Nylig meldte Digi.no om en kritisk sårbarhet i et av hovedproduktene til selskapet Vmware, vCenter Server, som ligger helt i toppen av risikoskalaen. Nå rapporterer blant andre Bleeping Computer at hackere aktivt søker etter utsatte servere for å utnytte sårbarheten.
I en Twitter-meldinger lagt ut på torsdag opplyste sikkerhetsselskapet Bad Packets at de hadde registrert skanning etter servere med sårbarheten. På lørdag la selskapet ut en ny melding om at hackere har startet aktiv utnytting av sårbarheten via selskapets Vmware-honningkrukke.
Bekreftes av anerkjent forsker
En honningkrukke er for ordens skyld en sikkerhetsmekanisme som går ut på å «lokke» kriminelle til å angripe et nettverk eller del av nettverk som utgir seg for å være legitimt, men som i realiteten er avsondret og overvåket.
Skanningen bekreftes av den anerkjente sikkerhetsforskeren Kevin Beaumont, som i sin tur peker på at det nå finnes en «proof of concept»-kode som utnytter sårbarheten og som fungerer på nyere versjoner av vCenter Server.
vCenter Server er altså Vmwares programvareprodukt for sentral administrasjon og konfigurasjon av virtualiserte miljøer, som baserer seg på selskapets virtualiseringsplattform vSphere.
Sårbarheten det dreier seg om, bærer sporingskoden CVE-2021-21985 og har en sum på hele 9,8 av 10 på den såkalte CVSSv3-skalaen, noe som plasserer den helt i toppsjiktet når det gjelder alvorlighetsgrad.
Advarer mot utpressingsvirus
Som Vmware opplyser i sin egen sikkerhetsmelding, kan ondsinnede aktører med tilgang til port 443 utnytte sårbarheten til å utføre kommandoer med ubegrensede rettigheter i det underliggende operativsystemet som vCenter Server kjører på. Potensielt kan det føre til at angripere kan overta hele nettverk.
Vmware advarer blant annet mot at sårbarheten kan brukes til å plante de svært destruktive utpressingsvirusene.
– Med trusselen fra utpressingsvirus i disse dager, er det sikrest å anta at en angriper allerede har kontroll over en PC og en brukerkonto gjennom teknikker som phishing eller spearphishing – og handle deretter. Dette betyr at angriperen allerede kan være i stand til å nå vCenter Server fra innsiden av en bedriftsbrannmur, og tiden er knapp, skriver Vmware i et informasjonsdokument.
Oppdateringer og midlertidige fikser er tilgjengelige i skrivende stund, og det er altså sterkt anbefalt at man installerer disse så snart som mulig dersom man er rammet av sårbarhetene. Mer informasjon og tekniske detaljer kan du finne hos Vmware.