BOLETIM EMERGENCIAL – VULNERABILIDADE DE EXECUÇÃO REMOTA DE CÓDIGO DO VMWARE
A vulnerabilidade que permite que um atacante possa executar comandos com privilégios irrestritos no sistema.
CVE-2021-21972, CVE-2021-21973, CVE-2021-21974: Vulnerabilidade de execução remota de código do VMware vCenter Server.
Nos últimos dias, foi identificado aumento no número de ataques de ransomware, bem-sucedidos, contra hypervisors ESXi da empresa VMware. Os passos para exploração das vulnerabilidades estão descritos nas CVEs (Common Vulnerabilities and Exposures) abaixo relacionadas:
- https://nvd.nist.gov/vuln/detail/CVE-2021-21972
- https://nvd.nist.gov/vuln/detail/CVE-2021-21973
- https://nvd.nist.gov/vuln/detail/CVE-2021-21974
Execução
Se usuários mal-intencionados possuírem acesso à rede do VMware ESXi, eles podem explorar as vulnerabilidades e executar códigos remotamente (RCE), o que lhes permite o acesso indevido a dados sensíveis, bem como comprometer os sistemas.
Versões Afetadas
As vulnerabilidades afetam o VMware vCenter Server (7.x antes de 7.0 U1c, 6.7 antes de 6.7 U3l e 6.5 antes de 6.5 U3n) e VMware Cloud Foundation (4.x antes de 4.2 e 3.x antes de 3.10.1.2).
Solução
O time de Cyber Protection da IBLISS solicita e recomenda aos seus clientes e parceiros que possuírem sistemas VMware ESXi e vCenter Server vulneráveis em seus ambientes, que apliquem as atualizações o mais rápido possível e sigam as boas práticas de configuração e administração do vSphere, bem como a desativação do serviço SLP no VMware ESXi, se não for, realmente, necessário, uma vez que foi identificado como o vetor inicial dos ataques. Seguem-se as instruções, de acordo com o que foi publicado pela VMware em:
Referências
http://packetstormsecurity.com/files/161590/VMware-vCenter-Server-7.0-Arbitrary-File-Upload.html
http://packetstormsecurity.com/files/163268/VMware-vCenter-6.5-6.7-7.0-Remote-Code-Execution.html
http://packetstormsecurity.com/files/162957/VMware-ESXi-OpenSLP-Heap-Overflow.html