La falla de ejecución de código en VMware tiene una calificación de gravedad de 9,8 sobre 10

Fotografía de Stock de una luz de emergencia roja brillante

Los piratas informáticos están escaneando Internet de forma masiva en busca de servidores VMware con una vulnerabilidad de ejecución de código recientemente revelada que tiene una clasificación de gravedad de 9,8 sobre 10 posibles.

CVE-2021-21974, a medida que se rastrea la falla de seguridad, es una vulnerabilidad de ejecución remota de código en el servidor VMware vCenter, una aplicación para Windows o Linux que los administradores utilizan para habilitar y administrar la virtualización de grandes redes. Dentro de un día de VMware emitiendo un parche, exploits de prueba de concepto apareció desde a

menos seis diferente fuentes. La gravedad de la vulnerabilidad, combinada con la disponibilidad de exploits operativos para máquinas con Windows y Linux, envió a los piratas informáticos a luchar para encontrar activamente servidores vulnerables.

“Hemos detectado actividad de escaneo masivo dirigida a servidores VMware vCenter vulnerables (https://vmware.com/security/advisories/VMSA-2021-0002.html) ”, Escribió el investigador Troy Mursch de Bad Packets.

Mursch dijo que el motor de búsqueda BinaryEdge encontró casi 15.000 servidores vCenter expuestos a Internet, mientras que las búsquedas de Shodan revelaron alrededor de 6.700. El escaneo masivo tiene como objetivo identificar servidores que aún no han instalado el parche, que VMware lanzó el martes.

Ejecución de código sin restricciones, no se requiere autorización

CVE-2021-21972 permite a los piratas informáticos sin autorización cargar archivos en servidores vCenter vulnerables que son de acceso público a través del puerto 443, investigadores de la empresa de seguridad Tenable dicho. Los exploits exitosos darán como resultado que los piratas informáticos obtengan privilegios de ejecución de código remoto sin restricciones en el sistema operativo subyacente. La vulnerabilidad se debe a la falta de autenticación en el complemento de vRealize Operations, que se instala de forma predeterminada.

La falla ha recibido una puntuación de gravedad de 9,8 sobre 10,0 en Common Vulnerability Scoring System Versión 3.0. Mikhail Klyuchnikov, el investigador de Positive Technologies que descubrió la vulnerabilidad y la informó en privado a VMware, comparó el riesgo que representa CVE-2021-21972 con el de CVE-2019-19781, una vulnerabilidad crítica en Citrix Application Delivery Controller.

La falla de Citrix fue objeto de un ataque activo el año pasado en ataques de ransomware en hospitales y, según una acusación penal presentada por el Departamento de Justicia, en intrusiones en los fabricantes de juegos y software por parte de piratas informáticos respaldados por el gobierno chino.

en un entrada en el blog a principios de esta semana, Klyuchnikov escribió:

En nuestra opinión, la vulnerabilidad RCE en vCenter Server no puede representar menos amenaza que la infame vulnerabilidad en Citrix (CVE-2019-19781). El error permite que un usuario no autorizado envíe una solicitud especialmente diseñada, que luego les dará la oportunidad de ejecutar comandos arbitrarios en el servidor. Después de recibir tal oportunidad, el atacante puede desarrollar este ataque, moverse con éxito a través de la red corporativa y obtener acceso a los datos almacenados en el sistema atacado (como información sobre máquinas virtuales y usuarios del sistema). Si se puede acceder al software vulnerable desde Internet, esto permitirá que un atacante externo penetre en el perímetro externo de la empresa y también obtenga acceso a datos confidenciales. Una vez más, me gustaría señalar que esta vulnerabilidad es peligrosa, ya que puede ser utilizada por cualquier usuario no autorizado.

El investigador proporcionó detalles técnicos aquí.

Tecnologías positivas

CVE-2021-21972 afecta a las versiones 6.5, 6.7 y 7.01 de vCenter Server. Los usuarios que ejecutan una de estas versiones deben actualizar a 6.5 U3n, 6.7 U3l o 7.0 U1c lo antes posible. Aquellos que no puedan instalar inmediatamente un parche deben implementar estas soluciones, que implica cambiar un archivo de matriz de compatibilidad y configurar el complemento vRealize como incompatible. Los administradores que tienen servidores vCenter expuestos directamente a Internet deben considerar seriamente frenar la práctica o al menos usar una VPN.

Leave a Reply

Your email address will not be published. Required fields are marked *