Esto no es un simulacro: la vulnerabilidad de VMware 9.8 está siendo atacada


Esto no es un simulacro: la vulnerabilidad de VMware 9.8 está siendo atacada

Se está explotando activamente una vulnerabilidad de VMware con una gravedad de 9,8 sobre 10. Se ha publicado al menos un exploit confiable y se han realizado intentos exitosos para comprometer los servidores que ejecutan el software vulnerable.

La vulnerabilidad, registrada como CVE-2021-21985, se encuentra en vCenter Server, una herramienta que se utiliza para administrar la virtualización en grandes centros de datos. Un aviso de VMware publicado la semana pasada decía que las máquinas vCenter que usan configuraciones estándar tienen un error que permite que se ejecute código malicioso en muchas redes si las máquinas son accesibles a través de un puerto expuesto a Internet.

Ejecución de código, no se requiere autenticación

El miércoles, un investigador lanzó un código de prueba de concepto que explotó el error. Un compañero investigador, que no quiso ser identificado, dijo que el exploit funcionaba de manera confiable y que se requería poco trabajo adicional para usar el código con fines maliciosos. Se puede replicar con cinco solicitudes de cURL, una herramienta de línea de comandos que transfiere datos a través de HTTP, HTTPS, IMAP y otros protocolos populares de Internet.

Otro investigador que tuiteó sobre El exploit publicado me dijo que podría modificarse para permitir la ejecución remota de código con un solo clic del mouse.

«Obtendrá la ejecución del código en la computadora de destino sin mecanismo de autenticación», dijo el investigador.

Tengo un shell web

El investigador Kevin Beaumont, sin embargo dijo el viernes que uno de sus honeypots, un servidor conectado a Internet que ejecuta software obsoleto para que el investigador pueda monitorear el escaneo activo y el uso, comenzó a ver escaneos de sistemas remotos en busca de servidores vulnerables.

Aproximadamente 35 minutos después, tuiteó: «Oh, uno de mis honeypots se rompió mientras trabajaba con CVE-2021-21985, tengo un caparazón web (me sorprende que no sea un minero de monedas)».

Un shell web es una herramienta de línea de comandos que usan los piratas informáticos después de ejecutar con éxito el código en computadoras vulnerables. Una vez instalados, los atacantes en cualquier parte del mundo tienen esencialmente el mismo control que los administradores legítimos.

Troy Mursch de Bad Packets informó el jueves que su honeypot también había recibido exploraciones. Las exploraciones continuaron el viernes, él dicho. Unas horas después de la publicación de esta publicación, la Administración de Seguridad de Infraestructura y Ciberseguridad publicó una recomendación.

Declaró: “CISA es consciente de la probabilidad de que los actores de amenazas cibernéticas intenten explotar CVE-2021-21985, una vulnerabilidad de ejecución remota de código en VMware vCenter Server y VMware Cloud Foundation. Aunque los parches estuvieron disponibles el 25 de mayo de 2021, los sistemas sin parches siguen siendo un objetivo atractivo y los atacantes pueden aprovechar esta vulnerabilidad para obtener el control de un sistema sin parches «.

Bajo bombardeo

La actividad en la naturaleza es actualmente un dolor de cabeza para los administradores que ya han sido amenazados por exploits maliciosos de otras vulnerabilidades graves. Varias aplicaciones de grandes organizaciones han sido atacadas desde principios de año. En muchos casos, las vulnerabilidades eran de día cero, exploits que se usaban antes de que las empresas lanzaran un parche.

Los ataques incluyeron exploits Pulse Secure VPN dirigidos a agencias federales y empresas de defensa, exploits exitosos de una falla de ejecución de código en la línea BIG-IP de dispositivos de servidor vendidos por F5 Networks con sede en Seattle, el compromiso de Sonicwall -Firewalls, el uso de cero- días en Microsoft Exchange para poner en riesgo a decenas de miles de organizaciones en EE. UU. y la explotación de organizaciones que utilizan versiones no actualizadas de la VPN de Fortinet.

Como todos los productos explotados anteriores, vCenter reside en partes potencialmente vulnerables de las grandes redes empresariales. Una vez que los atacantes han obtenido el control de las máquinas, a menudo es solo cuestión de tiempo antes de que puedan llegar a partes de la red que permiten la instalación de malware espía o ransomware.

Los administradores responsables de las máquinas vCenter que aún necesitan parchear CVE-2021-21985 deben instalar la actualización inmediatamente si es posible. No sería sorprendente ver un crescendo en el número de ataques el lunes.

Publicación actualizada para agregar aviso CISA.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *