Lectura oscura | Seguridad | Proteja el negocio



Miles de instancias de VMware vCenter Server con dos vulnerabilidades reveladas recientemente siguen siendo de acceso público en Web tres semanas después de que la compañía instara a las organizaciones a reparar las fallas de inmediato, citando su gravedad.

Los defectos CVE-2021-21985 y CVE-2021-21986, básicamente brindan a los atacantes una forma de tomar el handle completo de los sistemas que ejecutan vCenter Server, una utilidad para administrar de manera centralizada entornos de servidores virtuales VMware vSphere. Las vulnerabilidades existen en las versiones 6.5, 6.7 y 7. de vCenter Server.

VMware lanzó parches que abordan las vulnerabilidades el 25 de mayo. En ese momento, la compañía instó a las organizaciones con versiones afectadas del software package a aplicar los parches rápidamente debido al alto nivel de riesgo que presentaban las fallas para la seguridad empresarial. «La decisión sobre cómo proceder depende de usted», señaló la empresa en un consultivo en el momento. «Sin embargo, dada la gravedad, le recomendamos encarecidamente que actúe».

Sin embargo, tres semanas después de ese anuncio, y una advertencia posterior de actividad de explotación de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional, muchas instancias de vCenter Server vulnerables permanecen sin parches y abiertas a ataques, según Trustwave. Recientemente, la compañía realizó una búsqueda en Shodan para ver cuántas instancias vulnerables de la utilidad podía encontrar que aún eran accesibles a través de Web.

La búsqueda arrojó un full de 5.271 instancias de VMware vCenter Servers expuestos públicamente a World wide web. De eso, se confirmó que 4.019 eran vulnerables a las dos amenazas que VMware identificó el mes pasado. Otros 942 hosts estaban ejecutando versiones antiguas y al closing de su vida útil del servidor vCenter, dijo Trustwave en un informe esta semana.

Karl Sigler, gerente senior de investigación de seguridad en Trustwave SpiderLabs, dice que estas instancias probablemente también se vean afectadas por las dos fallas y no estén parcheadas porque actualmente no hay parches disponibles para esos sistemas.

«Las vulnerabilidades son críticas y pueden resultar en una toma de control completa del sistema a través de la explotación remota del código», dice Sigler. Las fallas también son relativamente fáciles de explotar para cualquier atacante que tenga incluso un conocimiento rudimentario de HTTP y las llamadas interfaces de programación de aplicaciones Relaxation. «Un atacante ni siquiera necesitaría herramientas o software program especializados, ya que se puede realizar un ataque completo con herramientas estándar como &#39curl&#39», dice Sigler.

VCenter Server de VMware está diseñado para brindar a las organizaciones una forma de administrar de forma centralizada los entornos vSphere en plataformas de nube híbrida. Según la compañía, una de las vulnerabilidades de ejecución remota de código existe en un complemento de pink de área de almacenamiento virtual (vSAN) que se envía junto con vCenter Server. La falla proporciona a cualquier atacante que pueda acceder a vCenter Server a través de Net una forma de acceder a él, independientemente de si la organización united states vSAN o no. El segundo problema involucra un mecanismo que se introdujo para fortalecer la autenticación de complementos.

Medidas de atenuación
Al lanzar parches para los dos problemas, VMware también describió las medidas de mitigación para las organizaciones que no pudieron aplicarlas de inmediato por ningún motivo. La empresa identificó a las organizaciones que se actualizan a vSphere 7 como aquellas que probablemente tendrían que elegir entre parchear o una solución alternativa debido a cómo los parches afectarían la actualización. La compañía también señaló que la aplicación de los parches solo afectaría la capacidad de administrar las cargas de trabajo y no la disponibilidad de la carga de trabajo en sí. «Este también es un punto importante para transmitir a los gerentes de cambio, ya que es posible que no comprendan que las cargas de trabajo continuarán ejecutándose», dijo VMware en su aviso el mes pasado.

Sigler dice que la complejidad y dificultad asociadas con la aplicación de parches en estos entornos es probablemente una de las razones por las que tantos servidores vCenter afectados permanecen sin parches. «Para los sistemas de producción utilizados por varios equipos, debe coordinarse con esos equipos para el tiempo de inactividad esperado», señala. «Muchas veces, los parches deben probarse en entornos de laboratorio antes de ser enviados a los sistemas de producción para verificar que el parche no causará más problemas de los que resuelve».

Trustwave hasta ahora no ha observado ninguna evidencia de que las vulnerabilidades se exploten en la naturaleza. Pero dada la cantidad de sistemas expuestos y la facilidad de explotación, es probable que pronto haya mucha actividad de explotación, advierte Sigler. «Los administradores deberían aplicar los parches lo antes posible».



Enlace a la noticia primary