Se ha estado detectado que diferentes actores de amenazas han comenzado a dirigir escaneos a servidores VMware vCenter expuestos a Internet sin parches contra una vulnerabilidad crítica que permite la subida arbitraria de archivos que finalmente deriva en ejecución remota de códido. El fallo de seguridad fue registrado como CVE-2021-22005 (cuya puntuación CVSS 3.0 es de 9.8/10) y afecta a las versiones de vCenter Server 6.7 y 7.0 con las configuraciones por defecto.
El fallo fue reportado por George Noseevich y Sergey Gerasimov de la empresa SolidLab LLC, quienes indican que un atacante no autentificado pueden explotar el fallo de manera remota.
Aunque el código de explotación aún no está disponible públicamente, la empresa de inteligencia de amenazas, Bad Packets, ya ha detectado la actividad de escaneos en curso, ya que algunos de sus honeypots de VMware registraron a los atacantes sondeando la presencia del fallo crítico apenas unas horas después de que VMware publicara las actualizaciones de seguridad.
Our VMware honeypots have already detected CVE-2021-22005 activity. Scans are based on the workaround test provided here: https://t.co/xs4XoYqHnGhttps://t.co/VNr44JuirF
— Bad Packets (@bad_packets) September 22, 2021
Según Shodan, más de 5.000 servidores VMware vCenter potencialmente vulnerables a CVE-2021-22005 se encuentran expuestos a Internet. También se identifican servidores en Brasil, Colombia, Perú, Argentina y Chile.
Distribución de servidores en el mundo.

Pero, esta no es la primera vez que los actores de amenazas han dirigido sus ataques a servidores VMware vCenter este año.
En febrero del presente año, los atacantes buscaron masivamente dispositivos vCenter sin parchear después de que los investigadores de seguridad publicaran el código de prueba de concepto (PoC) para otro fallo de seguridad crítico RCE (CVE-2021-21972) que afectaba a todas las instalaciones de vCenter por defecto.
Y en junio, se inició la búsqueda de servidores VMware vCenter expuestos a Internet que fueran vulnerables a los exploits RCE CVE-2021-21985 después de que se publicara en línea el código de explotación.
VMware ha liberado un Workaround para mitigar momentaneamente esta vulnerabilidad crítica. También han publicado un documento detallado de preguntas y respuestas sobre el fallo CVE-2021-22005.
Además de ello, se complementa la actualización con los parches para otras 18 vulnerabilidades que afectan al servicio de VMware vCenter.
CVE | Descripción | CVSSv3 |
---|---|---|
CVE-2021-22005 | vCenter Server file upload vulnerability | 9.8 |
CVE-2021-21991 | vCenter Server local privilege escalation vulnerability | 8.8 |
CVE-2021-22006 | vCenter Server reverse proxy bypass vulnerability | 8.3 |
CVE-2021-22011 | vCenter server unauthenticated API endpoint vulnerability | 8.1 |
CVE-2021-22015 | vCenter Server improper permission local privilege escalation vulnerabilities | 7.8 |
CVE-2021-22012 | vCenter Server unauthenticated API information disclosure vulnerability | 7.5 |
CVE-2021-22013 | vCenter Server file path traversal vulnerability | 7.5 |
CVE-2021-22016 | vCenter Server reflected XSS vulnerability | 7.5 |
CVE-2021-22017 | vCenter Server rhttpproxy bypass vulnerability | 7.3 |
CVE-2021-22014 | vCenter Server authenticated code execution vulnerability | 7.2 |
CVE-2021-22018 | vCenter Server file deletion vulnerability | 6.5 |
CVE-2021-21992 | vCenter Server XML parsing denial-of-service vulnerability | 6.5 |
CVE-2021-22007 | vCenter Server local information disclosure vulnerability | 5.5 |
CVE-2021-22019 | vCenter Server denial of service vulnerability | 5.3 |
CVE-2021-22009 | vCenter Server VAPI multiple denial of service vulnerabilities | 5.3 |
CVE-2021-22010 | vCenter Server VPXD denial of service vulnerability | 5.3 |
CVE-2021-22008 | vCenter Server information disclosure vulnerability | 5.3 |
CVE-2021-22020 | vCenter Server Analytics service denial-of-service Vulnerability | 5.0 |
CVE-2021-21993 | vCenter Server SSRF vulnerability | 4.3 |
Más información
https://core.vmware.com/vmsa-2021-0020-questions-answers-faq
https://kb.vmware.com/s/article/85717
https://www.vmware.com/security/advisories/VMSA-2021-0020.html

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.