Después de que los investigadores de seguridad hayan desarrollado y publicado código de explotación de prueba de concepto (PoC) dirigido a una vulnerabilidad crítica de ejecución remota de código (RCE) de vCenter, los atacantes ahora están buscando activamente servidores VMware expuestos a Internet.La actividad de escaneo fue detectada por la empresa de inteligencia de amenazas Bad Packets solo un día después de que VMware parcheara la vulnerabilidad crítica .
Aún se puede acceder a miles de servidores vCenter sin parches a través de Internet, según la información proporcionada por BinaryEdge (más de 14,000 servidores expuestos) y Shodan (más de 6,700).
Mikhail Klyuchnikov de Positive Technologies encontró el error ( CVE-2021-21972 ) durante el otoño de 2020 y lo informó en privado a VMware en octubre de 2020.
Positive Technologies retrasó la publicación de todos los detalles técnicos para una fecha posterior para dar a las empresas tiempo suficiente para parchear sus servidores vCenter o bloquear el acceso público a ellos.
Sin embargo, decidieron publicar ayer después de que se liberaran al menos dos exploits de PoC para el error de RCE no autorizado y los piratas informáticos comenzaron a realizar un escaneo masivo en busca de servidores sin parchear.
We’ve detected mass scanning activity targeting vulnerable VMware vCenter servers (https://t.co/t3Gv2ZgTdt).
Query our API for “tags=CVE-2021-21972” for relevant indicators and source IP addresses. #threatintel
— Bad Packets (@bad_packets) February 24, 2021
RCE crítico con exploits de PoC públicos
La explotación exitosa de este error de seguridad permite a los atacantes hacerse cargo de toda la red de una organización, dado que los administradores de TI utilizan los servidores VMware vCenter para administrar las soluciones VMware implementadas en sus entornos empresariales a través de una única consola.
“El cliente vSphere (HTML5) contiene una vulnerabilidad de ejecución remota de código en un complemento de vCenter Server”, explicó VMware.
“Un actor malintencionado con acceso de red al puerto 443 puede aprovechar este problema para ejecutar comandos con privilegios no restringidos en el sistema operativo subyacente que aloja vCenter Server”.
Como agregó la compañía, el complemento de vCenter Server afectado para vRealize Operations (vROps) está presente en todas las instalaciones predeterminadas .
VMware emitió una actualización de seguridad esta semana, el martes, y calificó la vulnerabilidad de seguridad con una calificación de gravedad casi máxima de 9,8 sobre 10 .
VMware también proporciona una solución alternativa diseñada para eliminar la posibilidad de explotación para los administradores que no pueden actualizar de inmediato.
Los pasos detallados para implementar la solución alternativa se pueden encontrar en el documento de soporte KB82374 de VMware .
Tenemos algo de información para las organizaciones relacionadas con VMware rce y un análisis detallado (enlace en el blog) de vuln & exploit.
También hay al menos 4 pocs que parecen ser legítimos.
Tienen que parchear este, amigos. https://t.co/y6bIKZdcqY– boB Rudis – Once is never. Dos veces es siempre. (@hrbrmstr) 24 de febrero de 2021
Para resaltar la importancia de parchear los servidores vCenter vulnerables expuestos y evitar exponerlos a través de Internet, las vulnerabilidades de VMware se han aprovechado en el pasado en ataques de ransomware dirigidos a redes empresariales.
Varias bandas de ransomware, incluidas RansomExx, Babuk Locker y Darkside, han utilizado vulnerabilidades de RCE previas a la autenticación de VMWare ESXi para cifrar los discos duros virtuales de las instancias ESXi que se utilizan como espacio de almacenamiento empresarial centralizado, como informó ZDNet el año pasado.