A VMware confirmou que uma vulnerabilidade crítica de execução remota de código (RCE) no vCenter Server, corrigida em outubro do ano passado, está agora sendo explorada ativamente.
O vCenter Server é uma plataforma de gerenciamento para ambientes VMware vSphere que auxilia os administradores a gerenciar servidores ESX e ESXi e máquinas virtuais (VMs).
"A VMware confirmou que o
CVE-2023-34048
está sendo explorado", disse a empresa em uma atualização adicionada ao comunicado inicial na última semana.
A vulnerabilidade foi reportada pelo pesquisador de vulnerabilidades da Trend Micro, Grigory Dorodnov, e é provocada por uma falha de gravação fora dos limites na implementação do protocolo DCE/RPC do vCenter.
Os invasores podem explorar essa falha remotamente em ataques de baixa complexidade com alto impacto na confidencialidade, integridade e disponibilidade, que não exigem autenticação ou interação do usuário.
Devido à sua natureza crítica, a VMware também lançou patches de segurança para vários produtos no final do ciclo de vida sem suporte ativo.
Os corretores de acesso à rede geralmente assumem o controle de servidores VMware e depois vendem-nos em fóruns de crimes cibernéticos para grupos de ransomware facilitarem o acesso às redes corporativas.
Muitos grupos de ransomware, como Royal, Black Basta, LockBit e, mais recentemente, RTM, Locker, Qilin, ESXiArgs, Monti e Akira, são conhecidos por atacar servidores VMware ESXi para roubar e criptografar arquivos das vítimas e exigir grandes quantias em resgate.
De acordo com dados do Shodan, um motor de busca que permite aos usuários pesquisar diversos tipos de servidores conectados à internet, mais de 2 mil servidores VMware Center estão atualmente expostos online, potencialmente vulneráveis a ataques e expondo redes corporativas a riscos de violação, considerando a sua função de gerenciamento do vSphere.
Como não há solução alternativa, a VMware aconselhou aos administradores que não conseguem corrigir seus servidores a controlarem rigorosamente o acesso do perímetro da rede aos componentes de gerenciamento do vSphere.
"A VMware recomenda fortemente o controle rigoroso do acesso ao perímetro da rede para todos os componentes e interfaces de gerenciamento no vSphere e componentes relacionados, como armazenamento e componentes de rede, como parte de uma postura de segurança global eficaz", alertou a empresa.
As portas de rede específicas ligadas à potencial exploração em ataques direcionados a esta vulnerabilidade são 2012/tcp, 2014/tcp e 2020/tcp.
Para mais informações sobre a vulnerabilidade crítica, em inglês, que afeta os servidores ESX e ESXi e máquinas virtuais, bem como as orientações para mitigá-la, clique aqui.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...