Milhares de servidores VMware vCenter permanecem abertos para ataques pela Internet
Três semanas depois que a empresa revelou duas vulnerabilidades críticas no utilitário de gerenciamento de carga de trabalho, muitas organizações ainda não corrigiram a tecnologia, diz o fornecedor de segurança.
Milhares de instâncias de VMware vCenter Servers com duas vulnerabilidades recentemente divulgadas permanecem publicamente acessíveis na Internet três semanas depois que a empresa pediu às organizações que corrigissem imediatamente as falhas, citando sua gravidade.
As falhas, CVE-2021-21985 e CVE-2021-21986 , basicamente fornecem aos invasores uma maneira de assumir o controle total dos sistemas que executam o vCenter Server, um utilitário para gerenciamento centralizado de ambientes de servidor virtual VMware vSphere. As vulnerabilidades existem nas versões do vCenter Server 6.5, 6.7 e 7.0.
A VMware lançou patches que tratam das vulnerabilidades em 25 de maio. Na época, a empresa instou as organizações com versões afetadas do software a aplicarem os patches rapidamente devido ao alto nível de risco das falhas apresentadas à segurança corporativa. “A decisão de como proceder depende de você”, havia anotado a empresa em assessoria à época. “No entanto, dada a gravidade, recomendamos fortemente que você aja.”
Ainda assim, três semanas após esse anúncio – e um aviso subsequente de atividade de exploração da Agência de Segurança de Infraestrutura e Cibersegurança do Departamento de Segurança Interna (CISA) – muitas instâncias vulneráveis do vCenter Server permanecem sem patch e abertas a ataques, de acordo com a Trustwave. A empresa recentemente conduziu uma pesquisa no Shodan para ver quantas instâncias vulneráveis do utilitário ela poderia encontrar e que ainda estavam acessíveis na Internet.
A pesquisa revelou um total de 5.271 instâncias de VMware vCenter Servers expostas publicamente na Internet. Desse total, 4.019 foram confirmados como vulneráveis às duas ameaças que a VMware identificou no mês passado. Outros 942 hosts estavam executando versões antigas e em fim de vida do servidor vCenter, disse a Trustwave em um relatório esta semana.
Karl Sigler, gerente sênior de pesquisa de segurança da Trustwave SpiderLabs, diz que essas instâncias são provavelmente afetadas pelas duas falhas e não corrigidas porque não há patches disponíveis para esses sistemas.
“As vulnerabilidades são críticas e podem resultar em controle completo do sistema por meio da exploração remota de código”, diz Sigler. As falhas também são relativamente fáceis de explorar por qualquer invasor, mesmo com uma compreensão rudimentar de HTTP e as chamadas interfaces de programação de aplicativos REST. “Um invasor nem precisaria de ferramentas ou software especializados, pois um ataque inteiro pode ser executado com ferramentas padrão como ‘curl’”, diz Sigler.
O vCenter Server da VMware foi projetado para fornecer às organizações uma maneira de gerenciar de maneira centralizada os ambientes vSphere em plataformas de nuvem híbrida. De acordo com a empresa, uma das vulnerabilidades de execução remota de código existe em um plug-in de rede de área de armazenamento virtual (vSAN) que acompanha o vCenter Server. A falha fornece a qualquer invasor que possa acessar o vCenter Server pela Internet uma maneira de obter acesso a ele, independentemente de a organização usar ou não o vSAN. O segundo problema envolve um mecanismo que foi introduzido para fortalecer a autenticação do plug-in.
Medidas de mitigação
Ao lançar patches para os dois problemas, a VMware também descreveu medidas de mitigação para organizações que não podiam aplicá-las imediatamente por qualquer motivo. A empresa identificou as organizações que estão atualizando para o vSphere 7 como estando entre aquelas que provavelmente teriam que fazer uma escolha entre patching ou solução alternativa por causa de como os patches afetariam a atualização. A empresa também fez questão de observar que a aplicação dos patches afetaria apenas a capacidade de gerenciar as cargas de trabalho e não a disponibilidade da carga de trabalho em si. “Este é um ponto importante a ser transmitido aos gerentes de mudança, já que eles podem não entender que as cargas de trabalho continuarão funcionando”, disse a VMware em seu comunicado no mês passado.
Sigler diz que a complexidade e a dificuldade associadas à correção nesses ambientes é provavelmente um dos motivos pelos quais tantos vCenter Servers afetados permanecem sem correção. “Para sistemas de produção usados por várias equipes, você precisa coordenar com essas equipes o tempo de inatividade esperado”, observa ele. “Muitas vezes, os patches precisam ser testados em ambientes de laboratório antes de serem enviados aos sistemas de produção para verificar se o patch não causará mais problemas do que resolve.”
A Trustwave até agora não observou nenhuma evidência de vulnerabilidades sendo exploradas na natureza. Mas, dado o número de sistemas expostos e a facilidade de exploração, é provável que haja muitas atividades de exploração em breve, alerta Sigler. “Os administradores devem corrigir o mais rápido possível.”
