Miles de servidores VMware en riesgo debido a importante vulnerabilidad
Actualmente, más de 6,700 servidores VMware vCenter están expuestos en línea y son vulnerables a un nuevo ataque. El ataque puede permitir que los ciberdelincuentes tomen el control de los dispositivos sin parches y de las redes completas de las empresas.
Actualmente se están realizando escaneos para dispositivos VMware vCenter, según la firma de inteligencia de amenazas Bad Packets.
Esta vulnerabilidad afecta a vSphere Client (HTML5), un complemento de VMware vCenter. Este es un tipo de servidor generalmente implementado dentro de grandes redes empresariales como una utilidad de administración centralizada. A través de esta herramienta el personal de informática administra los productos de VMware instalados en estaciones de trabajo locales.
El año pasado, la firma de seguridad Positive Technologies descubrió que un atacante podría apuntar a la interfaz HTTPS de este complemento de vCenter. Asimismo, la firma reveló que el atacante podría ejecutar código malicioso con privilegios elevados en el dispositivo sin tener que autenticarse.
Debido a la función central de un servidor vCenter dentro de las redes corporativas, el problema se clasificó como altamente crítico. El problema fue reportado de forma privada a VMware y la empresa lanzó los parches oficiales el 23 de febrero de 2021.
Debido a la gran cantidad de empresas que ejecutan el software vCenter en sus redes, Positive Technologies no quería revelar detalles. La firma inicialmente planeó mantener en secreto los detalles sobre este hasta que los administradores de sistemas tuvieran tiempo suficiente para probar y aplicar el parche.
Prueba de concepto
Sin embargo, un código de prueba de concepto publicado por un investigador chino obligó a aplicar el parche. Esto también inició un escaneo masivo gratuito para todos los sistemas vCenter vulnerables conectados en línea.
Para empeorar las cosas, el exploit para esta vulnerabilidad también es una solicitud cURL de una línea. Esto facilita incluso a los actores de amenazas poco calificados automatizar los ataques
Según una consulta de Shodan, más de 6,700 servidores VMware vCenter están actualmente conectados a Internet. Todos estos sistemas ahora son vulnerables a este ataque sino aplican el parche.
VMware se ha tomado la vulnerabilidad muy en serio y le ha asignado una puntuación de gravedad de 9,8 de un máximo de 10. VMware insta a los clientes a actualizar sus sistemas lo antes posible.
Debido al papel fundamental que desempeñan los servidores VMware vCenter en las redes empresariales, un compromiso de este dispositivo daría control total a un atacante.
Estos son los tipos de dispositivos que a los ciberdelincuentes les gusta comprometer y luego vender en foros de ciberdelincuencia a grupos de ransomware.
Positive Technologies ha publicado un informe técnico detallado para que los administradores de sistemas puedan aprender cómo funciona el exploit y defenderse.