این فعالیت توسط Bad Packets در ۳ ژوئن شناسایی شد و دیروز توسط محقق امنیتی کوین بومونت تأیید شد.
Troy Mursch مدیر ارشد تحقیقات در Bad Packets در توییتر خود نوشت: فعالیت اسکن انبوه توسط ۱۰۴.۴۰.۲۵۲.۱۵۹ جهت بررسی هاستهای آسیبپذیر VMware vSphere در برابر اجرای کد از راه دور است.
این اتفاق به دنبال انتشار یک کد PoC اکسپلویت RCE با هدف اشکالیابی VMware vCenter صورت گرفت.
این نقص با عنوان CVE-2021-21985 (نمره CVSS 9.8) پیگیری میشود، این مسئله نتیجه عدم اعتبار سنجی ورودی در افزونه Virtual SAN (vSAN) Health Check است که میتواند توسط یک مهاجم برای اجرای دستورات با امتیازات نامحدود مورد سواستفاده قرار گیرد.
اگرچه این نقص توسط VMware در تاریخ ۲۵ می برطرف شد، این شرکت اکیدا از مشتریان خود خواست که بلافاصله تغییرات اضطراری را اعمال کنند.
براساس گفته Bad Packets و Binary Edge، حداقل ۱۴،۸۵۸ سرور آسیبپذیر vCenter از طریق اینترنت قابل دسترسی هستند.
یک نظر