В числе угроз — выполнение произвольных команд на сервере и возможность развития атаки для получения полного контроля над IT-системами компании
Эксперт Positive Technologies Егор Димитренко выявил две уязвимости в VMware vRealize Operations (vROps). Это решение предназначено для мониторинга и оптимизации производительности виртуальной инфраструктуры, устранения неполадок в ней.
Более опасная уязвимость была обнаружена в API vROps. Ошибка с идентификатором CVE-2021-21975 и оценкой 8,6 по шкале CVSS v3 относится к типу SSRF-уязвимостей, то есть позволяет выполнить подделку запросов на стороне сервера. С ее помощью любой неавторизованный злоумышленник может украсть учетные данные администратора и получить доступ к приложению с максимальными привилегиями, что позволяет изменять конфигурацию приложения и перехватывать в нем любые данные.
«Основной риск заключается в том, что привилегии администратора позволяют воспользоваться второй уязвимостью — CVE-2021-21983 (загрузка произвольных файлов, a rbitrary file write, оценка 7,2), а это даст возможность выполнять любые команды на сервере, — объясняет Егор Димитренко. — В результате объединение двух недостатков безопасности усиливает опасность ситуации, так как фактически позволяет неавторизованному злоумышленнику захватить контроль над сервером и начать дальнейшее продвижение в инфраструктуре компании. Комбинация этих двух уязвимостей по уровню угрозы сравнима с ошибкой CVE-2021-21972 в VMware vCenter, которую мы обнаружили ранее».
В числе причин возникновения уязвимостей, подобных CVE-2021-21975, исследователь называет стремление разработчиков решать поставленные перед ними задачи самыми удобными способами, которые не всегда эффективны с точки зрения безопасности. А причиной возникновения уязвимости CVE-2021-21983 часто становится недостаточная фильтрация входных данных, поступающих от пользователя.
Приложения такого типа, как vROps, обычно размещаются во внутренней сети, но из-за неправильной настройки (или в случае, когда нужно решать какие-то специфические задачи) их нередко можно встретить на периметре. Например, число доступных из интернета и содержащих уязвимость CVE-2021-21972 устройств VMware vCenter на момент ее обнаружения в конце февраля 2021 года во всем мире превышало 6 тысяч.
Для устранения уязвимостей необходимо руководствоваться рекомендациями, которые указаны в официальном уведомлении компании VMware. Если установить обновление невозможно, то есть способ обнаружить признаки проникновения: это применение системы класса SIEM (например, MaxPatrol SIEM), которая позволяет выявить подозрительное поведение на сервере, зарегистрировать инцидент и своевременно остановить продвижение злоумышленников внутри корпоративной сети.