Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m

Bugs no VMware vCenter expõem mais de 500 mil empresas

Combinação de duas vulnerabilidades de dia zero pode resultar no controle remoto de ambientes gerenciados ESXi críticos
Da Redação
31/03/2022

Duas vulnerabilidades de dia zero que, se exploradas por operadores de ameaças, podem desabilitar, interromper e destruir ambientes gerenciados do VMware vCenter em mais de 500 mil organizações em todo o mundo. A descoberta foi feita pela equipe do Pentera Labs, braço de pesquisa da Pentera, empresa especializada em validação de segurança automatizada (ASV).

As vulnerabilidades foram relatadas à VMware pelo pesquisador de segurança sênior Yuval Lazar e rastreadas como CVE-2022-22948 e CVE-2021-22015 com um patch. As vulnerabilidades descobertas exigem correção imediata para impedir que agentes mal-intencionados obtenham acesso remoto ao vCenter e causem danos generalizados às organizações.

Instalados em milhares de organizações em todo o mundo e gerenciando alguns de seus ativos e sistemas principais mais críticos, os VMware vCenter Servers são um alvo para cibercriminosos. Uma vez comprometido, a facilidade e a conveniência que o vCenter oferece para gerenciar hosts virtualizados em ambientes corporativos, pode ter impacto generalizado.

“Como parte de nosso trabalho diário, pesquisamos todas as superfícies de ataque de TI corporativas, incluindo a capacidade de exploração de ambientes de carga de trabalho virtual, como vCenter e ESXi, e descobrimos vulnerabilidades de dia zero”, disse Alex Spivakovsky, vice-presidente de pesquisa da Pentera, à Business Wire. “Estamos felizes por ter descoberto e divulgado imediatamente essas vulnerabilidades para fortalecer a comunidade de defensores e não vimos evidências de que atores maliciosos a exploraram neste momento.”

Veja isso
VMware alerta sobre ataques Log4J a servidores Horizon
Relatório da VMware mostra Linux em nuvem sob ameaça

As duas vulnerabilidades no vCenter da VMWare se combinadas em um único vetor de ataque permitem que agentes mal-intencionados assumam a infraestrutura de computação virtual ESXi de uma organização. No caso da CVE-2021-22015, o vCenter Server contém várias vulnerabilidades de escalonamento de privilégios devido a permissões inadequadas de arquivos e diretórios. Um usuário local autenticado com privilégio não administrativo pode explorar esses problemas para elevar seus privilégios de root no vCenter Server Appliance.

Já na CVE-2022-22948, o vCenter Server contém uma vulnerabilidade de divulgação de informações devido à permissão inadequada de arquivos. Um agente mal-intencionado com acesso não administrativo ao vCenter Server pode explorar esse problema para obter acesso a informações confidenciais.

O interesse da Pentera no vCenter da VMWare começou por causa de vulnerabilidades relatadas anteriormente, aumentando a demanda de clientes e ameaças observadas, principalmente relatórios recentes de uma variedade do ransomware Python visando o ESXi. A equipe da Pentera diz que continuará a identificar possíveis vulnerabilidades na plataforma que podem afetar os negócios globalmente.

Para corrigir a CVE-2022-22948, basta aplicar as atualizações listadas no site de consultoria da VMware: https://www.vmware.com/security/advisories/VMSA-2022-0009.html. Contudo, não há uma solução conhecida.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)