Esto no es un simulacro: VMware vuln con una calificación de gravedad de 9.8 está bajo ataque

Esto no es un simulacro: VMware vuln con una calificación de gravedad de 9.8 está bajo ataque

Una vulnerabilidad de VMware con una clasificación de gravedad de 9,8 sobre 10 se encuentra en explotación activa. Al menos un exploit confiable se ha hecho público y ha habido intentos exitosos de poner en peligro los servidores que ejecutan el software vulnerable.

La vulnerabilidad, rastreada como CVE-2021-21985, reside en el vCenter Server, una herramienta para gestionar la virtualización en grandes centros de datos. Un aviso de VMware publicado la semana pasada dijo que las máquinas vCenter que usan configuraciones predeterminadas tienen un error que, en muchas redes, permite la ejecución de código malicioso cuando las máquinas están accesibles en un puerto que está expuesto a Internet.

Ejecución de código, no se requiere autenticación

El miércoles, un investigador publicó código de prueba de concepto

que explota el defecto. Un compañero investigador que pidió no ser identificado dijo que el exploit funciona de manera confiable y que se necesita poco trabajo adicional para usar el código con fines maliciosos. Se puede reproducir mediante cinco solicitudes de cURL, una herramienta de línea de comandos que transfiere datos mediante HTTP, HTTPS, IMAP y otros protocolos comunes de Internet.

Otro investigador que tuiteó sobre el exploit publicado me dijo que podía modificarlo para obtener la ejecución remota de código con un solo clic del mouse.

“Obtendrá la ejecución del código en la máquina de destino sin ningún mecanismo de autenticación”, dijo el investigador.

Yo haz web shell

El investigador Kevin Beaumont, mientras tanto, dijo el viernes

que uno de sus honeypots, es decir, un servidor conectado a Internet que ejecuta un software desactualizado para que el investigador pueda monitorear el escaneo activo y la explotación, comenzó a ver el escaneo de sistemas remotos en busca de servidores vulnerables.

Aproximadamente 35 minutos después, tuiteó: “Oh, uno de mis honeypots se activó con CVE-2021-21985 mientras estaba trabajando, haz web shell (me sorprende que no sea un minero de monedas)”.

Un shell web es una herramienta de línea de comandos que utilizan los piratas informáticos después de obtener con éxito la ejecución de código en máquinas vulnerables. Una vez instalados, los atacantes en cualquier parte del mundo tienen esencialmente el mismo control que tienen los administradores legítimos.

Troy Mursch de paquetes defectuosos informó el jueves que su honeypot también había comenzado a recibir exploraciones. El viernes, las exploraciones continuaban, él dicho. Unas horas después de que se publicara esta publicación, la Administración de Seguridad de Infraestructura y Ciberseguridad publicó un aviso.

Decía: “CISA es consciente de la probabilidad de que los actores de amenazas cibernéticas estén intentando explotar CVE-2021-21985, una vulnerabilidad de ejecución remota de código en VMware vCenter Server y VMware Cloud Foundation. Aunque los parches estaban disponibles el 25 de mayo de 2021, sin parches los sistemas siguen siendo un objetivo atractivo y los atacantes pueden aprovechar esta vulnerabilidad para tomar el control de un sistema sin parches “.

Bajo bombardeo

La actividad in-the-wild es el último dolor de cabeza para los administradores que ya estaban bajo el aluvión de exploits maliciosos de otras vulnerabilidades graves. Desde principios de año, varias aplicaciones utilizadas en grandes organizaciones han sido atacadas. En muchos casos, las vulnerabilidades han sido de día cero, exploits que se estaban utilizando antes de que las empresas emitieran un parche.

Los ataques incluyeron exploits Pulse Secure VPN dirigidos a agencias federales y contratistas de defensa, exploits exitosos de una falla de ejecución de código en la línea BIG-IP de dispositivos de servidor vendidos por F5 Networks con sede en Seattle, el compromiso de los firewalls Sonicwall, el uso de zero-days en Microsoft Exchange para comprometer a decenas de miles de organizaciones en los EE. UU. y la explotación de organizaciones que ejecutan versiones de Fortinet VPN que no se habían actualizado.

Como todos los productos explotados anteriores, vCenter reside en partes potencialmente vulnerables de las redes de las grandes organizaciones. Una vez que los atacantes obtienen el control de las máquinas, a menudo es solo cuestión de tiempo hasta que puedan trasladarse a partes de la red que permitan la instalación de malware de espionaje o ransomware.

Los administradores responsables de las máquinas vCenter que aún tienen que parchear CVE-2021-21985 deben instalar la actualización de inmediato si es posible. No sería sorprendente ver los volúmenes de ataque en aumento para el lunes.

Publicación actualizada para agregar el aviso CISA.

Leave a Reply

Your email address will not be published. Required fields are marked *