1
0
Mais de 6.700 servidores VMware estão vulneráveis online a CVE 9.8. A CVE-2021-21972 que se explorada, permite o controle total dos servidores desatualizados e consequentemente, de suas redes.
O código de exploração de prova de conceito foi publicado online no dia de ontem, 24 de fevereiro, e varreduras ativas de sistemas VMware vulneráveis já foram detectadas. , portanto, não hesite em aplicar os patchs o quanto antes.
Os servidores VMware vCenter estão atualmente expostos online e vulneráveis a um novo ataque que pode permitir que hackers controlem dispositivos não corrigidos e efetivamente controlem todas as redes das empresas. As varreduras para dispositivos VMware vCenter estão em andamento, de acordo com a empresa de inteligência de ameaças Bad Packets.https://platform.twitter.com/embed/Tweet.html?creatorScreenName=https%3A%2F%2Ftwitter.com%2FMindsec_Br&dnt=false&embedId=twitter-widget-0&frame=false&hideCard=false&hideThread=false&id=1364661586070102016&lang=en&origin=https%3A%2F%2Fminutodaseguranca.blog.br%2Fmais-de-6-700-servidores-vmware-estao-vulneraveis-online-a-cve-9-8%2F&siteScreenName=mindsec_br&theme=light&widgetsVersion=889aa01%3A1612811843556&width=550px
As varreduras começaram cedo depois que um pesquisador de segurança chinês publicou um código de prova de conceito em seu blog para uma vulnerabilidade rastreada como CVE-2021-21972.
Essa vulnerabilidade afeta o vSphere Client (HTML5), um plugin do VMware vCenter, um tipo de servidor geralmente implantado em grandes redes corporativas como um utilitário de gerenciamento centralizado por meio do qual a equipe de TI gerencia produtos VMware instalados em estações de trabalho locais.
No ano passado, a empresa de segurança Positive Technologies descobriu que um invasor poderia ter como alvo a interface HTTPS deste plugin vCenter e executar código malicioso com privilégios elevados no dispositivo sem ter que autenticar.
Por causa da função central de um servidor vCenter dentro de redes corporativas, o problema foi classificado como altamente crítico e relatado em particular à VMware, que lançou patches oficiais ontem, em 23 de fevereiro de 2021.
Devido ao grande número de empresas que executam o software vCenter em suas redes, a Positive Technologies inicialmente planejou manter os detalhes sobre esse bug em segredo até que os administradores de sistema tivessem tempo suficiente para testar e aplicar o patch.
No entanto, o código de prova de conceito postado pelo pesquisador chinês e outros negou efetivamente às empresas qualquer período de carência para aplicar o patch e também iniciou uma varredura em massa gratuita para sistemas vCenter vulneráveis deixados conectados online, com hackers correndo para comprometer os sistemas antes de gangues rivais.
Para piorar as coisas, a exploração desse bug também é uma solicitação cURL de uma linha, o que torna mais fácil até mesmo para agentes de ameaças pouco qualificados automatizar ataques.https://platform.twitter.com/embed/Tweet.html?creatorScreenName=https%3A%2F%2Ftwitter.com%2FMindsec_Br&dnt=false&embedId=twitter-widget-1&frame=false&hideCard=false&hideThread=false&id=1364526359222050818&lang=en&origin=https%3A%2F%2Fminutodaseguranca.blog.br%2Fmais-de-6-700-servidores-vmware-estao-vulneraveis-online-a-cve-9-8%2F&siteScreenName=mindsec_br&theme=light&widgetsVersion=889aa01%3A1612811843556&width=550px
De acordo com uma consulta do Shodan , mais de 6.700 servidores VMware vCenter estão atualmente conectados à Internet. Todos esses sistemas agora estão vulneráveis a ataques de controle se os administradores não aplicarem os patches CVE-2021-21972 de ontem.
A VMware levou esse bug muito a sério e atribuiu uma pontuação de gravidade de 9,8 em um máximo de 10 e agora está pedindo aos clientes que atualizem seus sistemas o mais rápido possível.
Devido à função crítica e central que os servidores VMware vCenter desempenham em redes corporativas, um comprometimento desse dispositivo pode permitir que invasores acessem qualquer sistema conectado ou gerenciado por meio do servidor central.
Esses são os tipos de dispositivos que os agentes de ameaças (conhecidos como “network access brokers”) gostam de comprometer e depois vender em fóruns clandestinos do crime cibernético para gangues de ransomware, que criptografam os arquivos das vítimas e exigem resgates. Além disso, gangues de ransomware como Darkside e RansomExx já começaram a perseguir os sistemas VMware no ano passado , mostrando o quão eficaz pode ser o direcionamento dessas redes corporativas baseadas em VM.
Como um PoC está agora aberto, a Positive Technologies também decidiu publicar um relatório técnico detalhado sobre o bug, para que os defensores da rede possam aprender como a exploração funciona e preparar defesas adicionais ou ferramentas forenses para detectar ataques anteriores.
Detalhes sobre o Advisory VMSA-2021-0002 publicado pela VMware pode ser encontrar neste link
FONTE: MINUTO DA SEGURANÇA