Blog

Inician escaneos de servidores VMware vCenter vulnerables a CVE-2021-22005 (Arbitrary File Uplodad leading to RCE)

Se ha estado detectado que diferentes actores de amenazas han comenzado a dirigir escaneos a servidores VMware vCenter expuestos a Internet sin parches contra una vulnerabilidad crítica que permite la subida arbitraria de archivos que finalmente deriva en ejecución remota de códido. El fallo de seguridad fue registrado como CVE-2021-22005 (cuya puntuación CVSS 3.0 es de 9.8/10) y afecta a las versiones de vCenter Server 6.7 y 7.0 con las configuraciones por defecto.

El fallo fue reportado por George Noseevich y Sergey Gerasimov de la empresa SolidLab LLC, quienes indican que un atacante no autentificado pueden explotar el fallo de manera remota.

Aunque el código de explotación aún no está disponible públicamente, la empresa de inteligencia de amenazas, Bad Packets, ya ha detectado la actividad de escaneos en curso, ya que algunos de sus honeypots de VMware registraron a los atacantes sondeando la presencia del fallo crítico apenas unas horas después de que VMware publicara las actualizaciones de seguridad.

Según Shodan, más de 5.000 servidores VMware vCenter potencialmente vulnerables a CVE-2021-22005 se encuentran expuestos a Internet. También se identifican servidores en Brasil, Colombia, Perú, Argentina y Chile.

Distribución de servidores en el mundo.

Pero, esta no es la primera vez que los actores de amenazas han dirigido sus ataques a servidores VMware vCenter este año.

En febrero del presente año, los atacantes buscaron masivamente dispositivos vCenter sin parchear después de que los investigadores de seguridad publicaran el código de prueba de concepto (PoC) para otro fallo de seguridad crítico RCE (CVE-2021-21972) que afectaba a todas las instalaciones de vCenter por defecto.

Y en junio, se inició la búsqueda de servidores VMware vCenter expuestos a Internet que fueran vulnerables a los exploits RCE CVE-2021-21985 después de que se publicara en línea el código de explotación.

VMware ha liberado un Workaround para mitigar momentaneamente esta vulnerabilidad crítica. También han publicado un documento detallado de preguntas y respuestas sobre el fallo CVE-2021-22005.

Además de ello, se complementa la actualización con los parches para otras 18 vulnerabilidades que afectan al servicio de VMware vCenter.

CVEDescripciónCVSSv3
CVE-2021-22005vCenter Server file upload vulnerability9.8
CVE-2021-21991vCenter Server local privilege escalation vulnerability8.8
CVE-2021-22006vCenter Server reverse proxy bypass vulnerability8.3
CVE-2021-22011vCenter server unauthenticated API endpoint vulnerability8.1
CVE-2021-22015vCenter Server improper permission local privilege escalation vulnerabilities7.8
CVE-2021-22012vCenter Server unauthenticated API information disclosure vulnerability7.5
CVE-2021-22013vCenter Server file path traversal vulnerability7.5
CVE-2021-22016vCenter Server reflected XSS vulnerability7.5
CVE-2021-22017vCenter Server rhttpproxy bypass vulnerability7.3
CVE-2021-22014vCenter Server authenticated code execution vulnerability7.2
CVE-2021-22018vCenter Server file deletion vulnerability6.5
CVE-2021-21992vCenter Server XML parsing denial-of-service vulnerability6.5
CVE-2021-22007vCenter Server local information disclosure vulnerability5.5
CVE-2021-22019vCenter Server denial of service vulnerability5.3
CVE-2021-22009vCenter Server VAPI multiple denial of service vulnerabilities5.3
CVE-2021-22010vCenter Server VPXD denial of service vulnerability5.3
CVE-2021-22008vCenter Server information disclosure vulnerability5.3
CVE-2021-22020vCenter Server Analytics service denial-of-service Vulnerability5.0
CVE-2021-21993vCenter Server SSRF vulnerability4.3

Más información

https://core.vmware.com/vmsa-2021-0020-questions-answers-faq

https://kb.vmware.com/s/article/85717

https://www.vmware.com/security/advisories/VMSA-2021-0020.html

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required