黑客已大规模扫描存在新披露漏洞的VMware vCenter服务器

蓝天二号

黑客正在互联网上大规模扫描存在新披露漏洞的 VMWare 服务器。该漏洞编号为 CVE-2021-21974，严重程度为 9.8 分（等级最高为 10 分）。它是 VMware vCenter 服务器中的远程代码执行漏洞，VMware vCenter 服务器是一个适用于 Windows  和 Linux 的应用程序，管理员用它来实现和管理大型网络的虚拟化。

在 VMWare 发布安全公告之后，至少有 6 个不同来源的概念验证漏洞出现。漏洞的高危严重性，加上 Windows 和 Linux 机器的工作漏洞的可用性，让黑客们争先恐后地积极寻找脆弱的服务器。安全机构已经检测到针对脆弱的 VMware vCenter 服务器的大规模扫描活动。

来自 Bad Packets 的安全专家 Troy Mursch 表示，BinaryEdge 搜索引擎发现了近 1.5 万台暴露在互联网上的 vCenter 服务器，而 Shodan 搜索发现了约 6700 台。大规模扫描的目的是识别尚未安装补丁的服务器，VMware 周二发布了该补丁。

安全公司 Tenable 的研究人员表示，CVE-2021-21972 允许没有授权的黑客将文件上传到脆弱的 vCenter 服务器上，这些服务器可以通过 443 端口公开访问。成功的利用将导致黑客在底层操作系统中获得不受约束的远程代码执行权限。该漏洞源于默认安装的 vRealize Operations 插件缺乏认证。

该漏洞在通用漏洞评分系统3.0版上获得了9.8分（满分10.0分）的严重程度。发现该漏洞并私下向VMware报告的Positive Technologies 研究员 Mikhail Klyuchnikov 将 CVE-2021-21972 带来的风险认定和 CVE-2019-19781 同个级别，后者是 Citrix 应用交付控制器中的一个关键漏洞。