Están escaneando la red en busca de servidores VMware vCenter vulnerables a una falla de ejecución remota de código de gravedad 9.8 que se corrigió a fines de mayo.

Los ciberdelincuentes están escaneando la red en busca de servidores VMware vCenter que aún no hayan instalado el parche del 25 de mayo que corrige una vulnerabilidad crítica de ejecución remota de código (RCE) que está siendo explotada por los atacantes. La vulnerabilidad (CVE-2021-21985), que recibió una puntuación de 9,8 sobre 10 en la escala de gravedad, es una consecuencia de la falta de validación requerida en el complemento vSphere Virtual San Health Check que está habilitado de forma predeterminada en vCenter e impacta Productos vCenter Sever y Cloud Foundation.

El descubrimiento de esta actividad fue la empresa Bad Packets, que publicó a través de su cuenta de Twitter el 3 de junio que detectó que se estaba realizando un escaneo masivo de la red en busca de hosts VMware vSphere vulnerables a esta falla. Por otro lado, el investigador Kevin Beaumont confirmado esta actividad.

Según un comunicado relacionado con esta falla publicado el 25 de mayo por la empresa VMware, la vulnerabilidad podría ser aprovechada por cualquier atacante que logre acceder a un vCenter Server desde la red para acceder.

Cabe destacar que pocos días después del lanzamiento del parche en mayo, se publicó una prueba de concepto (PoC) que demostró la posibilidad de explotar la vulnerabilidad en los servidores vCenter.

Un atacante podría aprovechar con éxito esta vulnerabilidad, que no requiere autenticación previa o interacción del usuario, y permite que un atacante tome el control completo de la red de una organización.

Según la herramienta Shodan, actualmente hay muchas organizaciones cuyos servidores vCenter están expuestos públicamente en Internet. Aunque la mayoría son de Estados Unidos, también son de América Latina.

En esta página de VMware que responde a las preguntas y respuestas más frecuentes sobre esta falla, la compañía explica que los grupos de ransomware han demostrado repetidamente que pueden comprometer las redes corporativas siendo pacientes y esperando una nueva vulnerabilidad que les permita acceder a una red. . Cabe señalar que el año pasado Grupos de ransomware aprovecharon una vulnerabilidad en VMware ESXi (CVE-2019-5544 y CVE-2020-3992) y que a principios de mayo continuó siendo explotado por estos grupos criminales..

LEAVE A REPLY

Please enter your comment!
Please enter your name here