23 Eyl, 2021

[:tr]VMware, vCenter Sunucusunda Fidye Yazılımı Dostu Hataya Karşı Uyardı[:en]VMware Warns of Ransomware Friendly Error on vCenter Server[:]

[:tr]

21 Eylül 2021 günü VMware firması, vCenter Server ve Cloud Foundation cihazlarında, bir saldırganın etkilenen bir sistemin kontrolünü ele geçirmek için kullanabileceği 19 adet güvenlik açığına ilişkin yeni bir bülten uyarısı yayınladı.

Bunlar arasında en acil olanı, Analytics hizmetinde (CVE-2021-22005) vCenter Server 6.7 ve 7.0 dağıtımlarını etkileyen rastgele bir dosya yükleme güvenlik açığıdır.

VCenter Server port 443 ağa erişimi olan kötü niyetli aktör, özel hazırlanmış dosya yükleyerek vCenter Server üzerinde zararlı kodu çalıştırılabileceği hatırlatıldı.

VMware, kusur için geçici çözümler yayınlamış olsa da şirket bunların güncellemeler dağıtılıncaya kadar geçici bir çözüm olduğunun unutulmaması konusunda uyardı.

VMware’ın 21 Eylül 2021 tarihinde yayınladığı bültenindeki VCenter ile ilgili zafiyetler konusunda, CyberArts kurumları 26 Eylül 2021 tarihinde detaylı bir şekilde bilgilendirmişti.

Ulaştığımız birçok firma bildirim konusunda nezaket içerisinde geri dönüş yapmış olsalar da durumun kritikliği göz önünde bulundurularak, gerekli tedbirleri yeterince almadıkları tarafımızca gözlemlenmiştir.
VMware yayınladığı bülten sonrasında ne kadar haklı olduğumuzu aslında görmüş olduk.

Peki CyberArts Bu Zafiyetler ile İlgili İstihbarat Bilgisine Nasıl Sahip Oldu?

27 Temmuz 2021 tarihinde Türkiye telekomünikasyon firmalarından biri veri ihlali sonrası firmamıza Pentest ve KVKK süreçleri için Danışmanlık konusunda hizmet için başvurdu. Sonrasında anlaşıp kuruma Pentest süreçlerini hemen başlattık. Testlerimiz sonucunda ihlale maruz kalan uygulamanın veri ihlali yaşayabilecek kritik zafiyetler içermediği tespit edildi.

Bunun üzerine bazı firmalar gibi testimizi yaptık işimiz bitti demek yerine, olayın aydınlanması için siber istihbarat çalışmalarımız başlattık. Anonim olarak bu süreçler devam ettirdik.

Akabinde, veri tabanlarının satıldığı dark web forumlarının birinde kurumun veri ihlalini yayınlayan tehdit aktörü, aynı nickname ve benzer ekran görüntüleri ile başka kurumların da verilerini yayınlamaya başladı. Biz de bu tehdit aktörünü mercek altına aldık ve yaptığı paylaşımları, ekran görüntülerini analiz ederek belli bir noktaya kadar geldik.
Sonrasında tehdit aktörü ile pazarlıklar yapıldı. Pazarlıklar sonucunda durum domine edilerek veri ihlalinin hangi sistem üzerinden gerçekleştiğini ve nasıl olduğuna dair bilgilere eriştik. Hizmet verdiğimiz kurumun hizmet sağlayıcısından kaynaklı olduğu tespit edilmiştir.

Hemen sonrasında bu servisi kullanan tespit edebildiğimiz firmalarla e-posta yöntemi ile iletişime geçtik.

Sanallaştırma hizmetleri sağlayıcısı tarafından yamalanan kusurların tam listesi aşağıdaki gibidir:

  • CVE-2021-22005 (CVSS score: 9.8) – vCenter Server file upload vulnerability
  • CVE-2021-21991 (CVSS score: 8.8) – vCenter Server local privilege escalation vulnerability
  • CVE-2021-22006 (CVSS score: 8.3) – vCenter Server reverse proxy bypass vulnerability
  • CVE-2021-22011 (CVSS score: 8.1) – vCenter server unauthenticated API endpoint vulnerability
  • CVE-2021-22015 (CVSS score: 7.8) – vCenter Server improper permission local privilege escalation vulnerabilities
  • CVE-2021-22012 (CVSS score: 7.5) – vCenter Server unauthenticated API information disclosure vulnerability
  • CVE-2021-22013 (CVSS score: 7.5) – vCenter Server file path traversal vulnerability
  • CVE-2021-22016 (CVSS score: 7.5) – vCenter Server reflected XSS vulnerability
  • CVE-2021-22017 (CVSS score: 7.3) – vCenter Server rhttpproxy bypass vulnerability
  • CVE-2021-22014 (CVSS score: 7.2) – vCenter Server authenticated code execution vulnerability
  • CVE-2021-22018 (CVSS score: 6.5) – vCenter Server file deletion vulnerability
  • CVE-2021-21992 (CVSS score: 6.5) – vCenter Server XML parsing denial-of-service vulnerability
  • CVE-2021-22007 (CVSS score: 5.5) – vCenter Server local information disclosure vulnerability
  • CVE-2021-22019 (CVSS score: 5.3) – vCenter Server denial of service vulnerability
  • CVE-2021-22009 (CVSS score: 5.3) – vCenter Server VAPI multiple denial of service vulnerabilities
  • CVE-2021-22010 (CVSS score: 5.3) – vCenter Server VPXD denial of service vulnerability
  • CVE-2021-22008 (CVSS score: 5.3) – vCenter Server information disclosure vulnerability
  • CVE-2021-22020 (CVSS score: 5.0) – vCenter Server Analytics service denial-of-service vulnerability
  • CVE-2021-21993 (CVSS score: 4.3) – vCenter Server SSRF vulnerability

Sonuç:

Ransomware grupları için file upload gibi alanlar fidye yazılımını bulaştırmak için dostane bir alan olarak gözükmektedir.

VMware, giderek artan fidye yazılımı saldırıları tehdidine işaret etti ve ekledi: “en güvenli duruş” tehdit aktörlerinin kimlik avı veya hedefli kimlik avı saldırıları yoluyla bir masaüstünün ve bir kullanıcı hesabının kontrolünü zaten ele geçirdiği varsayımını düşünerek güvenlik çözümlerinin ele alınması gerekli olduğunu dile getirdi.

VMware, örneğin bir kimlik avı saldırısı ile bir hesabın güvenliği ihlal edilmişse, bu saldırganın “vCenter Sunucusuna kurumsal bir güvenlik duvarının içinden zaten erişebileceği ve burada işlem yapılabilmesi için zamanın çok önemli olduğu” anlamına geldiğini söylemiştir.

Vmware’in verdiği örneği baz alarak CyberArts olarak düşüncemiz;

Bu zafiyetlerden etkilenip etkilenmediğinizi tam anlamak için, zafiyetler yayınlanmadan ya da zafiyetlerin yamalarının yayınlandığı önceki tarihleri kapsayarak incident-response olarak incelenmesi tavsiye edilir. Sonrasında güncel zafiyetlerin tespiti için Kapsamı Geniş Pentest süreçlerinin devam etmesi gereklidir.

Çünkü bu yamalar, zafiyetler oluşur oluşmaz yayınlanmamaktadır. Dolayısı ile yamalanma sürecine kadar bir ihlal gerçekleşmiş olabilecektir. Geniş açılı perspektiften bakılmasını tavsiye ederiz.

Bu yamaların nasıl yapılması gerektiğine ilişkin düşüncelerimiz;

Farklı ortamlara, risk toleransına, güvenlik kontrollerine ve risk azaltma stratejilerine sahip olan kuruluşlara göre değişiklik gösterecektir.

VMware ise konuya ilişkin olarak “Nasıl ilerleyeceğinize dair karar size kalmış,” dedi. Ancak yine de ciddiyet göz önüne alındığında şirketlerin harekete geçmesini şiddetle tavsiye ettiğini belirtti.

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:en]On September 21, 2021, VMware firm issued a new bulletin alert for 19 vulnerabilities in vCenter Server and Cloud Foundation devices that an attacker could exploit to gain control of an affected system.

The most pressing of these is a random file upload vulnerability in the Analytics service (CVE-2021-22005) that affects vCenter Server 6.7 and 7.0 deployments.

It was reminded that malicious actor with access to vCenter Server port 443 network can run malicious code on vCenter Server by uploading a specially prepared file.

While VMware has released workarounds for the flaw, the company cautions that these are temporary fixes until updates are deployed.

CyberArts cyber security team informed many local companies via e-mail on August 26, about the vulnerabilities related to VCenter in VMware’s bulletin published on September 21, 2021.

Although many companies we have contacted have responded with courtesy regarding the notification, we have observed that they did not take the necessary precautions adequately, considering the criticality of the situation.

After the bulletin published by VMware, we actually saw how right we were.

So How Did CyberArts Gain Intelligence About These Vulnerabilities?

On 27 July 2021, one of the Turkish telecommunication companies applied to our company for consultancy services for Pentest and KVKK processes after a data breach. Afterwards, we agreed and started the Pentest processes immediately. As a result of our tests, it was determined that the application exposed to the breach did not contain critical vulnerabilities that could experience a data breach.

Then, like some companies, we did our test, instead of saying we’re done, we started our cyber intelligence studies to shed light on the event. We continued these processes anonymously.

Subsequently, the threat actor, who posted the data breach of the institution in one of the dark web forums where the databases were sold, began to publish the data of other institutions with the same nickname and similar screenshots. We took this threat actor under the spotlight and came to a certain point by analyzing his posts and screenshots.

Afterwards, negotiations were made with the threat actor. As a result of negotiations, the situation was dominated, and we got information on which system the data breach occurred and how it happened. It has been determined that the institution we serve originates from the service provider, and its data has been removed from the market without paying a single crypto currency to the threat actor other than the service fee.

Immediately after, we contacted companies that we could identify using this service via e-mail.

The full list of flaws patched by the virtualization services provider is as follows:

  • CVE-2021-22005 (CVSS score: 9.8) – vCenter Server file upload vulnerability
  • CVE-2021-21991 (CVSS score: 8.8) – vCenter Server local privilege escalation vulnerability
  • CVE-2021-22006 (CVSS score: 8.3) – vCenter Server reverse proxy bypass vulnerability
  • CVE-2021-22011 (CVSS score: 8.1) – vCenter server unauthenticated API endpoint vulnerability
  • CVE-2021-22015 (CVSS score: 7.8) – vCenter Server improper permission local privilege escalation vulnerabilities
  • CVE-2021-22012 (CVSS score: 7.5) – vCenter Server unauthenticated API information disclosure vulnerability
  • CVE-2021-22013 (CVSS score: 7.5) – vCenter Server file path traversal vulnerability
  • CVE-2021-22016 (CVSS score: 7.5) – vCenter Server reflected XSS vulnerability
  • CVE-2021-22017 (CVSS score: 7.3) – vCenter Server rhttpproxy bypass vulnerability
  • CVE-2021-22014 (CVSS score: 7.2) – vCenter Server authenticated code execution vulnerability
  • CVE-2021-22018 (CVSS score: 6.5) – vCenter Server file deletion vulnerability
  • CVE-2021-21992 (CVSS score: 6.5) – vCenter Server XML parsing denial-of-service vulnerability
  • CVE-2021-22007 (CVSS score: 5.5) – vCenter Server local information disclosure vulnerability
  • CVE-2021-22019 (CVSS score: 5.3) – vCenter Server denial of service vulnerability
  • CVE-2021-22009 (CVSS score: 5.3) – vCenter Server VAPI multiple denial of service vulnerabilities
  • CVE-2021-22010 (CVSS score: 5.3) – vCenter Server VPXD denial of service vulnerability
  • CVE-2021-22008 (CVSS score: 5.3) – vCenter Server information disclosure vulnerability
  • CVE-2021-22020 (CVSS score: 5.0) – vCenter Server Analytics service denial-of-service vulnerability
  • CVE-2021-21993 (CVSS score: 4.3) – vCenter Server SSRF vulnerability

Conclusion:

For ransomware groups, areas such as file upload appear to be a friendly place to infect ransomware.

VMware pointed to the growing threat of ransomware attacks, adding that security solutions needed to be addressed, considering the assumption that “the safest stance” threat actors had already taken control of a desktop and a user account through phishing or spear-phishing attacks.

VMware has said that if an account has been compromised, for example, by a phishing attack, it means that the attacker “can already access the vCenter Server from within a corporate firewall, and time is of the essence for action to be taken there.”

Based on the example given by Vmware, our thinking as CyberArts is;

To fully understand whether you are affected by these vulnerabilities, it is recommended to review the vulnerabilities as incident-response before they are released or covering the previous dates that patches were released. Afterwards, it is necessary to continue the Extensive Pentest processes in order to detect current vulnerabilities.

Because these patches are not released as soon as vulnerabilities occur. Therefore, a violation may have occurred until the patching process. We recommend looking at it from a wide-angle perspective.

Our thoughts on how these patches should be made;

It will vary for organizations with different environments, risk tolerance, security controls, and risk mitigation strategies.

“It is up to you to decide how to proceed,” VMware said. However, he said he still strongly recommends that companies take action given the seriousness.[:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram

İlgili Yazılar