Новая уязвимость в VMware vCenter облегчает атаки на тысячи организаций

Татьяна Никитина 30 Марта 2022 - 16:17

...

Новая уязвимость в VMware vCenter облегчает атаки на тысячи организаций

Компания VMware выпустила обновления для vCenter Server, чтобы пользователи могли устранить уязвимость, которая в связке с другими позволяет захватить контроль над виртуальной ИТ-инфраструктурой атакуемой организации.

Продукты и услуги VMware используют более 500 тыс. клиентов в разных странах, в том числе все компании (PDF) списков Fortune 500 и Fortune Global 100. При этом комплект предоставляемых средств виртуализации по умолчанию включает софт для централизованного управления серверами — VMware vCenter Server.

Уязвимость CVE-2022-22948 относится к классу «раскрытие информации». Причиной ее появления, со слов вендора, является неадекватность разрешений для файлов. Эксплойт требует наличия доступа к vCenter Server на уровне простого пользователя.

Автор находки, специалист по ИБ из компании Pentera, в своей блог-записи отметил, что выявленная проблема сама по себе не очень опасна (в VMware ее оценили в 5,5 балла по CVSS). Тем не менее, в комбинации с другими уязвимостями vCenter она позволяет провести полноценную атаку с целью захвата контроля над виртуализированными компонентами ИТ-инфраструктуры.

Так, например, злоумышленник может с помощью CVE-2021-21972 получить доступ к машине с установленным клиентом vCenter Server, а затем пустить в ход новоявленную CVE-2022-22948, чтобы добыть логин и пароль к привилегированному аккаунту. Подобная атака позволяет установить полный контроль над сервером.

Если к связке эксплойтов добавить CVE-2021-22015, можно повысить локальные привилегии до root, взломать пароль на доступ к гипервизору ESXi (генерируется при первом подключении vCenter и при сохранении шифруется ненадежным способом) и подчинить себе и этот узел. Таким образом, данная цепочка эксплойтов позволяет с конечного устройства гибридной инфраструктуры захватить контроль над гипервизором и всеми ВМ под его управлением.

Новая угроза актуальна для vCenter Server веток 7.0, 6.7 и 6.5 (в последних двух случаях за исключением экземпляров, установленных на Windows-машинах), а также Cloud Foundation версий 3 и 4. Патчи по большей части уже готовы и доступны — кроме заплатки для Cloud Foundation 3.х. Поскольку уязвимости в продуктах VMware пользуются популярностью у хакеров, и те начинают их использовать в считаные дни после публикации, пользователям рекомендуется как можно скорее установить обновления.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Читайте также

Мошенники навязывают мессенджер MAX

Яков Шпунт 26 Декабря 2025 - 10:24

Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники активизировали продвижение мессенджера MAX, который всё чаще навязывают своим потенциальным жертвам. Основная причина такого интереса — именно MAX стал основным каналом доставки кодов подтверждения для портала «Госуслуги».

В качестве примера портал AndroidInsider привёл историю с пенсионеркой из Нижнего Тагила, о которой ранее сообщил телеграм-канал «Эксплоит».

Женщине позвонил злоумышленник, представившийся заместителем главного врача больницы, где она ранее работала. Он потребовал установить MAX, сославшись на якобы официальный документ с соответствующим предписанием. От установки приложения пенсионерку в итоге отговорили родственники.

По версии авторов «Эксплоита», целью атаки был «угон» учётной записи на «Госуслугах». Эту версию косвенно подтверждает и тот факт, что с начала декабря многие пользователи при входе на портал сталкивались с экраном, настойчиво предлагающим установить MAX — зачастую без возможности пропустить этот шаг.

В Минцифры официально признали, что интеграция с MAX была реализована для защиты от перехвата кодов подтверждения. При этом в ведомстве заверили, что возможность получения кодов по СМС сохранится для пользователей без смартфонов.

Помимо интеграции с «Госуслугами», в MAX хранятся номера документов, включая СНИЛС, ИНН, полис ОМС и паспортные данные. Эта информация также представляет интерес для мошенников.

Такие данные используются в атаках либо перепродаются на теневом рынке. Дополнительный интерес к MAX усиливает и анонсированная интеграция мессенджера с банковскими сервисами.

Параллельно MAX активно продвигает Минстрой России. Уже с августа начался перевод домовых чатов в российский мессенджер. Глава ведомства Ирек Файзуллин анонсировал для таких чатов новые функции, включая бота для напоминаний об оплате услуг ЖКХ.

При этом в Минстрое пообещали обеспечить высокий уровень защищённости сервиса — что особенно актуально, учитывая, что сфера ЖКХ также привлекает мошенников. Кроме того, домовые чаты активно используются и недобросовестными управляющими компаниями, в том числе для давления на конкурентов.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »