Duas vulnerabilidades de dia zero que, se exploradas por operadores de ameaças, podem desabilitar, interromper e destruir ambientes gerenciados do VMware vCenter em mais de 500 mil organizações em todo o mundo. A descoberta foi feita pela equipe do Pentera Labs, braço de pesquisa da Pentera, empresa especializada em validação de segurança automatizada (ASV).
As vulnerabilidades foram relatadas à VMware pelo pesquisador de segurança sênior Yuval Lazar e rastreadas como CVE-2022-22948 e CVE-2021-22015 com um patch. As vulnerabilidades descobertas exigem correção imediata para impedir que agentes mal-intencionados obtenham acesso remoto ao vCenter e causem danos generalizados às organizações.
Instalados em milhares de organizações em todo o mundo e gerenciando alguns de seus ativos e sistemas principais mais críticos, os VMware vCenter Servers são um alvo para cibercriminosos. Uma vez comprometido, a facilidade e a conveniência que o vCenter oferece para gerenciar hosts virtualizados em ambientes corporativos, pode ter impacto generalizado.
“Como parte de nosso trabalho diário, pesquisamos todas as superfícies de ataque de TI corporativas, incluindo a capacidade de exploração de ambientes de carga de trabalho virtual, como vCenter e ESXi, e descobrimos vulnerabilidades de dia zero”, disse Alex Spivakovsky, vice-presidente de pesquisa da Pentera, à Business Wire. “Estamos felizes por ter descoberto e divulgado imediatamente essas vulnerabilidades para fortalecer a comunidade de defensores e não vimos evidências de que atores maliciosos a exploraram neste momento.”
Veja isso
VMware alerta sobre ataques Log4J a servidores Horizon
Relatório da VMware mostra Linux em nuvem sob ameaça
As duas vulnerabilidades no vCenter da VMWare se combinadas em um único vetor de ataque permitem que agentes mal-intencionados assumam a infraestrutura de computação virtual ESXi de uma organização. No caso da CVE-2021-22015, o vCenter Server contém várias vulnerabilidades de escalonamento de privilégios devido a permissões inadequadas de arquivos e diretórios. Um usuário local autenticado com privilégio não administrativo pode explorar esses problemas para elevar seus privilégios de root no vCenter Server Appliance.
Já na CVE-2022-22948, o vCenter Server contém uma vulnerabilidade de divulgação de informações devido à permissão inadequada de arquivos. Um agente mal-intencionado com acesso não administrativo ao vCenter Server pode explorar esse problema para obter acesso a informações confidenciais.
O interesse da Pentera no vCenter da VMWare começou por causa de vulnerabilidades relatadas anteriormente, aumentando a demanda de clientes e ameaças observadas, principalmente relatórios recentes de uma variedade do ransomware Python visando o ESXi. A equipe da Pentera diz que continuará a identificar possíveis vulnerabilidades na plataforma que podem afetar os negócios globalmente.
Para corrigir a CVE-2022-22948, basta aplicar as atualizações listadas no site de consultoria da VMware: https://www.vmware.com/security/advisories/VMSA-2022-0009.html. Contudo, não há uma solução conhecida.