Mới đây, VMware đã phải tung ra bản vá cho một lỗ hổng cho phép kẻ tấn công tải lên các tệp tùy ý dẫn tới những cuộc tấn công thực thi code từ xa. Lỗ hổng này được đánh mã số CVE-2021-22005 và ảnh hưởng tới tất cả các vCenter Server 6.7 và 7.0 được triển khai với cấu hình mặc định.
Lỗ hổng này được báo cáo bởi các chuyên gia George Noseevich và Sergey Gerasimov của SolidLab LLC. Cũng theo các chuyên gia, dựa vào lỗ hổng này hacker có thể thực hiện các cuộc tấn công có độ phức tạp thấp, không cần sự tương tác của nạn nhân.
Chỉ vài giờ sau khi bản vá được tung ra, tin tặc đang tích cực rà quét những máy chủ VMware vCenter chưa cài đặt bản cập nhật bảo mật mới nhất. Những tên hacker đã dùng chính thông tin giải pháp mà VMware cung cấp cho khách hàng chưa thế vá ngay ứng dụng của họ để thực hiện quá trình quét.
Khi tìm ra các máy chủ chưa được vá có kết nối với internet, hacker sẽ thực hiện các biện pháp để khai thác lỗ hổng.
Hiện tại, theo công cụ tìm kiếm Shodan, có hàng chục ngàn máy chủ vCenter có nguy cơ bị tấn công. Trong số này, rất nhiều máy chủ thuộc sở hữu của người dùng Việt.
Đây không phải lần đầu tiên hacker tích cực quét để tấn công vào các máy chủ VMware vCenter bảo mật yếu.
Hồi tháng 2, hacker đã quét hàng loạt máy chủ vCenter sau khi các nhà nghiên cứu bảo mật phát hành mã khai thác PoC cho một lỗ hổng bảo mật RCE nghiêm trọng (CVE-2021-21972) ảnh hưởng tới tất cả máy chủ vCenter cài đặt theo mặc định.
Hồi tháng 6, hacker cũng tiến hnahf quét máy chủ vCenter sau khi mã khai thác của lỗ hổng CVE-2021-21985 được đăng tải.
Nếu đang dùng vCenter Sever, bạn nên cập nhật ngay bản vá mới nhất của VMware.