CVE-2021-22005 lỗ hổng trong VMware

CVE-2021-22005 – Năm 2021 vừa qua, VMware vừa công bố nhiều lỗ hổng bảo mật ảnh hưởng đến VMware vCenter Server phiên bản 7.0/6.7/6.5 và VMware vCloud Foundation phiên bản 4.3.1/3.10.2.2. Trong đó đáng chú ý: Lỗ hổng bảo mật (CVE-2021-22005) có mức ảnh hưởng nghiêm trọng (điểm CVSS: 9.8), cho phép đối tượng tấn công không cần xác thực có thể thực thi mã tùy ý. Vậy hôm nay bài viết này sẽ giúp bạn hiểu thêm những điều cơ bản của lỗ hổng bảo mật CVE-2021-22005 này nhé

1. Giới thiệu VMware

VMWare là một phần mềm máy ảo được phát hành bởi VMWare Inc ở Palto Alto, California. Phần mềm ảo hóa đầu tiên của nó, VMWare Workstation được ra mắt vào tháng 5 năm 1999. Họ đã tung ra máy chủ VMWare GSX Server và VMWare ESX trên thị trường vào năm 2001.

VMWare là phần mềm ảo hóa hàng đầu trong lĩnh vực lưu trữ. Cũng giống như phần mềm VirtualBox, phần mềm VMWare cũng cho phép nhiều phiên bản hệ điều hành chạy trên cùng một máy chủ. Nó hoạt động như một người trung gian giữa phần cứng và hệ điều hành trên máy chủ. Nó làm tăng dung lượng của phần cứng bằng cách chia nó thành các máy chủ riêng lẻ được cấp phát bộ xử lý và bộ nhớ riêng. Bạn có thể chỉ định một phần của nhóm bộ xử lý có sẵn cho mỗi hệ thống ảo.

Việc sử dụng bộ nhớ có thể được cấu hình theo cách thủ công hoặc động. Bạn có tùy chọn giới hạn mức sử dụng bộ nhớ trên một số máy chủ nhất định để ngăn tiêu thụ quá nhiều bộ nhớ. VMWare cũng cho phép bạn phân bổ không gian đĩa cứng từ nhóm lưu trữ đĩa cứng có sẵn. Các ổ đĩa bạn thiết lập sẽ xuất hiện như thể nó là một đĩa cứng vật lý được cài đặt trên máy chủ.

VMWare hỗ trợ tất cả các loại hệ điều hành bao gồm Windows, Linux và Unix. Có một phiên bản miễn phí của phần mềm VMWare được gọi là VMWare Server. VMWare Server trước đây còn được gọi là GSX Server. VMWare Server chỉ có thể chạy trên Windows hoặc Linux. Mỗi máy ảo VM đã bao gồm một hệ điều hành và ứng dụng. Mỗi máy ảo trên máy chủ sẽ tự hoạt động độc lập mà không có bất kỳ kết nối nào với các máy ảo khác.

2. Lỗ hổng VMware CVE-2021-22005

Thời điểm khi lỗ hổng này được phát hiện ra, các hacker đang nhắm mục tiêu vào các máy chủ VMware vCenter chưa được vá lỗ hổng thực thi mã từ xa (RCE) thông qua tải lên tệp tùy ý, rất nhiều máy chủ VMware vCenter đang mở công khai trên Internet

Lỗ hổng có mã CVE-2021-22005, do George Noseevich và Sergey Gerasimov của SolidLab LLC phát hiện và báo cáo, đã được phát hành bản vá cho lỗ hổng vào thứ Ba, ảnh hưởng đến tất cả các phiên bản vCenter Server 6.7 và 7.0 với cấu hình mặc định.

Lỗ hổng cho phép kẻ tấn công không cần xác thực có thể khai thác dễ dàng mà không cần sự tương tác của người dùng.

Quá trình rà quét đã diễn ra sau khi có bản vá

Mặc dù mã khai thác chưa được công bố công khai, một số hoạt động rà quét các hệ thống bị ảnh hưởng đã được công ty Bad Packets phát hiện vài giờ sau khi VMware phát hành bản vá cho lỗ hổng.

Theo kết quả tìm kiếm từ công cụ Shodan, hiện tại có hàng nghìn máy chủ vCenter kết nối với Internet chưa được cài đặt bản vá có khả năng bị tấn công.

Đây không phải là lần đầu tiên các tác nhân đe dọa rà quét và tấn công các máy chủ VMware vCenter. Vào tháng 2, những kẻ tấn công đã rà quét hàng loạt các thiết bị vCenter chưa được vá sau khi mã khai thác cho một lỗ hổng RCE nghiêm trọng khác (CVE-2021-21972) được công khai trên mạng.

Lỗ hổng ảnh hưởng đến tất cả các vCenter được cài đặt mặc định. Vào tháng 6, quá trình rà quét các máy chủ VMware vCenter tiếp tục diễn ra ngay sau khi mã khai thác cho lỗ hổng RCE CVE-2021-21985 được công khai.

VMware cảnh báo về CVE-2021-22005

VMware đã cảnh báo về hàng loạt các hành động rà quét đang diễn ra, và kêu gọi người dùng nhanh chóng kiểm tra, cài đặt bản vá lỗ hổng CVE-2021-22005 sớm nhất có thể cho hệ thống của họ để tranh các nguy cơ bị tấn công.

VMware cho biết: “Lỗ hổng này có thể được khai thác bởi bất kỳ ai có thể truy cập vCenter Server qua mạng, bất kể cài đặt cấu hình của vCenter Server như thế nào”. Công ty đã phát hành hướng dẫn khắc phục cho lỗ hổng bằng cách chỉnh sửa một tệp văn bản trên thiết bị ảo và khởi động lại dịch vụ theo cách thủ công hoặc sử dụng một tập lệnh để giải quyết lỗ hổng này .

VMware cũng xuất bản tài liệu chi tiết về các câu hỏi thường gặp chứa các thông tin bổ sung liên quan đến lỗ hổng CVE-2021-22005 tại link sau: https://kb.vmware.com/s/article/85717

Bộ Khoa học và Công nghệ (MOST) Việt Nam cũng đã có văn bản thông báo đến các đơn vị trực thuộc Bộ có hệ thống thông tin về các lỗ hổng bảo mật mới trong VMware trong đó có lỗ hổng CVE-2021-22005 này. Các bạn có thể xem thêm tại link: https://www.most.gov.vn/vn/tin-tuc/20717/19-lo-hong-bao-mat-moi-trong-vmware.aspx

Nếu có bất kỳ thông tin mới nào về lỗ hổng CVE-2021-22005 này, mình sẽ sẽ update tại https://kb.pavietnam.vn. Và để yên tâm lựa chọn nhà cung cấp VPS tại Việt Nam luôn cập nhật những công nghệ mới và xử lý các lỗ hổng bảo mật cũng như cập nhật các bản vá lỗi , các bạn tham khảo dịch vụ tại P.A Việt Nam . P.A Việt Nam tiên phong trong thị trường Internet & Web với 20 năm kinh nghiệm chuyên nghiệp trong lĩnh vực Tên miền, Lưu trữ Website. Email, Máy Chủ, Thiết kế Web.

HƠN 20 NĂM KINH NGHIỆM

P.A Việt Nam tiên phong trong thị trường Internet & Web.
Là nhà đăng ký tên miền lớn nhất Việt Nam.
Chuyên nghiệp trong lĩnh vực Tên miền, Lưu trữ Website.
Email, Máy Chủ, Thiết kế Web.

Thông tin kiến thức cơ bản vps-dedicated-colocation tại: https://kb.pavietnam.vn/category/vps-dedicated-colocation
Đăng ký dịch vụ do P.A Việt Nam cung cấp tại: https://www.pavietnam.vn/
P.A Việt Nam cung cấp đa dạng các cấu hình VPS và Dedicated tại: Cloud Server –  Cloud Server Pro  –  Máy Chủ Riêng
Tham khảo các Ưu đãi hiện có tại: https://www.pavietnam.vn/vn/tin-khuyen-mai/
Facebook: https://www.facebook.com/pavietnam.com.vn