A VMWare publicou ontem um patch de segurança urgente para uma falha em seu produto vCenter Server. A empresa acrescentou no alerta a informação de que os usuários devem esperar que atores de ameaças criem e compartilhem código de exploração minutos após a divulgação do patch. A empresa publicou também uma FAQ detalhada sobre o assunto.
No total, o pacote de patches da VMware documenta pelo menos 19 vulnerabilidades de segurança que afetam os produtos VMware vCenter Server e VMware Cloud Foundation. Essas falhas variam em gravidade e podem expor os usuários a ataques de escalonamento de privilégios e divulgação de informações.
“O tempo é essencial”, disse a VMWare no comunicado, chamando a atenção para o CVE-2021-22005, um bug de upload de arquivo no serviço vCenter Server Analytics. “As ramificações desta vulnerabilidade são sérias e é uma questão de tempo – provavelmente minutos após a divulgação – antes que exploits funcionais estejam disponíveis publicamente”.
Em outras palavras, atores de ameaças – incluindo APTs – iriam começar a explorar a vulnerabilidade imediatamente. A empresa indicou uma pontuação básica CVSSv3 de 9,8 para ressaltar a gravidade da vulnerabilidade.
Veja isso
Zerodium oferece US$ 100 mil para zero day de VCenter Server
Servidores VMware vCenter ainda expostos a ataques
A empresa admite que um agente com acesso à rede na porta 443 pode explorar esse problema para executar o código no vCenter Server, enviando um arquivo criado especialmente para isso. A VMWare já avisou antes que esse tipo de falha de segurança é perfeito para agentes de ransomware: “Com a ameaça de ransomware se aproximando hoje em dia, a postura mais segura é presumir que um invasor já pode ter o controle de um desktop e de uma conta de usuário por meio do uso de técnicas como phishing ou spear-phishing e agir de acordo. Isso significa que o invasor já pode acessar o vCenter Server de dentro de um firewall corporativo, e o tempo é essencial”.
A empresa recomenda aos clientes que priorizem os problemas de escalonamento de privilégios por causa de seu valor para gangues de ransomware.
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
https://core.vmware.com/vmsa-2021-0020-questions-answers-faq#section1
Com agências de notícias internacionais