Mais de 6.700 servidores VMware estão vulneráveis online a CVE 9.8. A CVE-2021-21972 que se explorada, permite o controle total dos servidores desatualizados e consequentemente, de suas redes.
O código de exploração de prova de conceito foi publicado online no dia de ontem, 24 de fevereiro, e varreduras ativas de sistemas VMware vulneráveis já foram detectadas. , portanto, não hesite em aplicar os patchs o quanto antes.
Os servidores VMware vCenter estão atualmente expostos online e vulneráveis a um novo ataque que pode permitir que hackers controlem dispositivos não corrigidos e efetivamente controlem todas as redes das empresas. As varreduras para dispositivos VMware vCenter estão em andamento, de acordo com a empresa de inteligência de ameaças Bad Packets.
We’ve detected mass scanning activity targeting vulnerable VMware vCenter servers (https://t.co/t3Gv2ZgTdt).
Query our API for “tags=CVE-2021-21972” for relevant indicators and source IP addresses. #threatintel https://t.co/AcSZ40U5Gp
— Bad Packets (@bad_packets) February 24, 2021
As varreduras começaram cedo depois que um pesquisador de segurança chinês publicou um código de prova de conceito em seu blog para uma vulnerabilidade rastreada como CVE-2021-21972.
Essa vulnerabilidade afeta o vSphere Client (HTML5), um plugin do VMware vCenter, um tipo de servidor geralmente implantado em grandes redes corporativas como um utilitário de gerenciamento centralizado por meio do qual a equipe de TI gerencia produtos VMware instalados em estações de trabalho locais.
No ano passado, a empresa de segurança Positive Technologies descobriu que um invasor poderia ter como alvo a interface HTTPS deste plugin vCenter e executar código malicioso com privilégios elevados no dispositivo sem ter que autenticar.
Por causa da função central de um servidor vCenter dentro de redes corporativas, o problema foi classificado como altamente crítico e relatado em particular à VMware, que lançou patches oficiais ontem, em 23 de fevereiro de 2021.
Devido ao grande número de empresas que executam o software vCenter em suas redes, a Positive Technologies inicialmente planejou manter os detalhes sobre esse bug em segredo até que os administradores de sistema tivessem tempo suficiente para testar e aplicar o patch.
No entanto, o código de prova de conceito postado pelo pesquisador chinês e outros negou efetivamente às empresas qualquer período de carência para aplicar o patch e também iniciou uma varredura em massa gratuita para sistemas vCenter vulneráveis deixados conectados online, com hackers correndo para comprometer os sistemas antes de gangues rivais.
Para piorar as coisas, a exploração desse bug também é uma solicitação cURL de uma linha, o que torna mais fácil até mesmo para agentes de ameaças pouco qualificados automatizar ataques.
There’s a preauth RCE in vSphere with a single HTTP get request, which some orgs face to internet. https://t.co/rKxbQANQ8n
— Kevin Beaumont (@GossiTheDog) February 24, 2021
De acordo com uma consulta do Shodan , mais de 6.700 servidores VMware vCenter estão atualmente conectados à Internet. Todos esses sistemas agora estão vulneráveis a ataques de controle se os administradores não aplicarem os patches CVE-2021-21972 de ontem.
A VMware levou esse bug muito a sério e atribuiu uma pontuação de gravidade de 9,8 em um máximo de 10 e agora está pedindo aos clientes que atualizem seus sistemas o mais rápido possível.
Devido à função crítica e central que os servidores VMware vCenter desempenham em redes corporativas, um comprometimento desse dispositivo pode permitir que invasores acessem qualquer sistema conectado ou gerenciado por meio do servidor central.
Esses são os tipos de dispositivos que os agentes de ameaças (conhecidos como “network access brokers”) gostam de comprometer e depois vender em fóruns clandestinos do crime cibernético para gangues de ransomware, que criptografam os arquivos das vítimas e exigem resgates. Além disso, gangues de ransomware como Darkside e RansomExx já começaram a perseguir os sistemas VMware no ano passado , mostrando o quão eficaz pode ser o direcionamento dessas redes corporativas baseadas em VM.
Como um PoC está agora aberto, a Positive Technologies também decidiu publicar um relatório técnico detalhado sobre o bug, para que os defensores da rede possam aprender como a exploração funciona e preparar defesas adicionais ou ferramentas forenses para detectar ataques anteriores.
Detalhes sobre o Advisory VMSA-2021-0002 publicado pela VMware pode ser encontrar neste link
Fonte: ZDNet & VMwareVeja também:
- Etapas e estruturas de resposta a incidentes para SANS e NIST
- Assista a gravação do Webinar: Business, Security e Legal no bloco da LGPD
- 5 principais ferramentas de segurança cibernética de código aberto para 2021
- ANPD inicia processo de regulamentação sobre incidentes de segurança
- O que é uma falha zero day?
- Secretaria do Consumidor investiga 40 vazamentos de dados
- A LGPD pode transformar os SOC’s em CDC’s – Centros De Defesa Cibernética
- O que é segurança de rede Zero Trust?
- FBI pode interceptar mensagens criptografadas do aplicativo ‘Signal’
- A expectativa é termos ataques cibernéticos mais bem sucedidos em 2021
- Tecnologias que podem ajudar a manter a sua privacidade
- Proteja sua privacidade de hackers, espiões e do governo
Deixe sua opinião!