Boletim Técnico

BOLETIM EMERGENCIAL – VULNERABILIDADE DE EXECUÇÃO REMOTA DE CÓDIGO DO VMWARE

A vulnerabilidade que permite que um atacante possa executar comandos com privilégios irrestritos no sistema.

CVE-2021-21972, CVE-2021-21973, CVE-2021-21974: Vulnerabilidade de execução remota de código do VMware vCenter Server.

Nos últimos dias, foi identificado aumento no número de ataques de ransomware, bem-sucedidos, contra hypervisors ESXi da empresa VMware. Os passos para exploração das vulnerabilidades estão descritos nas CVEs (Common Vulnerabilities and Exposures) abaixo relacionadas:

Execução

Se usuários mal-intencionados possuírem acesso à rede do VMware ESXi, eles podem explorar as vulnerabilidades e executar códigos remotamente (RCE), o que lhes permite o acesso indevido a dados sensíveis, bem como comprometer os sistemas.

Versões Afetadas

As vulnerabilidades afetam o VMware vCenter Server (7.x antes de 7.0 U1c, 6.7 antes de 6.7 U3l e 6.5 antes de 6.5 U3n) e VMware Cloud Foundation (4.x antes de 4.2 e 3.x antes de 3.10.1.2).

Solução

O time de Cyber Protection da IBLISS solicita e recomenda aos seus clientes e parceiros que possuírem sistemas VMware ESXi e vCenter Server vulneráveis em seus ambientes, que apliquem as atualizações o mais rápido possível e sigam as boas práticas de configuração e administração do vSphere, bem como a desativação do serviço SLP no VMware ESXi, se não for, realmente, necessário, uma vez que foi identificado como o vetor inicial dos ataques. Seguem-se as instruções, de acordo com o que foi publicado pela VMware em:

Referências

http://packetstormsecurity.com/files/161590/VMware-vCenter-Server-7.0-Arbitrary-File-Upload.html

http://packetstormsecurity.com/files/161695/VMware-vCenter-Server-File-Upload-Remote-Code-Execution.html

http://packetstormsecurity.com/files/163268/VMware-vCenter-6.5-6.7-7.0-Remote-Code-Execution.html

http://packetstormsecurity.com/files/162957/VMware-ESXi-OpenSLP-Heap-Overflow.html