VMWARE ALERTA SOBRE FALHA CRÍTICA NO vCENTER SERVER

 

A VMware alerta os clientes a corrigir uma vulnerabilidade de Remote Code Execution (RCE) crítica no plug-in do Virtual SAN Health Check, afetando todas as implantações do vCenter Server.

"Essas atualizações corrigem uma vulnerabilidade crítica de segurança e precisam ser consideradas imediatamente", disse Bob Plankers, arquiteto de marketing técnico da VMware.

"Esta vulnerabilidade pode ser usada por qualquer pessoa que possa acessar o vCenter Server pela rede para obter acesso, independentemente de você usar ou não o vSAN."

O vCenter Server é uma solução de gerenciamento de servidor que ajuda os administradores de TI a gerenciar máquinas virtuais e hosts virtualizados em ambientes corporativos por meio de um único console.

Nesta era de ransomware, é mais seguro presumir que um invasor já está dentro da rede em algum lugar, em um desktop, e talvez até mesmo no controle de uma conta de usuário, razão pela qual recomendamos fortemente declarar uma mudança de emergência e aplicar patches assim que possível. - VMware

A vulnerabilidade relatada em particular com uma pontuação básica CVSSv3 de 9,8 em 10 está sendo notificada como CVE-2021-21985 e afeta o vCenter Server 6.5, 6.7 e 7.0, de acordo com o comunicado de segurança da VMware.

Essa falha de segurança foi relatada por Ricter Z da 360 Noah Lab e pode ser explorada remotamente por atacantes não autenticados em ataques de baixa complexidade que não requerem interação do usuário.

"O vSphere Client (HTML5) contém uma vulnerabilidade de execução remota de código devido à falta de validação de entrada no plug-in do Virtual SAN Health Check, que é habilitado por padrão no vCenter Server", explica VMware.

"Um agente malicioso com acesso de rede à porta 443 pode explorar esse problema para executar comandos com privilégios irrestritos no sistema operacional subjacente que hospeda o vCenter Server."

De acordo com a VMware, o vulnerável "plug-in Virtual SAN Health Check é habilitado por padrão em todas as implantações do vCenter Server, esteja ou não o vSAN sendo usado"

A empresa também corrigiu hoje um problema de mecanismo de autenticação de gravidade média notificada como CVE-2021-21986 e afetando o Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager e plug-ins de disponibilidade do VMware Cloud Director.

A VMware fornece medidas alternativas projetadas para remover o vetor de ataque e a possibilidade de exploração, definindo os plug-ins afetados como "incompatíveis".

"Desativar um plugin de dentro da interface do usuário não impede a exploração", diz VMware. "As ações a seguir devem ser executadas nos nós ativos e passivos em ambientes que executam o vCenter High Availability (VCHA)."

As etapas necessárias para desabilitar os plug-ins do vCenter Server nos dispositivos virtuais baseados em Linux (vCSA) e nas implantações do vCenter Server baseadas no Windows, configurando-os como incompatíveis, podem ser encontradas aqui.

A empresa também oferece aos clientes as melhores práticas de segurança básicas para o vSphere no vSphere Security Configuration Guide.