La vulnerabilidad en el producto VMware tiene una clasificación de gravedad de 9,8 sobre 10

Foto de primer plano de una cinta de precaución de estilo policial estirada sobre un fondo desenfocado.

Los centros de datos de todo el mundo tienen una nueva preocupación con la que lidiar: una vulnerabilidad de código remoto en un producto VMware ampliamente utilizado. La vulnerabilidad tiene una puntuación de gravedad de 9,8 sobre 10.

La falla de seguridad, que VMware reveló y reparó el martes, reside en el vCenter Server, una herramienta utilizada para gestionar la virtualización en grandes centros de datos. Se utiliza para administrar los productos de host vSphere y ESXi de VMware, que por algunas clasificaciones son la primera y la segunda solución de virtualización más popular del mercado. Enlyft, un sitio que proporciona inteligencia empresarial, muestra que más de 43.000 organizaciones

utilice vSphere.

“Grave”

A Aviso de VMware dijo que las máquinas vCenter que usan configuraciones predeterminadas tienen un error que permite la ejecución de código malicioso cuando se puede acceder a ellos en un puerto que está expuesto a Internet en muchas redes. La vulnerabilidad se rastrea como CVE-2021-21985.

“El cliente vSphere (HTML5) contiene una vulnerabilidad de ejecución remota de código debido a la falta de validación de entrada en el complemento Virtual SAN Health Check que está habilitado de forma predeterminada en vCenter Server”, indicó el aviso del martes. “VMware ha evaluado la gravedad de este problema para estar en el Rango de gravedad crítico con una puntuación base máxima de CVSSv3 de 9,8 … Un actor malintencionado con acceso de red al puerto 443 puede aprovechar este problema para ejecutar comandos con privilegios ilimitados en el sistema operativo subyacente que aloja vCenter Server “.

En respuesta A la pregunta frecuente “¿Cuándo debo actuar?”, los funcionarios de la empresa escribieron: “Inmediatamente, las ramificaciones de esta vulnerabilidad son graves”.

El investigador independiente Kevin Beaumont estuvo de acuerdo.

“VCenter es un software de gestión de virtualización”, dijo en una entrevista. “Si lo piratea, controla la capa de virtualización (por ejemplo, VMware ESXi), que permite el acceso antes que la capa del sistema operativo (y los controles de seguridad). Esta es una vulnerabilidad grave, por lo que las organizaciones deben aplicar parches o restringir el acceso al servidor vCenter a los administradores autorizados “.

Shodan, un servicio que cataloga los sitios disponibles en Internet, muestra que hay casi 5600 máquinas vCenter de cara al público. La mayoría o todos ellos residen en grandes centros de datos que potencialmente albergan terabytes de datos confidenciales. Shodan muestra que los principales usuarios con servidores vCenter expuestos en Internet son Amazon, Hetzner Online GmbH, OVH SAS y Google.

CVE-2021-21985 es la segunda vulnerabilidad de vCenter de este año que tiene una calificación de 9,8. Un día después de que VMware lo parcheara en febrero, aparecieron exploits de prueba de concepto de al menos seis fuentes diferentes. La divulgación desencadenó una frenética ronda de escaneos masivos de Internet, mientras atacantes y defensores buscaban servidores vulnerables.

Las versiones 6.5, 6.7 y 7.0 de vCenter se ven afectadas. Las organizaciones con máquinas vulnerables deben priorizar este parche. Aquellos que no puedan instalar de inmediato deben seguir los consejos de solución alternativa de Beaumont. VMware tiene más orientación sobre soluciones alternativas aquí.

VMware le dio crédito a Ricter Z de 360 ​​Noah Lab por informar de este problema.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.