Vulnerabilidad grave de RCE en VMware vCenter Server bajo ataque activo

07 Junio 2021
Crítico

Se ha evidenciado la publicación de un código de prueba de concepto (PoC) que explota una vulnerabilidad de severidad crítica identificada como CVE-2021-21985 con puntuación 9.8, que permitiría ejecución remota de código (RCE) en un complemento de vCenter Server.

VMware vCenter Server es un software de administración de servidores que le permite administrar máquinas virtuales, hosts ESXi y otros componentes dependientes desde una única ubicación. Vulnerabilidad informada en nuestro boletín “VMware corrige vulnerabilidad crítica en vCenter Server”. 

CVE-2021-21985 vulnerabilidad de ejecución remota de código en vSphere Client

VSphere Client (HTML5) contiene una vulnerabilidad de ejecución remota de código debido a la falta de validación de entrada en el complemento Virtual SAN Health Check  que está habilitado de forma predeterminada en vCenter Server. VMware ha evaluado que la gravedad de este problema se encuentra en el rango de gravedad crítica con una puntuación base máxima de CVSSv3 de 9,8.

Un actor malintencionado con acceso de red al puerto 443 puede aprovechar este problema para ejecutar comandos con privilegios ilimitados en el sistema operativo subyacente que aloja vCenter Server.

Prueba de concepto (PoC)

Un investigador chino que usa el apodo en línea "iswin" publicó un exploit de prueba de concepto (PoC) la primera semana de junio. La firma de inteligencia de amenazas Bad Packets informó haber visto actividad de escaneo masivo dirigida a CVE-2021-21985.

El investigador de seguridad Kevin Beaumont también confirmó que uno de sus honeypots fue pirateado por lo que se puede confiar en el exploit y que se requiere poco trabajo adicional para usar el código con fines maliciosos.

Se puede reproducir mediante cinco solicitudes de cURL, una herramienta de línea de comandos que transfiere datos mediante HTTP, HTTPS, IMAP y otros protocolos comunes de Internet.

Alertas emitidas

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también emitió una alerta para advertir a las organizaciones sobre ataques dirigidos a la vulnerabilidad. 

Vulnerabilidad de ejecución remota de código en vSphere Client CVE-2021-21972 (CVSSv3: 9.8)

Esta no es la primera vez que los actores de amenazas comienzan a explotar una vulnerabilidad de vCenter Server poco después de que se parcheó, como ocurrio a principios de este año con el CVE-2021-21972 vulnerabilidad informada en nuestro boletín “emitido el 24 de febrero”. El análisis de los sistemas afectados por CVE-2021-21972 comenzó un día después de que se publicaron las correcciones.

Además, Cisco Talos informó la semana pasada que un malware llamado Necro (también conocido como Necromorph y FreakOut) ha estado explotando CVE-2021-21972 desde al menos mayo. Necro está diseñado para ataques DDoS, exfiltración de tráfico de red y minería de criptomonedas.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #VMware #Parche #vcenter #CVE-2021-21985 #Exploit


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.