Архив метки: ESXi

Посмотрел какие CVE упоминаются в вышедшем вчера "Check Point 2024 Cyber Security Report"

1 комментарий

Посмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security ReportПосмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security ReportПосмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security Report

Посмотрел какие CVE упоминаются в вышедшем вчера "Check Point 2024 Cyber Security Report".

Всего 20 CVE.

🔸 17 с формальным признаком активной эксплуатации и только 3 без признака (в Microsoft Message Queuing).
🔸 Публичные PoC-и есть для всего, кроме RCE в Cisco IOS (CVE-2017-6742), AuthBypass в Cisco ASA (CVE-2023-20269) и DoS в Microsoft Message Queuing (CVE-2023-21769, CVE-2023-28302).

Если убрать те уязвимости, которые упоминались в отчёте Qualys за 2023 год, остаётся 13 "оригинальных" CVE:

🔻 Remote Code Execution - Apache Tomcat (CVE-2023-47246)
🔻 Remote Code Execution - WinRAR (CVE-2023-38831)
🔻 Remote Code Execution - ESXi (CVE-2021-21974)
🔻 Remote Code Execution - NetScaler Application Delivery Controller (CVE-2023-3519)
🔻 Elevation of Privilege - Windows Win32k (CVE-2021-1732)
🔻 Elevation of Privilege - Windows Win32k (CVE-2020-1054)
🔻 Information Disclosure - NetScaler Application Delivery Controller (CVE-2023-4966)
🔻 Memory Corruption - ESXi (CVE-2019-5544)
🔻 Remote Code Execution - Microsoft Message Queuing (CVE-2023-21554)
🔻 Remote Code Execution - Cisco IOS (CVE-2017-6742)
🔻 Authentication Bypass - Cisco ASA (CVE-2023-20269)
🔻 Denial of Service - Microsoft Message Queuing (CVE-2023-21769)
🔻 Denial of Service - Microsoft Message Queuing (CVE-2023-28302)

Выпустил 2 версии отчёта Vulristics с комментариями Check Point:

🗒 Vulristics Check Point 2024 Cyber Security Report (20)
🗒 Vulristics Check Point 2024 Cyber Security Report WITHOUT Qualys (13)

RCE уязвимости VMware ESXi OpenSLP в активной эксплуатации (CVE-2021-21974, CVE-2020-3992)

Добавить комментарий

RCE уязвимости VMware ESXi OpenSLP в активной эксплуатации (CVE-2021-21974, CVE-2020-3992). Используются в шифровальщике ESXiArgs.

Массовые атаки ESXiArgs начались с 3 февраля. В первую очередь пострадали серверы VMware ESXi доступные из Интернет. Сообщают о как минимум 3000 пострадавших серверах. Есть оценки, что в Интернет выставлено более 80 000 (!) ESXi серверов. 🤩 Но, естественно, эта уязвимость касается вообще всех необновленных ESXi хостов, не только доступных из Интернет.

Сами VMware использование 0-day не нашли. В новостях пока пишут о двух старых уязвимостях OpenSLP. Это открытая реализация "Service Location Protocol", которая используется в ESXi.

CVE-2021-21974. В NVD с 24.02.2021. Публичный эксплоит с 03.06.2021

Уязвимые версии ESXi:
7.0 before ESXi70U1c-17325551
6.7 before ESXi670-202102401-SG
6.5 before ESXi650-202102101-SG

CVE-2020-3992. В NVD с 20.10.2020. Публичный эксплоит с 05.02.2021.

Уязвимые версии ESXi:
7.0 before ESXi70U1a-17119627
6.7 before ESXi670-202011301-SG
6.5 before ESXi650-202011401-SG

Нужно патчить. Если вообще никак, то отключать SLP (хотя есть сообщения, что некоторым это не помогло). Для одних версий ESXiArgs есть декриптор, для других нет, лучше не рассчитывать. Хороший повод проверить ваши бэкапы на случай, если всё же пошифруют. Дайте знать вашим VMware-админам! 😉

PS: Хороший пример как оно бывает. Так вот месяцами-годами может быть публичная инфа об уязвимости и какие-то PoC-и. А потом бабах - и понеслась. Не доводите до греха, патчитесь заранее и отказывайтесь от неподдерживаемых систем.