针对前天VMware修补的一个关键的任意文件上传漏洞，黑客团体正在针对全球未修补的暴露于互联网的VMware vCenter服务器，该漏洞会导致远程代码执行。

　　被定义为CVE-2021-22005（CVSS 3.1严重性等级为9.8/10）的高危安全漏洞，会影响所有具有默认配置的VMware vCenter Server6.7和7.0部署。攻击者可以利用该安全漏洞通过上传特制文件在未修补的vCenter Server部署上执行命令和软件。

　　该漏洞由SolidLab LLC的George Noseevich和 Sergey Gerasimov报告，未经身份验证的攻击者可以在低复杂度攻击中远程利用它，而无需用户交互。

　　补丁发布后数小时黑客就开始扫描

　　虽然漏洞利用代码尚未公开，但威胁情报公司Bad Packets已经发现了正在进行的扫描活动 ，其中一些VMware蜜罐记录了攻击者在VMware发布安全更新几个小时后探测关键漏洞的存在。

　　“从116[.]48.233.234检测到CVE-2021-22005扫描活动，”Bad Packets在今天早些时候发推文，后来补充说，扫描使用的是VMware为无法立即修补其设备的客户提供的解决方法信息。

　　根据用于联网设备的Shodan搜索引擎，目前，数以千计的潜在易受攻击的 vCenter服务器可通过互联网访问并受到攻击 。

　　易受攻击的VMware vCenter服务器 （Shodan）

　　这不是黑客第一次扫描和攻击易受攻击的VMware vCenter服务器。

　　今年2月， 在安全研究人员发布了另一个影响所有默认vCenter安装的关键 RCE 安全漏洞 （CVE-2021-21972） 的概念验证 （PoC） 漏洞利用代码后，黑客大规模扫描了未打补丁的vCenter设备。

　　今年6月，在线发布漏洞利用代码后，黑客开始扫描暴露于互联网的VMware vCenter服务器，这些服务器容易受到CVE-2021-21985 RCE漏洞的攻击。

　　VMware警告即将到来的利用尝试

　　这些正在进行的扫描是在VMware前天发布的警告之后进行的，对此我们以强调尽快针对CVE-2021-22005漏洞修补服务器的重要性。

　　VMware技术营销架构师Bob Plankers表示： “无论vCenter Server的配置设置如何，任何可以通过网络访问vCenter Server以获取访问权限的人都可以利用此漏洞 。”

　　“在这个勒索软件时代，最安全的做法是假设攻击者已经在您的网络中某处，在桌面上，甚至可能控制着用户帐户，这就是为什么我们强烈建议您尽快宣布紧急更改和修补程序。”

　　该公司提供了一种临时解决方法， 要求管理员编辑虚拟设备上的文本文件并手动重新启动服务或使用脚本删除漏洞利用向量。

　　VMware还发布了一份详细的FAQ文档，其中包含有关CVE-2021-22005 缺陷漏洞的其他问题和答案。

　　“立即修复！此漏洞的后果很严重，并且在公开可用的漏洞利用之前可能是时间问题 - 可能是几分钟后，” VMware补充道。

　　“随着勒索软件的威胁如今迫在眉睫，最安全的立场是假设攻击者可能已经通过使用网络钓鱼或鱼叉式网络钓鱼等技术控制了桌面和用户帐户并采取相应行动。

　　”这意味着攻击者可能已经能够从企业防火墙内部访问vCenter Server，时间至关重要。“