VMware lanzó un nuevo boletín el martes advirtiendo de hasta 19 vulnerabilidades en dispositivos vCenter Server y Cloud Foundation que un atacante remoto podría explotar para tomar el control de un sistema afectado.

La más crítica de ellas es la vulnerabilidad de carga de archivos en Analytics (CVE-2021-22005), que afecta las implementaciones de vCenter Server 6.7 y 7.0. «Un jugador malicioso con acceso de red al puerto 443 en vCenter Server puede explotar este problema para ejecutar código en vCenter Server cargando un archivo especialmente diseñado», dijo la compañía, agregando ese acceso independientemente de los ajustes de configuración de vCenter Server.

Aunque VMware ha lanzado una solución al error, la compañía advirtió que «deberían ser una solución temporal hasta que se actualicen». […] se puede desplegar».

La lista completa de deficiencias corregidas por el proveedor de servicios de virtualización es la siguiente:

• CVE-2021-22005 (Puntuación CVSS: 9,8) – Vulnerabilidad al cargar archivos en el servidor vCenter
• CVE-2021-21991 (Puntuación CVSS: 8,8) – Vulnerabilidad de escalada de permisos locales de VCenter
• CVE-2021-22006 (Puntuación CVSS: 8.3) – Vulnerabilidad de proxy de omisión inversa de vCenter
• CVE-2021-22011 (Puntuación CVSS: 8.1) – Vulnerabilidad de extremo de la API de vCenter
• CVE-2021-22015 (Puntuación CVSS: 7,8) – Vulnerabilidades de escalada de autoridad local de VCenter Server
• CVE-2021-22012 (Puntuación CVSS: 7.5) – Vulnerabilidad de VCenter Server para detectar información API no autenticada
• CVE-2021-22013 (Puntuación CVSS: 7.5) – Vulnerabilidad de exploración de ruta de archivo de VCenter
• CVE-2021-22016 (Puntuación CVSS: 7,5): vCenter Server refleja una vulnerabilidad XSS
• CVE-2021-22017 (Puntuación CVSS: 7.3) – Vulnerabilidad de omisión de rhttpproxy de VCenter Server
• CVE-2021-22014 (Puntuación CVSS: 7.2) – Vulnerabilidad en la ejecución del código de vCenter Server
• CVE-2021-22018 (Puntuación CVSS: 6,5) – Vulnerabilidad de eliminación de archivos de VCenter Server
• CVE-2021-21992 (Puntuación CVSS: 6,5) – Vulnerabilidad de VCenter Server en el análisis de denegación de servicio
• CVE-2021-22007 (Puntuación CVSS: 5,5): existe una vulnerabilidad de VCenter Server para revelar información local
• CVE-2021-22019 (Puntuación CVSS: 5.3) – Vulnerabilidad de denegación de servicio de vCenter Server
• CVE-2021-22009 (Puntuación CVSS: 5,3) – Vulnerabilidad de vCenter Server VAPI con múltiples denegaciones de servicio
• CVE-2021-22010 (Puntuación CVSS: 5.3) – VPCD Vulnerabilidad de denegación de servicio de VPCD
• CVE-2021-22008 (Puntuación CVSS: 5.3) – Vulnerabilidad de divulgación de información de VCenter Server
• CVE-2021-22020 (Puntuación CVSS: 5,0): vulnerabilidad de denegación de servicio de vCenter Server Analytics
• CVE-2021-21993 (Puntuación CVSS: 4.3) – Vulnerabilidad SSRF de vCenter Server

A George Noseevich y Sergey Gerasimov de SolidLab LLC, junto con Hynek Petrak de Schneider Electric, Yuval Lazar de Peter y Osama Alaa de Malcrov, se les atribuye la notificación de la mayoría de las deficiencias.

«Consecuencias [CVE-2021-22005] son serios y es solo cuestión de tiempo, probablemente unos minutos después del lanzamiento, antes de que los exploits de trabajo estén disponibles públicamente ”, dijo VMware, una pregunta frecuente, instando a los clientes a actualizar sus instalaciones de vCenter de inmediato.

«Con la amenaza del ransomware que surge hoy, es más seguro asumir que un atacante ya puede controlar una computadora y una cuenta de usuario usando técnicas como phishing o spear-phishing y actuar en consecuencia. Esto significa que un atacante ya puede llegar a vCenter Servidor desde el firewall corporativo y el tiempo es esencial «, agregó la compañía.