VMware insta a los clientes a parchear una vulnerabilidad crítica de ejecución de código remoto (RCE) en el complemento Virtual SAN Health Check que afecta a todas las implementaciones de vCenter Server.
“Estas actualizaciones corrigen una vulnerabilidad de seguridad crítica y debe considerarse de inmediato”, dijo Bob Plankers , arquitecto técnico de marketing de VMware.
“Esta vulnerabilidad puede ser utilizada por cualquier persona que pueda acceder a vCenter Server a través de la red para obtener acceso, independientemente de si usa vSAN o no”.
vCenter Server es una solución de administración de servidores que ayuda a los administradores de TI a administrar máquinas virtuales y hosts virtualizados dentro de entornos empresariales a través de una única consola.
En esta era de ransomware, es más seguro asumir que un atacante ya está dentro de la red en algún lugar, en un escritorio, y tal vez incluso en el control de una cuenta de usuario, por lo que recomendamos encarecidamente declarar un cambio de emergencia y parchear tan pronto como sea posible. posible . – VMware
Error crítico de RCE con una puntuación de gravedad casi perfecta
La vulnerabilidad reportada de forma privada calificada con una puntuación base CVSSv3 de 9.8 sobre 10 se rastrea como CVE-2021-21985 e impacta a vCenter Server 6.5, 6.7 y 7.0, según el aviso de seguridad de VMware .
Esta falla de seguridad fue reportada por Ricter Z de 360 Noah Lab, y puede ser explotada de forma remota por atacantes no autenticados en ataques de baja complejidad que no requieren la interacción del usuario.
“El cliente vSphere (HTML5) contiene una vulnerabilidad de ejecución remota de código debido a la falta de validación de entrada en el complemento Virtual SAN Health Check que está habilitado de forma predeterminada en vCenter Server”, explica VMware.
“Un actor malintencionado con acceso de red al puerto 443 puede aprovechar este problema para ejecutar comandos con privilegios ilimitados en el sistema operativo subyacente que aloja vCenter Server”.
Según VMware, el vulnerable “complemento Virtual SAN Health Check está habilitado de forma predeterminada en todas las implementaciones de vCenter Server , ya sea que se utilice o no vSAN”.
La compañía también parcheó hoy un problema del mecanismo de autenticación de gravedad media registrado como CVE-2021-21986 y que afecta a los complementos Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager y VMware Cloud Director Availability.
Orientación adicional y soluciones alternativas
VMware proporciona medidas alternativas diseñadas para eliminar el vector de ataque y la posibilidad de explotación configurando los complementos afectados como “incompatibles”.
“La desactivación de un complemento desde la interfaz de usuario no evita la explotación”, dice VMware. “Las siguientes acciones deben realizarse en los nodos activos y pasivos en entornos que ejecutan vCenter High Availability (VCHA)”.
Los pasos necesarios para deshabilitar los complementos de vCenter Server en dispositivos virtuales basados en Linux (vCSA) y las implementaciones de vCenter Server basadas en Windows configurándolos como incompatibles se pueden encontrar aquí .
La empresa también proporciona a los clientes las mejores prácticas de seguridad de referencia para vSphere en la Guía de configuración de seguridad de vSphere .
Aquí encontrará una sección de preguntas frecuentes detallada con preguntas y respuestas adicionales sobre esta vulnerabilidad crítica .
En febrero, VMware abordó un error crítico similar de RCE que afectaba a todas las implementaciones de vCenter Server que ejecutaban un complemento de vCenter Server vulnerable para vRealize Operations (vROps) presente en todas las instalaciones predeterminadas.