Es possible que se aproveche ampliamente la nueva falla de VMware vCenter Server



Organizaciones que utilizan vCenter Server de VMware que aún no han aplicado un parche para una vulnerabilidad de carga de archivos arbitraria recientemente revelada en la utilidad de administración (CVE-2021-22005) corren un mayor riesgo de comprometerse.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) advirtió el viernes a las organizaciones que esperen una «explotación generalizada» de la falla debido al código de explotación disponible públicamente. El aviso señaló una confirmación el 24 de septiembre por parte de VMware de que CVE-2021-22005 se está explotando activamente en la naturaleza.

El aviso de CISA también señaló informes de investigadores de seguridad de actividad de escaneo masivo para servidores vCenter vulnerables por parte de actores de amenazas. La agencia instó encarecidamente a las entidades de infraestructura crítica y otros usuarios con versiones afectadas de la tecnología a aplicar el parche de VMware para la falla lo «más rápido posible». Las organizaciones que no pueden actualizar de inmediato a una versión fija de la tecnología deberían considerar implementar las instrucciones de solución alternativa de VMware para CVE-2021-22005, dijo CISA.

VCenter Server de VMware es una utilidad que permite a los administradores administrar de forma centralizada la infraestructura de la máquina virtual vSphere. VMware describe es una tecnología que las organizaciones pueden utilizar para administrar la seguridad y la disponibilidad de los entornos vSphere, para simplificar las tareas y reducir parte de la complejidad involucrada en la administración de los entornos virtuales.

Ya visto
Esta es la segunda vez en los últimos meses que las organizaciones que utilizan vCenter Servers se han visto obligadas a luchar para abordar vulnerabilidades críticas en la tecnología. En junio, CISA emitió una advertencia very similar que implica otra falla crítica de ejecución remota de código (CVE-2021-21985). VMware emitió un parche para ese problema en mayo, pero incluso semanas después, miles de sistemas vulnerables permanecieron sin parche, lo que provocó que CISA emitiera la alerta. En ese momento, CISA advirtió que los sistemas sin parches seguían siendo un objetivo atractivo para los atacantes y brindaban a los actores de amenazas una forma de tomar controles completos de los sistemas vulnerables.

La vulnerabilidad de carga de archivos arbitrarios CVE-2021-22005 recientemente revelada es la más crítica entre un conjunto de 19 vulnerabilidades únicas que varios investigadores de seguridad informaron de forma privada a VMware recientemente. Cualquier atacante que pueda llegar a vCenter Server a través de la purple puede acceder a él independientemente de los parámetros de configuración del servidor, advirtió VMware.

VMware ha asignado a la falla una calificación de gravedad de 9,8, lo que la convierte en una vulnerabilidad muy crítica en la escala de calificación de vulnerabilidad CVSSv3 de 10 puntos. «Un actor malintencionado con acceso de pink al puerto 443 en vCenter Server puede aprovechar este problema para ejecutar código en vCenter Server cargando un archivo especialmente diseñado», dijo VMware. Las versiones afectadas del software package son las versiones 6.5, 6.7 y 7. de vCenter Server y VMware Cloud Foundation.

Alec Alvarado, líder del equipo de inteligencia de amenazas en Electronic Shadows, dice que ciertos detalles de la prueba de concepto (PoC) disponible públicamente se han omitido a propósito para que los actores de amenazas no puedan llevar a cabo fácilmente el componente de ejecución remota de código del ataque. Sin embargo, es probable que los atacantes técnicamente sofisticados puedan resolverlo, dice.

«Los actores de amenazas siguen las noticias tanto como los investigadores de seguridad, posiblemente más», dice Alvarado. «Con un PoC casi funcional, técnicamente sofisticado [threat actors] interesados ​​en aprovechar la vulnerabilidad ya la están aprovechando «. Cuando se publique una PoC completa, espere que los actores menos sofisticados comiencen a apuntar a la falla, señala Alvarado.

VMware instó a las organizaciones a aplicar inmediatamente el parche que emitió la semana pasada para la falla. «Estas actualizaciones solucionan una vulnerabilidad de seguridad crítica y su respuesta debe considerarse de inmediato», dijo la compañía.

Medidas alternativas
Para las organizaciones que no pueden actualizar inmediatamente su program a la versión parcheada, VMware ha lanzado medidas de solución específicas. Los administradores pueden implementar la solución alternativa mediante un script que VMware ha desarrollado para servidores vCenter vulnerables. O pueden implementar la solución de forma manual siguiendo los pasos que la empresa ha publicado para hacerlo. VMware advirtió a las organizaciones que consideren la solución alternativa como una medida temporal hasta que se pueda aplicar la actualización.

John Bambenek, principal cazador de amenazas de Netenrich, dice que cualquier defecto que permita la ejecución remota de código con privilegios de nivel raíz en máquinas virtuales es significativo. «Casi todas las empresas operan máquinas virtuales», dice, «y si tengo acceso de root, podría rescatar todas las máquinas en ese entorno o robar los datos de esas máquinas virtuales con relativa facilidad».



Enlace a la noticia primary