Cibercriminosos estão varrendo a rede em busca de servidores VMware vCenter que ainda não instalaram o patch lançado no último dia 25 de maio, que corrige uma vulnerabilidade crítica de execução remota de código (RCE) que está sendo explorada por invasores. A vulnerabilidade (CVE-2021-21985), que recebeu uma pontuação de 9,8 de 10 na escala de gravidade, é uma consequência da falta de necessidade de validação no plug-in Virtual San Health Check da vSphere que vem habilitado por padrão no vCenter e impacta os produtos vCenter Sever e Cloud Foundation.
A descoberta desta atividade foi da empresa Bad Packets, que publicou através de sua conta no Twitter no último dia 3 de junho que detectou que estava sendo realizada uma varredura massiva de rede em busca de hosts do VMware vSphere vulneráveis a essa falha. Por outro lado, o pesquisador Kevin Beaumont confirmou essa atividade.
Mass scanning activity detected from 104.40.252.159 (🇳🇱) checking for VMware vSphere hosts vulnerable to remote code execution (CVE-2021-21985).
Vendor advisory: https://t.co/D0aWkbQMPT#threatintel
— Bad Packets (@bad_packets) June 3, 2021
De acordo com um comunicado relacionado a essa falha publicada em 25 de maio pela empresa VMware, a vulnerabilidade pode ser usada por qualquer invasor que consiga acessar um servidor vCenter na rede para obter acesso.
Vale ressaltar que poucos dias após o lançamento do patch em maio, foi publicada uma prova de conceito (PoC) que demonstrou a possibilidade de exploração da vulnerabilidade em servidores vCenter.
Quick confirm that this is the real PoC of CVE-2021-21985 👍 pic.twitter.com/jsXKFf1lZZ
— Janggggg (@testanull) June 3, 2021
Um invasor pode explorar com êxito essa vulnerabilidade, que não requer autenticação prévia ou interação do usuário, e permite que um cibercriminoso assuma o controle total da rede de uma organização.
De acordo com a ferramenta Shodan, existem atualmente muitas organizações cujos servidores vCenter estão expostos publicamente na internet. Embora a maioria seja dos Estados Unidos, também existem servidores da América Latina.
Nesta página da VMware, que responde às perguntas frequentes sobre essa falha, a empresa explica que grupos de ransomware têm mostrado repetidamente que são capazes de comprometer redes corporativas sendo pacientes e esperando por uma nova vulnerabilidade que lhes permita acessar uma rede. Deve-se notar que no ano passado grupos de ransomware exploraram uma vulnerabilidade no VMware ESXi (CVE-2019-5544 e CVE-2020-3992) e que no início de maio deste ano ainda estava sendo explorada por esses grupos criminosos.
