Vulnerabilidade crítica de execução remota de código (RCE) no servidor corrigida em outubro do ano passado está agora sob exploração ativa.
A VMware confirmou que uma vulnerabilidade crítica de execução remota de código (RCE) no vCenter Server corrigida em outubro do ano passado está agora sob exploração ativa. O vCenter Server é uma plataforma de gerenciamento para ambientes VMware vSphere que ajuda os administradores a gerenciar servidores ESX e ESXi e máquinas virtuais (VMs).
“A VMware confirmou que a exploração do CVE-2023-34048”, disse a empresa em uma atualização adicionada ao comunicado original na semana passada. A vulnerabilidade foi relatada pelo pesquisador de vulnerabilidades da Trend Micro, Grigory Dorodnov, e é causada por uma falha de gravação fora dos limites na implementação do protocolo DCE/RPC do vCenter.
Os invasores podem explorá-la remotamente em ataques de baixa complexidade com alto impacto em confidencialidade, integridade e disponibilidade que não exigem autenticação ou interação do usuário. Devido à sua natureza crítica, a VMware também emitiu patches de segurança para vários produtos em fim de vida sem suporte ativo.
Os brokers (corretores) de acesso à rede costumam assumir o controle de servidores VMware e depois vendê-los em fóruns de crimes cibernéticos para gangues de ransomware para facilitar o acesso às redes corporativas. Muitos grupos de ransomware, como Royal, Black Basta, LockBit e, mais recentemente, RTM, Locker, Qilin, ESXiArgs, Monti e Akira, são conhecidos por atacar servidores VMware ESXi para roubar e criptografar arquivos das vítimas e exigir enormes quantias em pagamento de resgates.
De acordo com dados da Shodan, mecanismo de busca que permite aos usuários pesquisar vários tipos de servidores conectados à internet, mais de 2 mil servidores VMware Center estão atualmente expostos online, potencialmente vulneráveis a ataques e expondo redes corporativas a riscos de violação, dada a sua função de gerenciamento do vSphere.
Como não há solução alternativa, a VMware pediu aos administradores que não conseguem corrigir seus servidores que controlem estritamente o acesso do perímetro da rede aos componentes de gerenciamento do vSphere. “A VMware recomenda fortemente o controle estrito de acesso ao perímetro de rede para todos os componentes e interfaces de gerenciamento no vSphere e componentes relacionados, como armazenamento e componentes de rede, como parte de uma postura de segurança global eficaz”, alertou a empresa.
As portas de rede específicas ligadas à potencial exploração em ataques direcionados a esta vulnerabilidade são 2012/tcp, 2014/tcp e 2020/tcp.
Para mais informações sobre a vulnerabilidade crítica, em inglês, que afeta os servidores ESX e ESXi e máquinas virtuais, bem como as orientações para mitigá-la, clique aqui.