Especialistas reportan que, actualmente, existen casi 7 mil servidores VMware vCenter vulnerables a múltiples variantes de hacking expuestos en línea. Los expertos de Bad Packets mencionan que esto permitiría a los actores de amenazas tomar control completo de dispositivos sin parchear, lo que pondría en riesgo redes informáticas completas.
Los especialistas comenzaron una campaña de escaneo después de que un investigador con sede en China publicara una prueba de concepto para la explotación de una falla identificada como CVE-2021-21972, que afecta a vSphere Client, un plugin de VMware vCenter.
Hace unos meses se publicó un reporte sobre un actor de amenazas apuntando contra la interfaz HTTP del plugin con la intención de ejecutar código maliciosos con privilegios de administrador y sin necesidad de autenticación. La falla fue considerada crítica y fue notificada inmediatamente a VMware, que lanzó los parches correspondientes esta semana. Este es un software muy popular en miles de organizaciones, por lo que el reporte no tiene un alcance menor.
Si bien esta es una falla que debía ser reportada, la publicación de esta prueba de concepto se produjo dentro del periodo de gracia otorgado a VMware para corregir los errores. Por si fuera poco, el exploit para este error también es una solicitud cURL de una línea, lo que facilita incluso a los actores de amenazas poco calificados automatizar los ataques.
Un análisis de Shodan demuestra que más de 6 mil 700 servidores VMware vCenter están actualmente conectados a Internet. Ahora mismo todos estos sistemas son vulnerables a múltiples ataques en caso de que los administradores no instalaran las correcciones para CVE-2021-21972. VMware se ha tomado este error muy en serio y le ha asignado una puntuación de gravedad de 9.8/10 en la escala del Common Vulnerability Scoring System (CVSS).
Debido al papel fundamental que desempeñan los servidores VMware vCenter en las redes empresariales, un riesgo potencial sobre este dispositivo podría permitir a los atacantes acceder a cualquier sistema que esté conectado o administrado a través del servidor central.
Estos son los tipos de dispositivos que a los actores de amenazas siempre están buscando comprometer y luego vender en foros de hacking a grupos de ransomware, que luego cifran los archivos de las víctimas y exigen enormes sumas como rescates. Además, las bandas de ransomware como Darkside y RansomExx ya comenzaron a perseguir los sistemas VMware el año pasado, lo que demuestra cuán eficaz puede ser la focalización en estas redes empresariales basadas en VM.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.