상세 컨텐츠

본문 제목

VMware vCenter의 CVE-2021-22005 취약점용 PoC 온라인에 공개돼

국내외 보안동향

by 알약4 2021. 9. 29. 09:00

본문

 

 

A complete PoC exploit for CVE-2021-22005 in VMware vCenter is available online

 

VMware vCenter에 존재하는 CVE-2021-22005 취약점에 대한 익스플로잇이 공개되어 공격자가 이미 이를 악용하려 시도하고 있는 것으로 나타났습니다.

 

VMware는 최근 치명적인 임의 파일 업로드 취약점인 CVE-2021-22005를 수정했습니다. 이는 기본 vCenter Server 6.7 7.0을 사용하는 어플라이언스에 영향을 미칩니다vCenter Server VMware용 중앙 집중식 관리 유틸리티로 단일 센터에서 가상 머신, ESXi 호스트 다수, 모든 종속 구성 요소를 관리할 수 있습니다위 취약점은 세션 토큰을 처리하는 방식 때문에 발생합니다.

 

VMware는 이에 대해 아래와 같이 밝혔습니다.

 

VMware는 새로운 치명적인 취약점을 패치하는 보안 권고인 VMSA-2021-0020을 공개했습니다. vCenter Server를 사용하는 경우 즉시 확인해야 합니다. VMSA는 이번 패치에서 해결된 여러 이슈를 간략하게 설명합니다. 가장 긴급한 이슈는 파일 업로드 취약점인 CVE-2021-22005vCenter Server Appliance에서 명령 및 소프트웨어를 실행하는 데 사용할 수 있습니다. 이 취약점은 vCenter Server의 구성 설정에 관계없이 네트워크를 통해 vCenter Server에 접근하여 액세스할 수 있는 모든 사람이 사용 가능합니다.”

 

회사가 고객들에 보안 패치를 즉시 적용하여 취약점을 수정할 것을 촉구하는 동안, 공격자는 인터넷에서 취약한 시스템을 검색하기 시작했습니다.

 

위협 인텔리전스 회사인 Bad PacketsVMware 측에서 이 취약점을 패치한 직후 공격자가 해당 취약점을 검색하기 시작했다고 밝혔습니다.

 

 

< 이미지 출처 : https://twitter.com/bad_packets/status/1440580092653031427>

 

또한 Bleeping Computer의 연구원들은 공격자가 보안 연구원 Jang이 공개한 코드를 사용하여 CVE-2021-22005 취약점을 악용하기 시작했다고 보고했습니다.

 

VMware는 실제 공격에 해당 취약점을 악용하는 공격자가 있음을 확인했습니다.

 

현재 해당 취약점에 대한 다른 익스플로잇 코드가 온라인에 공개되어, 이를 통해 원격 공격자가 취약한 시스템에서 리버스 셸을 오픈하고 임의 코드를 실행할 수 있게 됩니다.

 

연구원인 wvu CEIP(Customer Experience Improvement Program) 컴포넌트가 활성화된(기본 구성) 시스템에서 동작하는 CVE-2021-22005 PoC 익스플로잇을 공개했습니다.

 

 

<이미지 출처: https://twitter.com/wvuuuuuuuuuuuuu/status/1442634215330390020>

 

 

이러한 익스플로잇이 공개됨에 따라 전문가들은 취약한 시스템을 노린 공격이 급증할 것이라 추측했습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/122686/hacking/cve-2021-22005-exploit-vmware-vcenter.html

https://blogs.vmware.com/vsphere/2021/09/vmsa-2021-0020-what-you-need-to-know.html

관련글 더보기

댓글 영역