CISA предупреждает о критической уязвимости VMware RCE, используемой в атаках

Агентство по кибербезопасности и защите инфраструктуры (CISA) добавило критическую уязвимость в VMware Cloud Foundation в свой каталог брешей в системе безопасности, используемых в реальных условиях.

CISA предупреждает о критической уязвимости VMware RCE, используемой в атаках. Фото: СС0

Уязвимость CVE-2021-39144 была обнаружена в библиотеке с открытым исходным кодом XStream, используемой уязвимыми продуктами VMware. Оценка ее серьезности составила 9,8 баллов из 10.

Злоумышленники, не прошедшие проверку подлинности, могут использовать ошибку в несложных атаках, которым не потребуется вмешательство пользователя для удаленного выполнения произвольного кода с привилегиями root на неисправленных устройствах.

Из сообщения команды VMware:

«Из-за неаутентифицированной конечной точки, которая использует XStream для сериализации ввода в VMware Cloud Foundation (NSX-V), злоумышленник может получить удаленное выполнение кода в контексте «корня» на устройстве».

VMware выпустила обновления безопасности для устранения уязвимости CVE-2021-39144, о которой 25 октября сообщили Сина Хейркх из MDSec и Стивен Сили из Source Incite. Из-за серьезности проблемы VMware также выпустила исправления для некоторых продуктов с истекшим сроком службы .

В день выпуска патчей CVE-2021-39144 Kheirkhah также опубликовал запись в блоге с техническими подробностями и кодом эксплойта для проверки концепции (PoC) .

Решение CISA о включении уязвимости CVE-2021-39144 в свой каталог известных эксплуатируемых уязвимостей (KEV) последовало за подтверждением от VMware о том, что ошибка эксплуатируется в реальных условиях.

«Обновленный бюллетень с информацией о том, что VMware получила отчеты о действиях по эксплуатации в дикой природе, связанных с CVE-2021-39144», — сообщила компания в обновлении исходного бюллетеня в четверг.

Это произошло после того, как в понедельник компания Wallarm, занимающаяся кибербезопасностью, заявила, что эксплуатация CVE-2021-39144 началась всего через несколько недель после выпуска обновлений безопасности и продолжается как минимум с начала декабря 2022 года.

Из сообщения команды Wallarm:

«Команда Wallarm Detect каждый день отслеживает и анализирует десятки уязвимостей, и эта особенно интересна, поскольку за последние 2 месяца она была использована более 40 тыс. раз. Активная эксплуатация началась 8 декабря 2022 года и продолжается. В случае успешной эксплуатации последствия этих уязвимостей могут быть катастрофическими, позволяя злоумышленникам выполнять произвольный код, красть данные и/или получать контроль над сетевой инфраструктурой».

С добавлением уязвимости в каталог KEV CISA приказала федеральным агентствам США защитить свои системы от атак в течение трех недель, до 31 марта, чтобы предотвратить атаки, которые могут быть нацелены на их сети.

Хотя обязательная операционная директива от ноября 2021 года (BOD 22-01), стоящая за приказом CISA, применяется только к федеральным агентствам США, агентство по кибербезопасности также настоятельно призвало все организации исправить эту ошибку, чтобы защитить свои серверы от продолжающихся атак.

Из сообщения CISA:

«Эти типы уязвимостей являются частыми векторами атак для злоумышленников и представляют значительный риск для федерального предприятия».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме