Milhares de máquinas VMware vCenter Server com duas vulnerabilidades recentemente divulgadas permanecem acessíveis na internet três semanas após a empresa ter orientado as organizações a corrigirem as falhas, alertando para sua gravidade.
As falhas, referenciadas como CVE-2021-21985 e CVE-2021-21986, permitem que invasores assumam o controle total dos sistemas que executam o vCenter Server, um utilitário para gerenciamento centralizado de ambientes de servidor virtual VMware vSphere. As vulnerabilidades existem nas versões do vCenter Server 6.5, 6.7 e 7.0.
A VMware lançou patches que tratam das vulnerabilidades em 25 de maio. Na época, a empresa instou as organizações com as versões afetadas do software a aplicarem os patches rapidamente devido ao alto nível de risco das falhas apresentadas à segurança corporativa. “A decisão de como proceder depende de você”, havia anotado a empresa. “No entanto, dada a gravidade, recomendamos fortemente que você aja.”
Ainda assim, três semanas após esse anúncio — e um aviso subsequente de atividade de exploração da Agência de Segurança de Infraestrutura e Cibersegurança do Departamento de Segurança Interna (CISA) dos EUA — muitas instâncias vulneráveis do vCenter Server permanecem sem patch e abertas a ataques, de acordo com a Trustwave. A empresa recentemente conduziu uma pesquisa no Shodan (mecanismo de busca que permite encontrar tipos específicos de computadores conectados à internet) para ver quantas instâncias vulneráveis do utilitário ela poderia encontrar que ainda estavam acessíveis pela internet.
A pesquisa revelou um total de 5.271 instâncias do VMware vCenter Server expostas publicamente na internet. Deste total, 4.019 foram confirmados como vulneráveis às duas ameaças que a VMware identificou no mês passado. Outros 942 hosts estavam executando versões antigas e em fim de vida útil do servidor vCenter, disse a Trustwave em um relatório esta semana.
Karl Sigler, gerente sênior de pesquisa de segurança da Trustwave SpiderLabs, diz que essas instâncias são provavelmente afetadas pelas duas falhas também e não corrigidas porque não há patches disponíveis para esses sistemas. “As vulnerabilidades são críticas e podem resultar em controle completo do sistema por meio da exploração remota de código”, disse ele ao site ITPro Today.
As falhas também são relativamente fáceis de explorar por qualquer invasor, mesmo com uma compreensão rudimentar de HTTP e as chamadas interfaces de programação de aplicativos REST. “Um invasor nem precisaria de ferramentas ou software especializados, já que um ataque inteiro pode ser executado com ferramentas padrão como ‘curl’”, disse Sigler.
Veja isso
Malware abre caminho para invadir servidores VMware expostos
VMware corrige falha grave em software de segurança de data center
O vCenter Server da VMware foi projetado para fornecer às organizações uma maneira de gerenciar de maneira centralizada os ambientes vSphere em plataformas de nuvem híbrida. De acordo com a empresa, uma das vulnerabilidades de execução remota de código existe em um plug-in de rede de área de armazenamento virtual (vSAN) que acompanha o vCenter Server. A falha fornece a qualquer invasor que possa acessar o vCenter Server pela Internet obter acesso a ele, independentemente de a organização usar ou não o vSAN. O segundo problema envolve um mecanismo que foi introduzido para fortalecer a autenticação do plug-in.
Medidas de mitigação
Ao lançar patches para os dois problemas, a VMware também descreveu medidas de mitigação para organizações que não podiam aplicá-las imediatamente por qualquer motivo. A empresa identificou as organizações que estão atualizando para o vSphere 7 como estando entre aquelas que provavelmente teriam que fazer uma escolha entre patching ou solução alternativa por causa de como os patches afetariam a atualização.
A VMware também fez questão de observar que a aplicação dos patches afetaria apenas a capacidade de gerenciar as cargas de trabalho e não a disponibilidade da carga de trabalho em si. “Este é um ponto importante a ser transmitido aos gerentes de mudança, pois eles podem não entender que as cargas de trabalho continuarão funcionando”, disse a empresa em seu comunicado no mês passado.
Sigler afirma que a complexidade e a dificuldade associadas à correção nesses ambientes é provavelmente um dos motivos pelos quais tantos vCenter Servers afetados permanecem sem correção. “Para sistemas de produção usados por várias equipes, você precisa coordenar com essas equipes o tempo de inatividade esperado”, observa ele. “Muitas vezes, os patches precisam ser testados em ambientes de laboratório antes de serem enviados aos sistemas de produção para verificar se o patch não causará mais problemas do que resolve.”
A Trustwave diz que até agora não observou nenhuma evidência de vulnerabilidades sendo exploradas. Mas, dado o número de sistemas expostos e a facilidade de exploração, é provável que haja muitas atividades de exploração em breve, alerta. “Os administradores devem corrigir o mais rápido possível.”