Новая сигнатура СОВ UserGate детектирует атаки, связанные с уязвимостью в продукте Vmware vCenter (CVE-2021-22005)

Центр мониторинга и реагирования UserGate добавил в Систему Обнаружения Вторжений (СОВ) UserGate новую сигнатуру, позволяющую детектировать атаки с использованием уязвимости нулевого дня CVE-2021-22005 в продукте vCenter компании Vmware.

21 сентября Vmware объявила пользователям о необходимости обновить ПО до последний версии, в которой были исправлены опасные уязвимости. Уязвимость CVE-2021-22005 в подключаемом модуле Virtual SAN Health Check, включенном в состав vCenter по умолчанию, оценивается в 9,8 балла по шкале CVSS v3. Уязвимость позволяет неаутентифицированному пользователю загрузить любой файл и исполнить произвольную команду операционной системы.

Уязвимые продукты:

  • Vmware vCenter Server версий 6.7, 7.0;
  • Vmware Cloud Foundation версий 3.x и 4.x.

Система Обнаружения Вторжений (СОВ) в составе UserGate NGFW детектирует и блокирует сеансы, связанные с этой уязвимостью автоматически.

Специалисты центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям следующие действия:

  • Установить последнюю версию ПО с сайта производителя.
  • Проверить актуальность подписки на модуль Security Updates. При использовании профиля сигнатур UserGate, все новые сигнатуры начинают работать автоматически.
  • При использовании собственного профиля сигнатур, необходимо создать правило СОВ с новой сигнатурой «VMWare vCenter 6.7/7.0 Arbitrary File Upload».
  • Проверить директории /var/log/vmware/analytics/prod, /var/log/vmware/analytics/stage. Наличие подкаталогов в указанных директориях может означать факт компрометации.