VMware ha abordado varias vulnerabilidades críticas de ejecución remota de código (RCE) en la plataforma de administración de infraestructura virtual VMware ESXi y vSphere Client que pueden permitir a los atacantes ejecutar comandos arbitrarios y tomar el control de los sistemas afectados.
"Un agente malicioso con acceso a la red al puerto 443 puede aprovechar este problema para ejecutar comandos con privilegios sin restricciones en el sistema operativo subyacente que anfitriones en vCenter Server", la compañía dijo en su aviso.
La vulnerabilidad, rastreada como CVE-2021-21972, tiene una puntuación CVSS de 9,8 sobre un máximo de 10, lo que la hace crítica en gravedad.
"En nuestra opinión, la vulnerabilidad RCE en vCenter Server no puede representar una amenaza menor que la infame vulnerabilidad en Citrix (CVE-2019-19781)", dijo Mikhail Klyuchnikov de Positive Technologies, quien descubrió e informó sobre la falla a VMware.
"El error permite que un usuario no autorizado envíe una solicitud especialmente diseñada, que luego les dará la oportunidad de ejecutar comandos arbitrarios en el servidor".
Con este acceso en su lugar, el atacante puede moverse con éxito a través de la red corporativa y obtener acceso a los datos almacenados en el sistema vulnerable, como información sobre máquinas virtuales y usuarios del sistema, señaló Klyuchnikov.
Por otra parte, una segunda vulnerabilidad (CVE-2021-21973, CVSS puntuación 5.3) permite a los usuarios no autorizados enviar solicitudes POST, lo que permite a un adversario montar más ataques, incluida la capacidad de escanear la red interna de la empresa y recuperar detalles sobre los puertos abiertos de varios servicios.
El problema de divulgación de información, según VMware, se debe a una vulnerabilidad SSRF (Server Side Request Forgery) debido a una validación incorrecta de las URL en el complemento vCenter Server.
VMware también ha proporcionado soluciones para corregir temporalmente CVE-2021-21972 y CVE-2021-21973 hasta que se puedan implementar las actualizaciones. Los pasos detallados se pueden encontrar aquí .
Vale la pena señalar que VMware rectificó una vulnerabilidad de inyección de comandos en su producto vSphere Replication ( CVE-2021-21976 , CVSS puntaje 7.2) a principios de este mes que podría otorgar a un mal actor privilegios administrativos para ejecutar comandos de shell y lograr RCE.
Por último, VMware también resolvió un error de desbordamiento de pila (CVE-2021-21974, CVSS puntuación 8.8) en el protocolo de ubicación del servicio (SLP) de ESXi, lo que potencialmente permite que un atacante en la misma red envíe solicitudes SLP maliciosas a un dispositivo ESXi y tome el control. de ella.
OpenSLP proporciona un marco para permitir que las aplicaciones de red descubran la existencia, ubicación y configuración de servicios en red en redes empresariales.
La última solución para ESXi OpenSLP viene inmediatamente después de un parche similar ( CVE-2020-3992 ) en noviembre pasado que podría aprovecharse para activar un uso después de la liberación en el servicio OpenSLP, lo que lleva a la ejecución remota de código.
No mucho después, surgieron informes de intentos de explotación activos, con bandas de ransomware abusando de la vulnerabilidad para hacerse cargo de las máquinas virtuales sin parches implementadas en entornos empresariales y cifrar sus discos duros virtuales.
Se recomienda encarecidamente que los usuarios instalen las actualizaciones para eliminar el riesgo asociado con las fallas, además de "eliminar las interfaces de vCenter Server del perímetro de las organizaciones, si están allí, y asignarlas a una VLAN separada con una lista de acceso limitado en el red interna."
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
