Cibercriminosos estão explorando vulnerabilidade crítica no VMware vCenter

Invasores estão varrendo a rede em busca de servidores VMware vCenter vulneráveis a uma falha de execução remota de código de gravidade 9,8 que foi corrigida no fim de maio.

Invasores estão varrendo a rede em busca de servidores VMware vCenter vulneráveis a uma falha de execução remota de código de gravidade 9,8 que foi corrigida no fim de maio.

Cibercriminosos estão varrendo a rede em busca de servidores VMware vCenter que ainda não instalaram o patch lançado no último dia 25 de maio, que corrige uma vulnerabilidade crítica de execução remota de código (RCE) que está sendo explorada por invasores. A vulnerabilidade (CVE-2021-21985), que recebeu uma pontuação de 9,8 de 10 na escala de gravidade, é uma consequência da falta de necessidade de validação no plug-in Virtual San Health Check da vSphere que vem habilitado por padrão no vCenter e impacta os produtos vCenter Sever e Cloud Foundation.

A descoberta desta atividade foi da empresa Bad Packets, que publicou através de sua conta no Twitter no último dia 3 de junho que detectou que estava sendo realizada uma varredura massiva de rede em busca de hosts do VMware vSphere vulneráveis ​​a essa falha. Por outro lado, o pesquisador Kevin Beaumont confirmou essa atividade.

De acordo com um comunicado relacionado a essa falha publicada em 25 de maio pela empresa VMware, a vulnerabilidade pode ser usada por qualquer invasor que consiga acessar um servidor vCenter na rede para obter acesso.

Vale ressaltar que poucos dias após o lançamento do patch em maio, foi publicada uma prova de conceito (PoC) que demonstrou a possibilidade de exploração da vulnerabilidade em servidores vCenter.

Um invasor pode explorar com êxito essa vulnerabilidade, que não requer autenticação prévia ou interação do usuário, e permite que um cibercriminoso assuma o controle total da rede de uma organização.

De acordo com a ferramenta Shodan, existem atualmente muitas organizações cujos servidores vCenter estão expostos publicamente na internet. Embora a maioria seja dos Estados Unidos, também existem servidores da América Latina.

Nesta página da VMware, que responde às perguntas frequentes sobre essa falha, a empresa explica que grupos de ransomware têm mostrado repetidamente que são capazes de comprometer redes corporativas sendo pacientes e esperando por uma nova vulnerabilidade que lhes permita acessar uma rede. Deve-se notar que no ano passado grupos de ransomware exploraram uma vulnerabilidade no VMware ESXi (CVE-2019-5544 e CVE-2020-3992) e que no início de maio deste ano ainda estava sendo explorada por esses grupos criminosos.

Newsletter

Discussão