Semana de la seguridad 23: Explotación de una vulnerabilidad en VMware vCenter

Una vulnerabilidad en VMware vCenter Server (software de control de infraestructura en la nube) corre el riesgo de convertirse en un problema de gravedad comparable al del día cero descubierto anteriormente en Microsoft Exchange. Aunque la cantidad de instalaciones de vCenter Server disponibles en la red es mucho menor (miles frente a decenas de miles de servidores de correo), cada uno de ellos puede administrar una enorme flota de sistemas virtuales. La vulnerabilidad CVE-2021-21985 fue parcheada a finales de mayo, y la noticia de esta semana es la aparición de una prueba de concepto en funcionamiento en el dominio público y el comienzo de la fase de explotación activa.





Otra similitud con los problemas de marzo en Microsoft Exchange es que la vulnerabilidad en sí está en riesgo. Obtuvo una puntuación de 9,8 sobre 10 en la escala CVSSv3 y proporciona al atacante acceso completo al sistema operativo que ejecuta vCenter. Específicamente, la vulnerabilidad se encontró en el complemento Virtual SAN Health Check, que está habilitado de forma predeterminada. Para los administradores de infraestructura basada en soluciones VMware, esta es una razón para actualizar inmediatamente a la última versión, o al menos bloquear el funcionamiento del código problemático.

Fuentes de

• Aviso de seguridad del 25 de mayo.
• Un artículo en la base de conocimientos que describe cómo bloquear un complemento (la desactivación directa de un complemento no cierra la vulnerabilidad).
• Prueba pública de concepto.
• Notas de la versión para vCenter Server 6.7 Update 3n. También se ha lanzado un parche para las versiones 7.0 y 6.5 .
• Preguntas frecuentes sobre el ayuno en VMware y el blog .
• Artículo en la edición de ArsTechnica.
• Novedades sobre Habré.

La semana pasada, no solo aparecieron pruebas de la funcionalidad de PoC en la red, sino también testimonios de los mantenedores de honeypot sobre el escaneo masivo de puertos en busca de instalaciones vulnerables. Una búsqueda en el motor de búsqueda especializado Shodan arroja 5.500 puertos disponibles de la red de servidores vCenter, la mayoría de ellos en Estados Unidos. Advertencia oficial del 4 de junio fue publicado por la Agencia de Ciberseguridad de EE. UU. ArsTechnica recuerda que este año se descubrieron muchas vulnerabilidades de la clase "puede que sea demasiado tarde para parchear": este es el problema mencionado en Exchange Server, y vulnerabilidades en VPN Pulse Secure y Fortinet, y agujeros en el software del servidor BIG-IP de Redes F5. En el caso de VMware, los administradores solo tenían unos días para resolver el problema. En el caso de Exchange, fue necesario reaccionar de inmediato: la operación comenzó antes del lanzamiento del parche.

Que mas paso

El "incidente cibernético" (muy probablemente un ataque de ransomware) ocurrió en un gran proveedor de carne, JBS Foods.



Sophos está investigando malware que aprovecha las vulnerabilidades de marzo en Exchange Server y cifra los datos.



Investigación reciente de Kaspersky Lab: informes sobre la evolución de las amenazas para el primer trimestre de 2021 ( artículo general , estadísticas sobre PC y dispositivos móviles); una descripción general del troyano Gootkit y una guía para la suplantación de correo electrónico.



Esta semana Amazon habilitará la función Amazon Sidewalk que conecta los dispositivos de la compañía (como un timbre con una cámara Amazon Ring y otras herramientas de seguridad para el hogar) en una red de malla. Sidewalk tiene una característica de privacidad dudosa: para "mayor eficiencia", los dispositivos de otras personas pueden usar su canal para acceder a Internet y comunicarse con el servidor.