in

Es probable que se explote ampliamente el nuevo error de VMware vCenter Server



Las organizaciones que usan vCenter Server de VMware y aún no han parcheado una vulnerabilidad de carga de archivos arbitraria recientemente revelada en la Utilidad de administración (CVE-2021-22005) tienen un mayor riesgo de verse comprometidas.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) advirtió a las empresas el viernes que no esperen una «explotación generalizada» del error debido al código de explotación disponible públicamente. El aviso se refería a una confirmación del 24 de septiembre de VMware de que CVE-2021-22005 está siendo explotado activamente en la naturaleza.

La recomendación de CISA también destacó los informes de los investigadores de seguridad sobre la actividad de escaneo masivo para servidores vCenter vulnerables por parte de los actores de amenazas. La agencia instó a las empresas de infraestructura crítica y otros usuarios con versiones afectadas de la tecnología a aplicar el parche de VMware para el error «lo antes posible». Las organizaciones que no pueden actualizar de inmediato a una versión fija de la tecnología deben considerar implementar la guía de solución alternativa de VMware para CVE-2021-22005, según CISA.

VMware vCenter Server es una utilidad que los administradores pueden utilizar para administrar de forma centralizada la infraestructura de la máquina virtual vSphere. VMware lo describe como una tecnología que permite a las empresas administrar la seguridad y la disponibilidad de los entornos de vSphere, simplificar las tareas y reducir parte de la complejidad de administrar los entornos virtuales.

Deja Vu
Esta es la segunda vez en los últimos meses que las organizaciones que utilizan vCenter Server se han visto obligadas a abordar vulnerabilidades tecnológicas críticas. En junio, CISA emitió una advertencia similar con respecto a otro error crítico en la ejecución remota de código (CVE-2021-21985). VMware lanzó un parche para este problema en mayo, pero semanas después, miles de sistemas vulnerables permanecieron sin parche, lo que provocó que CISA emitiera una advertencia. En ese momento, CISA advirtió que los sistemas sin parches seguirían siendo un objetivo atractivo para los atacantes y permitirían a los actores de amenazas tomar el control completo de los sistemas vulnerables.

La vulnerabilidad de carga de archivos arbitrarios recientemente reportada CVE-2021-22005 es la más crítica de una serie de 19 vulnerabilidades únicas que VMware informó recientemente de manera privada por varios investigadores de seguridad. Cualquier atacante que pueda acceder a vCenter Server a través de la red puede acceder a él independientemente de la configuración del servidor, advirtió VMware.

VMware asignó al error una gravedad de 9,8, lo que la convierte en una vulnerabilidad muy crítica en la escala de calificación de vulnerabilidad CVSSv3 de 10 puntos. «Un actor malintencionado con acceso de red al puerto 443 en vCenter Server puede aprovechar este problema para ejecutar código en vCenter Server cargando un archivo especialmente diseñado», dijo VMware. Las versiones afectadas del software son las versiones 6.5, 6.7 y 7.0 de vCenter Server, así como VMware Cloud Foundation.

Alec Alvarado, jefe del equipo de inteligencia de amenazas en Digital Shadows, dice que ciertos detalles de la prueba de concepto (PoC) disponible públicamente se han omitido intencionalmente para evitar que los actores de amenazas simplemente ejecuten el componente de ejecución remota de código del ataque. Sin embargo, los atacantes expertos en tecnología probablemente puedan descubrirlo, dice.

«Los actores de amenazas están siguiendo las noticias tanto como los investigadores de seguridad, y posiblemente más», dice Alvarado. «Con un PoC casi funcional, técnicamente maduro [threat actors] los interesados ​​en explotar la vulnerabilidad ya la están usando «. Cuando se lanza un PoC completo, los actores menos experimentados deberían comenzar a apuntar al error, señala Alvarado.

VMware ha instado a las empresas a aplicar inmediatamente el parche que lanzó la semana pasada para el error. «Estas actualizaciones solucionan un problema de seguridad crítico y su respuesta debe considerarse de inmediato», dijo la compañía.

Acción correctiva
Para las empresas que no pueden actualizar inmediatamente su software a la versión parcheada, VMware ha publicado medidas alternativas especiales. Los administradores pueden implementar la solución alternativa mediante un script que VMware desarrolló para servidores vCenter vulnerables. O pueden implementar la solución de forma manual siguiendo los pasos que la empresa ha aprobado. VMware advirtió a las empresas que no consideren la solución alternativa como una medida temporal hasta que se pueda aplicar la actualización.

John Bambenek, principal Threat Hunter en Netenrich, dice que cualquier error que permita la ejecución remota de código con privilegios de nivel raíz en máquinas virtuales es significativo. «Casi todas las empresas tienen máquinas virtuales», dice, «y si tuviera acceso de root, podría comprar todas las máquinas de este entorno o robar los datos de esas máquinas virtuales con relativa facilidad».

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Nobelium utiliza malware personalizado para puertas traseras de los dominios de Windows

¿Cómo configuro la supervisión de la disponibilidad del sitio con Google Cloud Monitoring?