Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad crítica en VMware vCenter Server, la interfaz de administración para entornos vSphere que está siendo explotada en escenarios reales. La vulnerabilidad, identificada como CVE-2021-21986 ya ha sido corregida, aunque ya se habían detectado intentos de explotación antes del lanzamiento de las correcciones.
La compañía especifica que esta falla afecta al plugin Virtual SAN Health Check de vSphere Client, habilitado de forma predeterminada en vCenter Server. Los actores de amenazas con acceso al puerto 442 pueden abusar de la falla para ejecutar comandos privilegiados en el sistema operativo que aloja vCenter Server.
Por otra parte, un investigador chino conocido como “iswin” publicó un exploit de prueba de concepto (PoC) a inicios de junio, apenas unas horas después de que un reporte de Bad Packets detectara múltiples indicios de actividad maliciosa vinculada a CVE-2021-21985. El investigador de seguridad Kevin Beaumont también reportó que uno de sus honeypots fue hackeado mediante el abuso de esta falla de seguridad.
El investigador Nguyen Jang también publicó una prueba de concepto, además de algunos detalles técnicos para mostrar el proceso de explotación. Cabe señalar que existen miles de implementaciones vCenter Server expuestas.
Beaumont advierte sobre los riesgos de mantener estas implementaciones expuestas: “Lo más recomendable es no conectar vCenter directamente a Internet, especialmente la versión preinstalada en el dispositivo, ya que permitiría la instalación de un backdoor.” La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) también emitió una alerta de seguridad advirtiendo a las organizaciones que usan la implementación afectada con el fin de completar la instalación de las actualizaciones correspondientes.
Esta no es la primera vez que los hackers maliciosos explotan una vulnerabilidad de vCenter Server poco después de que su actualización. A principios de este año, el análisis de los sistemas afectados por CVE-2021-21972 comenzó un día después de que se publicaron las correcciones.
Hace unos días, Cisco Talos informó la semana pasada que un malware identificado como Necro ha estado explotando la falla CVE-2021-21972 desde inicios de mayo. Necro es un malware diseñado para ataques de denegación de servicio, exfiltración de tráfico de red y cryptojacking.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.