Atacantes están explotando reciente vulnerabilidad crítica en VMware vCenter

Cibercriminales están escaneando la red en busca de servidores VMware vCenter que aún no han instalado el parche publicado el pasado 25 de mayo y que repara una vulnerabilidad crítica de ejecución remota de código (RCE) que está siendo explotada por atacantes. La vulnerabilidad (CVE-2021-21985), que recibió un puntaje de 9.8 sobre 10 en la escala de severidad, es consecuencia de la falta de necesidad de validación en el plugin Virtual San Health Check de vSphere que viene habilitado por defecto en vCenter e impacta a los productos vCenter Sever y Cloud Foundation.

Un atacante puede explotar satisfactoriamente esta vulnerabilidad, que no requiere autenticación previa ni interacción por parte del usuario, y permitir a un atacante tomar el control total de la red de una organización.

Según la herramienta Shodan, actualmente hay muchas organizaciones cuyos servidores vCenter están expuestos a Internet de manera pública. Si bien la mayoría son de Estados Unidos, también hay  de América Latina.

En esta página de VMware que responde preguntas y respuestas frecuentes sobre este fallo, la compañía explica que los grupos de ransomware han demostrado reiteradas veces que son capaces de comprometer redes corporativas siendo pacientes y a la espera de una nueva vulnerabilidad que les permita acceder a una red. Cabe destacar que el año pasado grupos de ransomware han explotado una vulnerabilidad en VMware ESXi (CVE-2019-5544 y CVE-2020-3992) y que a comienzos de mayo seguía siendo explotada por estos grupos criminales.

Regresar a Noticias
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.