Los equipos de seguridad de VMware confirmaron que la vulnerabilidad en vCenter Server identificada como CVE-2021-22005 ya ha sido explotada en escenarios reales de forma encadenada con otros errores corregidos en la misma actualización en la que se abordó esta falla.
Hace unos días la compañía notificó a sus usuarios que las actualizaciones publicadas para vCenter Server abordaron un total de 19 errores, incluyendo la vulnerabilidad descrita como una carga de archivos arbitrarios cuya explotación podría conducir a la ejecución de código arbitrario en las implementaciones afectadas.
Apenas unas horas después, la firma de seguridad Bad Packets publicó un informe señalando la detección de actividad limitada relacionada con CVE-2021-22005. Finalmente, in investigador vietnamita identificado como Jang publicó detalles técnicos y un exploit de prueba de concepto (PoC) para esta vulnerabilidad.
Aunque tal como es ahora el exploit no puede ser utilizado para ataques en escenarios reales, los investigadores mencionan que sí puede ser utilizado para atacar servidores vCenter. El día que fue lanzado el exploit de PoC, Bad Packets informó que la actividad dirigida a la explotación de esta falla había incrementado notablemente.
En respuesta, VMware actualizó su alerta de seguridad para confirmar la detección de intentos de explotación en escenarios reales. La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) también emitió una alerta advirtiendo a las organizaciones sobre una posible campaña de explotación masiva.
Por otra parte, investigadores de la firma GreyNoise reportaron haber visto ataques involucrando a CVE-2021-22005 y CVE-2021-22017, otra falla de omisión de rhttpproxy de vCenter Server. Los dos errores fueron abordados en la más reciente actualización de VMware.
Actualmente existen miles de servidores vCenter expuestos en Internet, aunque el hallazgo de estas fallas también puede ser útil para los actores de amenazas que obtuvieron acceso previo a los objetivos afectados. Un reporte de Censys señala la detección de al menos 7,000 servidores potencialmente comprometidos por los ataques descritos en este artículo, por lo que es fundamental que los usuarios de implementaciones vulnerables instalen las actualizaciones de seguridad a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.