VMware confirma falha no vCenter explorada em ataques
22 de Janeiro de 2024

A VMware confirmou que uma vulnerabilidade crítica de execução remota de código (RCE) no vCenter Server, corrigida em outubro do ano passado, está agora sendo explorada ativamente.

O vCenter Server é uma plataforma de gerenciamento para ambientes VMware vSphere que auxilia os administradores a gerenciar servidores ESX e ESXi e máquinas virtuais (VMs).

"A VMware confirmou que o CVE-2023-34048 está sendo explorado", disse a empresa em uma atualização adicionada ao comunicado inicial na última semana.

A vulnerabilidade foi reportada pelo pesquisador de vulnerabilidades da Trend Micro, Grigory Dorodnov, e é provocada por uma falha de gravação fora dos limites na implementação do protocolo DCE/RPC do vCenter.

Os invasores podem explorar essa falha remotamente em ataques de baixa complexidade com alto impacto na confidencialidade, integridade e disponibilidade, que não exigem autenticação ou interação do usuário.

Devido à sua natureza crítica, a VMware também lançou patches de segurança para vários produtos no final do ciclo de vida sem suporte ativo.

Os corretores de acesso à rede geralmente assumem o controle de servidores VMware e depois vendem-nos em fóruns de crimes cibernéticos para grupos de ransomware facilitarem o acesso às redes corporativas.

Muitos grupos de ransomware, como Royal, Black Basta, LockBit e, mais recentemente, RTM, Locker, Qilin, ESXiArgs, Monti e Akira, são conhecidos por atacar servidores VMware ESXi para roubar e criptografar arquivos das vítimas e exigir grandes quantias em resgate.

De acordo com dados do Shodan, um motor de busca que permite aos usuários pesquisar diversos tipos de servidores conectados à internet, mais de 2 mil servidores VMware Center estão atualmente expostos online, potencialmente vulneráveis a ataques e expondo redes corporativas a riscos de violação, considerando a sua função de gerenciamento do vSphere.

Como não há solução alternativa, a VMware aconselhou aos administradores que não conseguem corrigir seus servidores a controlarem rigorosamente o acesso do perímetro da rede aos componentes de gerenciamento do vSphere.

"A VMware recomenda fortemente o controle rigoroso do acesso ao perímetro da rede para todos os componentes e interfaces de gerenciamento no vSphere e componentes relacionados, como armazenamento e componentes de rede, como parte de uma postura de segurança global eficaz", alertou a empresa.

As portas de rede específicas ligadas à potencial exploração em ataques direcionados a esta vulnerabilidade são 2012/tcp, 2014/tcp e 2020/tcp.

Para mais informações sobre a vulnerabilidade crítica, em inglês, que afeta os servidores ESX e ESXi e máquinas virtuais, bem como as orientações para mitigá-la, clique aqui.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...