VMware parchea un error que pone en riesgo muchas redes grandes


La vulnerabilidad ahora parcheada podría haber permitido a los atacantes escanear la pink interna de una empresa y obtener acceso a datos confidenciales, dice Favourable Technologies.

security.jpg

iStock / weerapatkiatdumrong

VMware ha solucionado una falla grave en su utilidad vCenter Server VMware que podría haber abierto la puerta a los piratas informáticos para ejecutar código de forma remota en un servidor vulnerable.

en un comunicado de prensa publicado el miércolesConstructive Technologies, que descubrió y alertó a VMware sobre el error, dijo que los atacantes podrían haber aprovechado el error de vCenter Server para hacerse cargo de los servidores VMware sin parches y obtener acceso a los recursos de la crimson regional.

La principal amenaza habría venido de los piratas informáticos que habían penetrado la seguridad de un perímetro de pink a través de la ingeniería social o vulnerabilidades web, o que habían obtenido acceso a una pink utilizando puertas traseras creadas previamente.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

En agosto pasado, Beneficial Technologies reveló los resultados de las pruebas de penetración a través de las cuales pudo violar el perímetro de la crimson y obtener acceso a los recursos de la pink nearby en el 93% de las empresas. En el comunicado de prensa, el analista de Optimistic Technologies, Mikhail Klyuchnikov, explicó cómo la vulnerabilidad de VMware podría haber sido abusada por cualquier usuario no autorizado, haciéndola especialmente peligrosa.

«El mistake permite que un usuario no autorizado envíe una solicitud especialmente diseñada, que luego les dará la oportunidad de ejecutar comandos arbitrarios en el servidor», dijo Klyuchnikov.

«Después de recibir tal oportunidad, el atacante puede desarrollar este ataque, moverse con éxito a través de la pink corporativa y obtener acceso a los datos almacenados en el sistema atacado (como información sobre máquinas virtuales y usuarios del sistema)», agregó. «Si se puede acceder al computer software vulnerable desde World wide web, esto permitirá que un atacante externo penetre en el perímetro externo de la empresa y también obtenga acceso a datos confidenciales».

Esta falla de ejecución remota de código (RCE) afecta específicamente al Cliente vSphere (HTML5), que es un complemento para vCenter Server utilizado por muchas grandes empresas para administrar sus instalaciones de productos VMware locales. Apodado CVE-2021-21972, el defecto se ha ganado una puntuación CVSS v3 de 9,8, lo que indica la gravedad del problema.

Más de 6.000 dispositivos VMware vCenter en todo el mundo contienen la vulnerabilidad, según Good Systems. Aunque el 90% de ellos se encuentran dentro del perímetro de la pink, algunos de ellos son accesibles de forma remota a través de World-wide-web. Una cuarta parte de estos dispositivos se encuentran en los EE. UU., Seguidos de números más pequeños en Alemania, Francia, China, Gran Bretaña, Canadá, Rusia, Taiwán, Irán e Italia.

Otra vulnerabilidad (CVE-2021-21973 con una puntuación CVSS de 5,3) descubierta por Optimistic Systems podría haber permitido a usuarios no autorizados enviar solicitudes como servidor objetivo. Al explotar la falla de esta manera, un atacante podría escanear la purple interna de una empresa y encontrar detalles sobre los puertos abiertos de varios servicios.

Se recomienda encarecidamente a las empresas que utilizan VMware Server que comprueben Página de avisos de VMware para obtener más detalles sobre estos defectos y para descargar e instalar las actualizaciones necesarias para parchear sus sistemas. Además, Good Technologies aconseja a las empresas que eliminen las interfaces de vCenter Server de sus perímetros si están ubicadas como tales y las asignen a una VLAN separada con una lista de acceso limitado en la purple interna.

«La simplicidad de la explotación y el impacto de la vulnerabilidad son ambos muy críticos, permitiendo que incluso atacantes no calificados tomen el management de redes corporativas completas en minutos», dijo a TechRepublic Ilia Kolochenko, directora ejecutiva del proveedor de seguridad ImmuniWeb. «Sin embargo, es justo decir que normalmente la interfaz internet de vSphere Client no debería ser accesible desde Net o al menos debería tener reglas estrictas de filtrado de IP. Por lo tanto, las organizaciones comprometidas sin duda comparten la responsabilidad de ser violadas a través de esta vulnerabilidad».

Ver también



Enlace a la noticia initial