals opslag- en netwerkcomponenten, strikt te controleren als onderdeel van een algehele
effectieve beveiligingsposture", waarschuwt het bedrijf.
De specifieke netwerkpoorten die in verband worden gebracht met mogelijke uitbuiting in aanvallen gericht op deze
kwetsbaarheid zijn 2012/tcp, 2014/tcp en 2020/tcp.
In juni heeft VMware ook meerdere vCenter Server beveiligingslekken met hoge ernst verholpen, die code-uitvoering en
omzeiling van authenticatie risico's voor kwetsbare servers met zich meebrachten.
In dezelfde week repareerde het bedrijf een ESXi zero-day die door Chinese staatshackers werd gebruikt bij aanvallen voor
gegevensdiefstal en waarschuwde het klanten voor een ander actief misbruikt kritiek lek in Aria Operations for Networks.
Sinds het begin van het jaar hebben IT-beheerders en beveiligingsteams te maken gehad met waarschuwingen over meerdere beveiligingsproblemen die actief worden uitgebuit, waaronder zero-days die van invloed zijn op Ivanti Connect Secure,
Ivanti EPMM en Citrix Netscaler servers.