Агентство CISA добавилокритическую уязвимость в VMware Cloud Foundation в свой каталог известных эксплуатируемых уязвимостей (KEV).
RCE-уязвимость CVE-2021-39144 (CVSS: 9.8 по оценке VMware) была обнаружена в октябре 2022 года в библиотеке с открытым исходным кодом XStream, используемой Cloud Foundation. Ей могут воспользоваться неавторизованные хакеры в ходе несложных атак, не требующих взаимодействия с пользователем, для удаленного выполнения произвольного кода с root-привилегиями. VMware исправила этот недостаток , и в день выпуска обновлений был опубликован PoC-код для этой ошибки.
CISA включило уязвимость CVE-2021-39144 в KEV после того, как VMware подтвердила , что ошибка эксплуатируется в реальных атаках. 6 марта ИБ-компания Wallarm сообщила , что эксплуатация CVE-2021-39144 началась всего через несколько недель после выпуска обновлений безопасности. За последние 2 месяца уязвимость была использована более 40 000 раз. Активная эксплуатация началась 8 декабря 2022 года и продолжается до сих пор.
Специалисты Wallarm отметили, что в случае успешной эксплуатации недостатка последствия могут быть катастрофическими – киберпреступники могут выполнить произвольный код, украсть данные и получить контроль над сетевой инфраструктурой. CISA также обязала федеральные агентства США защитить свои системы от атак до 31 марта.