Cibercriminales están escaneando la red en busca de servidores VMware vCenter que aún no han instalado el parche publicado el pasado 25 de mayo y que repara una vulnerabilidad crítica de ejecución remota de código (RCE) que está siendo explotada por atacantes. La vulnerabilidad (CVE-2021-21985), que recibió un puntaje de 9.8 sobre 10 en la escala de severidad, es consecuencia de la falta de necesidad de validación en el plugin Virtual San Health Check de vSphere que viene habilitado por defecto en vCenter e impacta a los productos vCenter Sever y Cloud Foundation.
El hallazgo de esta actividad fue de la compañía Bad Packets, quien publicó a través de su cuenta de Twitter el pasado 3 de junio que detectó que se estaba llevando adelante un escaneo masivo de la red en busca de hosts de VMware vSphere vulnerables a este fallo. Por otra parte, el investigador Kevin Beaumont confirmó esta actividad.
Mass scanning activity detected from 104.40.252.159 (🇳🇱) checking for VMware vSphere hosts vulnerable to remote code execution (CVE-2021-21985).
Vendor advisory: https://t.co/D0aWkbQMPT#threatintel
— Bad Packets (@bad_packets) June 3, 2021
Según un comunicado relacionado con este fallo publicado el 25 de mayo por la compañía VMware, la vulnerabilidad podría ser utilizada por cualquier atacante a que pueda alcanzar un servidor vCenter Server en la red para obtener acceso.
Vale la pena mencionar que unos días después de lanzado el parche en mayo se publicó una prueba de concepto (PoC) que demostraba la posibilidad de explotación de la vulnerabilidad en servidores vCenter.
Quick confirm that this is the real PoC of CVE-2021-21985 👍 pic.twitter.com/jsXKFf1lZZ
— Janggggg (@testanull) June 3, 2021
Un atacante puede explotar satisfactoriamente esta vulnerabilidad, que no requiere autenticación previa ni interacción por parte del usuario, y permitir a un atacante tomar el control total de la red de una organización.
Según la herramienta Shodan, actualmente hay muchas organizaciones cuyos servidores vCenter están expuestos a Internet de manera pública. Si bien la mayoría son de Estados Unidos, también hay de América Latina.
En esta página de VMware que responde preguntas y respuestas frecuentes sobre este fallo, la compañía explica que los grupos de ransomware han demostrado reiteradas veces que son capaces de comprometer redes corporativas siendo pacientes y a la espera de una nueva vulnerabilidad que les permita acceder a una red. Cabe destacar que el año pasado grupos de ransomware han explotado una vulnerabilidad en VMware ESXi (CVE-2019-5544 y CVE-2020-3992) y que a comienzos de mayo seguía siendo explotada por estos grupos criminales.