Se podría explotar una vulnerabilidad crítica en el dispositivo VMware Carbon Black Cloud Workload para eludir la autenticación y tomar el control de los sistemas vulnerables.
Rastreada como CVE-2021-21982, la falla tiene una calificación de 9.1 de un máximo de 10 en el sistema de puntuación CVSS y afecta a todas las versiones del producto anteriores a la 1.0.1.
Carbon Black Cloud Workload es un producto de seguridad del centro de datos de VMware que tiene como objetivo proteger servidores y cargas de trabajo críticos alojados en vSphere, la plataforma de virtualización de computación en la nube de la compañía.
«Se puede manipular una URL en la interfaz administrativa del dispositivo VMware Carbon Black Cloud Workload para eludir la autenticación», dijo VMware en su aviso, lo que permite que un adversario con acceso a la red a la interfaz obtenga acceso a la API de administración del dispositivo.
Armado con el acceso, un actor malintencionado puede ver y modificar los ajustes de configuración administrativa, agregó la compañía.
Además de publicar una solución para CVE-2021-21982, VMware también abordó dos errores separados en su solución vRealize Operations Manager que un atacante con acceso de red a la API podría explotar para llevar a cabo ataques de falsificación de solicitud del lado del servidor (SSRF) para robar credenciales administrativas (CVE-2021-21975) y escribir archivos en ubicaciones arbitrarias en el sistema operativo de fotones subyacente (CVE-2021-21983).
El producto está diseñado principalmente para monitorear y optimizar el rendimiento de la infraestructura virtual y las funciones de soporte, como el equilibrio de la carga de trabajo, la resolución de problemas y la gestión del cumplimiento.
A Egor Dimitrenko, un investigador de seguridad de Positive Technologies, se le atribuye haber informado las tres fallas.
«El principal riesgo es que los privilegios de administrador permitan a los atacantes explotar la segunda vulnerabilidad: CVE-2021-21983 (una falla de escritura de archivo arbitraria, puntuada 7.2), que permite ejecutar cualquier comando en el servidor», dijo Dimitrenko. «La combinación de dos fallas de seguridad hace que la situación sea aún más peligrosa, ya que permite que un atacante no autorizado obtenga el control del servidor y se mueva lateralmente dentro de la infraestructura».
VMware lanzó parches para las versiones 7.0.0, 7.5.0, 8.0.1, 8.1.1, 8.2.0 y 8.3.0 de vRealize Operations Manager. La compañía también ha publicado soluciones alternativas para mitigar los riesgos asociados con las fallas en escenarios donde el parche no se puede instalar o no está disponible.
