Las fallas críticas de RCE afectan a VMware ESXi y vSphere Client – Parche ahora

Cliente VMware ESXi y vSphere

VMware ha abordado múltiples vulnerabilidades críticas de ejecución remota de código (RCE) en la plataforma de administración de infraestructura virtual VMware ESXi y vSphere Client que pueden permitir a los atacantes ejecutar comandos arbitrarios y tomar el control de los sistemas afectados.

“Un actor malicioso con acceso de red al puerto 443 puede explotar este problema para ejecutar comandos con privilegios sin restricciones en el sistema operativo subyacente que aloja vCenter Server”, dijo la compañía en su aviso.

La vulnerabilidad, rastreada como CVE-2021-21972, tiene una puntuación CVSS de 9,8 sobre un máximo de 10, lo que la convierte en una gravedad crítica.

«En nuestra opinión, la vulnerabilidad RCE en vCenter Server no puede representar una amenaza menor que la infame vulnerabilidad en Citrix (CVE-2019-19781)», dijo Mikhail Klyuchnikov de Positive Technologies, quien descubrió e informó la falla a VMware.

«El error permite que un usuario no autorizado envíe una solicitud especialmente diseñada, que luego le dará la oportunidad de ejecutar comandos arbitrarios en el servidor».

Con este acceso en su lugar, el atacante puede moverse con éxito a través de la red corporativa y obtener acceso a los datos almacenados en el sistema vulnerable, como información sobre máquinas virtuales y usuarios del sistema, señaló Klyuchnikov.

Por separado, una segunda vulnerabilidad (CVE-2021-21973, puntuación CVSS 5.3) permite a los usuarios no autorizados enviar solicitudes POST, lo que permite que un adversario realice más ataques, incluida la capacidad de escanear la red interna de la empresa y recuperar detalles sobre los puertos abiertos de varios servicios.

El problema de divulgación de información, según VMware, se deriva de una vulnerabilidad SSRF (falsificación de solicitud del lado del servidor) debido a una validación incorrecta de las URL en el complemento de vCenter Server.

Cliente VMware ESXi y vSphere

VMware también proporcionó soluciones alternativas para remediar CVE-2021-21972 y CVE-2021-21973 temporalmente hasta que se puedan implementar las actualizaciones. Los pasos detallados se pueden encontrar aquí.

Vale la pena señalar que VMware rectificó una vulnerabilidad de inyección de comandos en su producto vSphere Replication (CVE-2021-21976, puntaje CVSS 7.2) a principios de este mes que podría otorgar a un mal actor privilegios administrativos para ejecutar comandos de shell y lograr RCE.

Por último, VMware también resolvió un error de desbordamiento de montón (CVE-2021-21974, puntuación CVSS 8.8) en el protocolo de ubicación de servicio (SLP) de ESXi, lo que podría permitir que un atacante en la misma red envíe solicitudes SLP maliciosas a un dispositivo ESXi y tome el control. de eso

OpenSLP proporciona un marco para permitir que las aplicaciones de red descubran la existencia, ubicación y configuración de los servicios en red en las redes empresariales.

La solución más reciente para ESXi OpenSLP viene inmediatamente después de un parche similar (CVE-2020-3992) en noviembre pasado que podría aprovecharse para activar un uso después de liberar en el servicio OpenSLP, lo que lleva a la ejecución remota de código.

No mucho después, surgieron informes de intentos de explotación activos en la naturaleza, con bandas de ransomware. abusando la vulnerabilidad para hacerse cargo de las máquinas virtuales sin parches implementadas en entornos empresariales y cifrar sus discos duros virtuales.

Se recomienda encarecidamente que los usuarios instalen las actualizaciones para eliminar el riesgo asociado con las fallas, además de «eliminar las interfaces de vCenter Server del perímetro de las organizaciones, si están allí, y asignarlas a una VLAN separada con una lista de acceso limitado en el red interna. «

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática