هشدار آسیب پذیری CVE-2021-21972 در vcenter

فقط یک روز پس از اعلام VMware در دسترس بودن وصله های مربوط به یک آسیب پذیری مهم که بر روی سرور vCenter تأثیر می گذارد ، هکرها شروع به اسکن اینترنت برای سرورهای آسیب پذیر می کنند.

این نقص که تحت عنوان CVE-2021-21972 ردیابی می شود ، بر موئلفه های vSphere Client سرور vCenter تأثیر می گذارد و می تواند توسط یک مهاجم از راه دور و غیرمجاز مورد سو استفاده قرار گیرد تا دستورات دلخواه را با سطح دسترسی  بالاتر در سیستم عامل میزبان vCenter Server اجرا کند.

هشدار سازمان NSA در خصوص سوء استفاده هکرهای روسی از نقص امنیتی VMWARE

 

اگرچه در بیشتر موارد یک مهاجم برای سو ءاستفاده از این آسیب پذیری نیاز به دسترسی به شبکه سازمان هدف دارد ، اما بیش از 6000 سیستم بالقوه آسیب پذیر وجود دارد که مستقیماً از طریق اینترنت قابل دسترسی هستند.

بسیاری از این سرورها در ایالات متحده ، آلمان ، چین ، فرانسه و انگلستان واقع شده اند.

شرکت امنیت سایبری Positive Technologies ، که محققان آن این آسیب پذیری رو کشف کردند و آن را به VMware گزارش دادند ،در یک گزارش جزئیات فنی این آسیب پذیری را منشر نمود.قبل از آن نیز افرادی این آسیب پذیری را اثبات و آن را منتشر نمودند

پس از مشاهده اینکه چند نفر پس از مدت کوتاهی پس از اعلام موجود بودن وصله های بزرگ مجازی سازی ، چندین فرد کد بهره برداری اثبات مفهوم (PoC) را منتشر کردند ، جزئیات فنی این آسیب پذیری را منتشر کرد.

. VMware گزارش خود را در 23 فوریه منتشر کرد و شرکت Bad Packets در 24 فوریه نیز این آسیب پذیری که سرورهای vCenter را تحت تأثیر CVE-2021-21972 قرار می دهد را گزارش داد.

میخائیل کلیوچنیکوف ، محقق فن آوری های مثبت برای یافتن این آسیب پذیری ، گفت: این نقص به همان اندازه خطرناک است که آسیب پذیری گسترده Citrix با CVE-2019-19781 .

وی توضیح داد: “اگر از طریق اینترنت بتوان به نرم افزار آسیب پذیر دسترسی داشت ، این امر به یک مهاجم خارجی اجازه می دهد تا به محیط خارجی شرکت نفوذ کند و همچنین به اطلاعات حساس دسترسی پیدا کند.”

لینک مطلب

هکرها سطح مواد شیمیایی در یک مرکز تصفیه آب در فلوریدا را دستکاری کردند

ده تا از جدیدترین و خطرناکترین ویروس و تهدیدات مخرب در سال 2020

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code