Дата публикации:
Центр мониторинга и реагирования UserGate добавил в Систему Обнаружения Вторжений (СОВ) UserGate новую сигнатуру, позволяющую детектировать атаки с использованием уязвимости нулевого дня CVE-2021-22005 в продукте vCenter компании VMware.
21 сентября VMware объявила пользователям о необходимости обновить ПО до последний версии, в которой были исправлены опасные уязвимости. Уязвимость CVE-2021-22005 в подключаемом модуле Virtual SAN Health Check, включенном в состав vCenter по умолчанию, оценивается в 9,8 балла по шкале CVSS v3. Уязвимость позволяет неаутентифицированному пользователю загрузить любой файл и исполнить произвольную команду операционной системы.
Уязвимые продукты:
- VMware vCenter Server версий 6.7, 7.0;
- VMware Cloud Foundation версий 3.x и 4.x.
Система Обнаружения Вторжений (СОВ) в составе UserGate NGFW детектирует и блокирует сеансы, связанные с этой уязвимостью автоматически.
Специалисты центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям следующие действия:
- Установить последнюю версию ПО с сайта производителя.
- Проверить актуальность подписки на модуль Security Updates. При использовании профиля сигнатур UserGate, все новые сигнатуры начинают работать автоматически.
- При использовании собственного профиля сигнатур, необходимо создать правило СОВ с новой сигнатурой «VMware vCenter 6.7/7.0 Arbitrary File Upload».
- Проверить директории
/var/log/vmware/analytics/prod,/var/log/vmware/analytics/stage. Наличие подкаталогов в указанных директориях может означать факт компрометации.
