A VMware confirmou nesta quarta-feira, 29, a exploração ininterrupta de uma vulnerabilidade no vCenter Server. Pesquisadores de segurança alertam que um exploit funcional para a falha rastreada CVE-2021-22005 no software de gerenciamento de servidores foi disponibilizado publicamente e está sendo usado por operadores de ameaças.
Ao contrário da versão que começou a circular no final da semana passada, um código PoC (de prova de conceito) lançado na segunda-feira, 27, pelo engenheiro de segurança da Rapid7 William Vu, permite abrir um shell reverso em um sistema vulnerável, permitindo que atacantes remotos executem código arbitrário. A exploração funciona em terminais com o componente do Programa de Aperfeiçoamento da Experiência do Usuário (CEIP) habilitado.
A vulnerabilidade CVE-2021-22005 é uma falha de upload de arquivo arbitrário dentro do serviço Analytics do vCenter Server, que permite que um invasor remoto não autenticado carregue e execute um arquivo arbitrário no servidor e, assim, comprometa totalmente o sistema. O bug afeta o vCenter Server versões 6.5, 6.7 e 7.0.
Veja isso
Zerodium oferece US$ 100 mil para zero day de VCenter Server
Servidores VMware vCenter ainda expostos a ataques
Na sexta-feira da semana passada, 24, a VMware confirmou relatos de que a falha estava sendo explorada e vários pesquisadores de segurança relataram varredura em massa para servidores vCenter vulneráveis.
A VMware lançou o Security Advisory VMSA-2021-0020 para informações de patch e forneceu uma solução temporária para a vulnerabilidade para aqueles que não puderam atualizar para uma versão fixa imediatamente.
Em um comunicado na sexta-feira, 24, a Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA) também pediu que entidades de infraestrutura crítica e outras organizações com vCenter Servers afetados atualizem as máquinas imediatamente ou apliquem a solução temporária do VMware.