Архив метки: ESXi

Посмотрел какие CVE упоминаются в вышедшем вчера "Check Point 2024 Cyber Security Report"

Добавить комментарий

Посмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security ReportПосмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security ReportПосмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security Report

Посмотрел какие CVE упоминаются в вышедшем вчера "Check Point 2024 Cyber Secu­ri­ty Report".

Всего 20 CVE.

🔸 17 с формальным признаком активной эксплуатации и только 3 без признака (в Microsoft Mes­sage Queu­ing).
🔸 Публичные PoC‑и есть для всего, кроме RCE в Cis­co IOS (CVE-2017–6742), Auth­By­pass в Cis­co ASA (CVE-2023–20269) и DoS в Microsoft Mes­sage Queu­ing (CVE-2023–21769, CVE-2023–28302).

Если убрать те уязвимости, которые упоминались в отчёте Qualys за 2023 год, остаётся 13 "оригинальных" CVE:

🔻 Remote Code Exe­cu­tion — Apache Tom­cat (CVE-2023–47246)
🔻 Remote Code Exe­cu­tion — Win­RAR (CVE-2023–38831)
🔻 Remote Code Exe­cu­tion — ESXi (CVE-2021–21974)
🔻 Remote Code Exe­cu­tion — NetScaler Appli­ca­tion Deliv­ery Con­troller (CVE-2023–3519)
🔻 Ele­va­tion of Priv­i­lege — Win­dows Win32k (CVE-2021–1732)
🔻 Ele­va­tion of Priv­i­lege — Win­dows Win32k (CVE-2020–1054)
🔻 Infor­ma­tion Dis­clo­sure — NetScaler Appli­ca­tion Deliv­ery Con­troller (CVE-2023–4966)
🔻 Mem­o­ry Cor­rup­tion — ESXi (CVE-2019–5544)
🔻 Remote Code Exe­cu­tion — Microsoft Mes­sage Queu­ing (CVE-2023–21554)
🔻 Remote Code Exe­cu­tion — Cis­co IOS (CVE-2017–6742)
🔻 Authen­ti­ca­tion Bypass — Cis­co ASA (CVE-2023–20269)
🔻 Denial of Ser­vice — Microsoft Mes­sage Queu­ing (CVE-2023–21769)
🔻 Denial of Ser­vice — Microsoft Mes­sage Queu­ing (CVE-2023–28302)

Выпустил 2 версии отчёта Vul­ris­tics с комментариями Check Point:

🗒 Vul­ris­tics Check Point 2024 Cyber Secu­ri­ty Report (20)
🗒 Vul­ris­tics Check Point 2024 Cyber Secu­ri­ty Report WITHOUT Qualys (13)

RCE уязвимости VMware ESXi OpenSLP в активной эксплуатации (CVE-2021–21974, CVE-2020–3992)

Добавить комментарий

RCE уязвимости VMware ESXi OpenSLP в активной эксплуатации (CVE-2021–21974, CVE-2020–3992). Используются в шифровальщике ESX­i­Args.

Массовые атаки ESX­i­Args начались с 3 февраля. В первую очередь пострадали серверы VMware ESXi доступные из Интернет. Сообщают о как минимум 3000 пострадавших серверах. Есть оценки, что в Интернет выставлено более 80 000 (!) ESXi серверов. 🤩 Но, естественно, эта уязвимость касается вообще всех необновленных ESXi хостов, не только доступных из Интернет.

Сами VMware использование 0‑day не нашли. В новостях пока пишут о двух старых уязвимостях OpenSLP. Это открытая реализация "Ser­vice Loca­tion Pro­to­col", которая используется в ESXi.

CVE-2021–21974. В NVD с 24.02.2021. Публичный эксплоит с 03.06.2021

Уязвимые версии ESXi:
7.0 before ESX­i70U1c-17325551
6.7 before ESX­i670-202102401-SG
6.5 before ESX­i650-202102101-SG

CVE-2020–3992. В NVD с 20.10.2020. Публичный эксплоит с 05.02.2021.

Уязвимые версии ESXi:
7.0 before ESX­i70U1a-17119627
6.7 before ESX­i670-202011301-SG
6.5 before ESX­i650-202011401-SG

Нужно патчить. Если вообще никак, то отключать SLP (хотя есть сообщения, что некоторым это не помогло). Для одних версий ESX­i­Args есть декриптор, для других нет, лучше не рассчитывать. Хороший повод проверить ваши бэкапы на случай, если всё же пошифруют. Дайте знать вашим VMware-админам! 😉

PS: Хороший пример как оно бывает. Так вот месяцами-годами может быть публичная инфа об уязвимости и какие-то PoC‑и. А потом бабах — и понеслась. Не доводите до греха, патчитесь заранее и отказывайтесь от неподдерживаемых систем.