Geçen günlerde vCenter üzerinde RCE zafiyeti ortaya çıkmış ve VMware tarafından güncelleme yayınlanarak güvenlik açığı kapatılmıştı.
Güvenlik uzmanları yaptıkları tespitlerde, bu zafiyet için hala güncelleme yapmamış ve internete açık olan sistemler belirlediklerini açıkladılar.
Güvenlik araştırmacıları ayrıca, CVE-2021-21985 olarak izlenen bu kritik VMware vCenter zafiyetini için (PoC) kodu geliştirildiğini ve yayınlanmış durumda olduğun söyledi.
Shodan üzerinde yapılan aramalarda şu anda internet üzerinden binlerce vCenter sunucusuna erişilebilir durumda olduğu görülmekte.
Güvenlik araştırmacıları, aynı zamanda tüm vCenter sürümlerini etkileyen başka bir kritik RCE güvenlik açığı (CVE-2021-21972) için PoC kodu yayınladıktan sonra, saldırganların yama uygulanmamış vCenter sunucuları için toplu olarak tarama yapmaya başladıklarını açıkladılar.
Zafiyete baktığımızda tüm vCenter sürümlerinde default olarak aktif olarak gelen “Virtual SAN Health Check” eklentisi üzerindeki RCE’den kaynaklandığı görülüyor.
Fidye Yazılımı Uyarısı
Uzmanlar sistemlerin yamalanmaları konusunda ciddi uyarılardan bulunurken özellikle APT grublarının VMware vCenter sistemlerini hedef aldıklarını açıkladı.
Daha önce Darkside, RansomExx ve Babuk Locker dahil olmak üzere bir çok fidye yazılımı çetesi, sanal sabit diskleri şifrelemek için VMWare ESXi kimlik doğrulama öncesi RCE hatalarından yararlanmıştı.
Kaynak: bleepingcomputer.com