Ciberdelincuentes están explotando esta vulnerabilidad crítica en VMware vCenter
El código de explotación que podría usarse para la ejecución remota de código en VMware vCenter Server vulnerable a la vulnerabilidad crítica CVE-2021-22005 se lanzó recientemente y los atacantes ya lo están usando.
Esta vulnerabilidad fue relevada públicamente a principios de esta semana cuando VMware también la abordó. La vulnerabilidad tiene una calificación de gravedad crítica de 9.8 y una fuerte recomendación para instalar el parche disponible.
Los ataques han comenzado
La vulnerabilidad afecta a las máquinas que ejecutan las versiones 6.7 y 7.0 de vCenter Server. Dada la gravedad del problema, VMware insta a los administradores a actuar de inmediato. Se debe actuar bajo el supuesto de que un adversario ya está en la red, listo para aprovecharse.
Los servidores vCenter expuestos actualmente están siendo atacados desde varios países a través de múltiples puertos, tal como la compañía de inteligencia de amenazas Bad Packets lo reportó recientemente. VMware confirmó esto en una actualización de su aviso de seguridad para CVE-2021-22005, una vulnerabilidad de carga de archivos arbitraria:
“VMware ha confirmado reportes de que CVE-2021-22005 está siendo explotada en el entorno”
Los datos registrados por Bad Packets muestran que los ataques comenzaron a afectar honeypots de VMware a las 16:21 (GMT). Estos se originaron en Canadá, Estados Unidos, Rumania, los Países Bajos, China y Singapur.
Las señales de estos ataques se vieron poco después de que VMware revelara el problema de seguridad y lanzara un parche. Solo unas horas después, Bad Packets vio actividad de escaneo dirigida a CVE-2021-22005.
Uso del exploit
Troy Mursch, director de investigación de Bad Packets dijo que los ataques que vio contra los honeypots de la compañía usaban código basado en un exploit incompleto publicado el viernes por el investigador de seguridad vietnamita Jang.
Jang publicó notas técnicas para CVE-2021-22005 basadas en la solución alternativa y el parche de VMware. Los detalles son suficientes para que los desarrolladores experimentados creen un exploit funcional que permita la ejecución remota de código con privilegios de root, dijo el investigador.
Al final de la publicación, Jang también proporcionó un enlace a su versión PoC para CVE-2021-22005. Sin embargo, no es una variante completamente funcional, intencionalmente para evitar que los actores de amenazas menos hábiles la utilicen en ataques directamente.
El investigador nos dijo que en su forma actual el código no hace daño. Esto porque le falta la parte importante que conduce a la ejecución remota del código.
Un adversario tendría que hacer un esfuerzo para convertirlo en un exploit completo, pero debería poder crear un exploit que sea 100% confiable.
El hacker ético Nicolas Krassas probó el código y confirmó que necesita algunas modificaciones para funcionar correctamente. Pero sí demuestra que CVE-2021-22005 se puede utilizar para crear una puerta trasera en un sistema vulnerable.
Los ataques eran inminentes
Jang construyó un exploit completamente funcional y lo probó en un entorno controlado. Dijo que funciona bien, obteniendo la ejecución remota de código antes de que la detección pueda descubrirlo.
Actualmente, los motores de búsqueda de dispositivos conectados a Internet muestran miles de instancias de VMware vCenter Server expuestas a la Internet pública. Shodan muestra más de 5,000 máquinas, mientras que una búsqueda aproximada en Censys muestra alrededor de 6,800.
Sin embargo, no todos los servidores son vulnerables a CVE-2021-22005. Censys señala que 3264 de estos hosts conectados a Internet son “potencialmente vulnerables” y 436 están parcheados.
Aun así, el número de objetivos potenciales es bastante alto y, dado el interés inicial de los actores de amenazas en buscar máquinas vulnerables, es fácil concluir que los ataques eran inminentes.
Hablando sobre su exploit incompleto, Jang dice que un atacante con habilidades promedio necesitaría alrededor de una hora para construir una versión confiable y funcional. Él recomienda encarecidamente a los administradores que parcheen sus sistemas para defenderse de los ataques que aprovechan CVE-2021-22005.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) insta a las organizaciones de infraestructura crítica con implementaciones de vCenter vulnerables a aplicar las actualizaciones o la solución temporal de VMware.
Una publicación de Censys explica que un exploit de ejecución remota de código no es difícil de crear en base a los detalles técnicos ya revelados públicamente:
“El exploit basado en cURL en la publicación no demuestra la ejecución directa de código. Sin embargo, un lector experto puede usar la información de esta publicación para lograr este objetivo con algún conocimiento del sistema operativo Linux. Censys ha decidido publicar este detalle, dado queeEl escaneo oportunista ya se está llevando a cabo. Y, la solución alternativa de VMware menciona el punto final vulnerable específico”.