Vulnerabilidade crítica afeta todos os vCenter Servers

  • 26 de maio de 2021
  • Posted by: Alan Sanches
  • Category: Segurança Ofensiva
Nenhum comentário
VMware

Atenção para vulnerabilidade crítica que pode dar ao atacante Remote Code Execution (RCE)

Uma vulnerabilidade no plug-in do Virtual SAN Health Check de todos os vCenters Servers nas versões 6.5, 6.7 e 7.0 foi encontrada.  “As atualizações corrigem uma vulnerabilidade crítica de segurança e precisam ser consideradas imediatamente”, disse Bob Plankers, arquiteto de marketing técnico da VMware em nota publicada hoje.

O vCenter Server é uma solução de gerenciamento de servidor que ajuda os administradores de TI a gerenciar máquinas virtuais e hosts virtualizados em ambientes corporativos por meio de um único console.

Segundo ele, as informações estão num novo comunicado crítico de segurança, registrado como VMSA-2021-0010 (CVE-2021-21985 e CVE-2021-21986): “Isso requer sua atenção imediata se você estiver usando o vCenter Server (se você não recebeu um e-mail sobre isso, inscreva-se em nossa lista de mala direta de Avisos de Segurança ). Na maioria dos casos, um aviso de segurança é direto, mas às vezes há nuances que valem uma discussão extra. Esse é o caso aqui, e o objetivo desta postagem é ajudá-lo a decidir seu rumo a seguir”.

O VMSA descreve dois problemas que são resolvidos nesta versão de patch. Primeiro, há uma vulnerabilidade de execução remota de código no plug-in vSAN, que é fornecido como parte do vCenter Server. Essa vulnerabilidade pode ser usada por qualquer pessoa que possa acessar o vCenter Server pela rede para obter acesso, independentemente de você usar ou não o vSAN.

Em segundo lugar, foram feitas melhorias na estrutura do plug-in do vCenter Server para melhor aplicar a autenticação do plug-in. Isso afeta alguns plug-ins do VMware e também pode fazer com que alguns plug-ins de terceiros parem de funcionar. Os parceiros VMware foram notificados e estão trabalhando para testar seus plug-ins (a maioria continua a funcionar), mas pode haver um período após a atualização quando uma equipe de administração de virtualização pode precisar acessar backup, armazenamento ou outros sistemas por meio de suas respectivas interfaces de gerenciamento e não por meio da UI do vSphere Client.

Ações recomendadas pela eSecurity:

  • Ainda em modo gambiarra, orientação da própria VMWare:
    • Marque os plugins como “incompatíveis”. Desative o plugin de dentro da IU e então não será possível realizar exploração. (Tutorial em vídeo / Artigo Vmware)
  • Realize frequentemente testes de intrusão em seu ambiente.

 

Fonte: www.cisoadvisor.com.br / www.vmware.com



Author: Alan Sanches
é especialista em Segurança da Informação e possui mais de 22 anos de experiência na área de Infraestrutura de TI e Segurança Cibernética. Ministra treinamentos e palestras sobre Segurança Ofensiva, Defensiva, Ética Hacker e Técnicas de Intrusão nos maiores eventos de Tecnologia do Brasil como: Campus Party, LatinoWare, FLISOL, RoadSec, Hacking Day, FISL e Mind the Sec. É Tecnólogo em Redes de Computadores e possui 3 Pós-Graduações, em Inteligência Estratégica, Master Business Information Security e Neurociência & Comportamento Humano. Atualmente ministra treinamentos de Técnicas de Intrusão e Defesa Cibernética para a Polícia Civil do estado de São Paulo, treina equipes do Exército, Divisão de Inteligência da Marinha e ABIN. Possui as seguintes certificações: ISO 27002 / Microsoft MCSA / LPI-3 / Certified Ethical Hacker (CEH)