VMware alerta de un fallo de seguridad crítico en vCenter

De ellas, la peor es la denominada CVE-2020-21985, que consiste en una vulnerabilidad de ejecución de código en remoto en un plugin vSAN activado por defecto en vCenter que un atacante podría utilizar para ejecutar el código que deseasen en la máquina en la que se encuentra el sistema, siempre y cuando pueda acceder al puerto 443. Con ella, incluso aunque los usuarios no empleen vSAN, pueden resultar afectados, debido a que, como hemos mencionado, dicho plugin está activado a no ser que se haya modificado la configuración del sistema.

La compañía ha ofrecido más detalles del fallo y las vulnerabilidades en un post, en el que detalla que «el cliente vSphere (HTML5) contiene una vulnerabilidad de ejecución de código remoto debido a la falta de validación de entrada en el plugin Virtual SAN Health Check, que está activado por defecto en vCenter Server«. Además, avisa de que ya que los atacantes solo necesitan acceder al puerto 443 para realizar el ataque, la última línea de defensa para los usuarios en este caso son los controles del firewall.

Así, «las organizaciones que han integrado sus servidores vCenter en redes a las que se puede acceder directamente desde Internet puede que no tengan esa línea de defensa, y deberían auditar sus sistemas para buscar riesgos. Además, deberían tomar medidas de implementación de más controles de seguridad perimetrales en las interfaces de gestión de su infraestructura«.

Para solucionar el problema, VMware recomienda a los usuarios la actualización de vCenter. En caso de que no sea posible, la compañía ha dado una serie de instrucciones para desactivar los plugins de vCenter Server. Eso sí, los usuarios que instalen las actualizaciones tienen que tener en cuenta que estos parches ofrecen una autenticación de plugin mejorada, lo que puede llevar a que algunos plugins de terceros no funcionen. En esos casos, los usuarios tendrán que ponerse en contacto con el proveedor del plugin para que les de una solución.

En cualquier caso, según la compañía «en esta era del ransomware lo más seguro es asumir que ya hay un atacante en algún punto de la red, en un equipo de escritorio o puede que incluso ya tenga el control de una cuenta de usuario. Por esto recomendamos hacer cambios de emergencia y parchear tan pronto como sea posible. Las bandas de ransomware han demostrado repetidas veces al mundo de que son capaces de comprometer redes corporativas mientras esperan con paciencia a que aparezca una nueva vulnerabilidad para atacar desde dentro«.

En cuanto a la segunda vulnerabilidad, CVE-2021-21986, permite a un atacante realizar operaciones permitidas por plugins sin autenticación: «el cliente vSphere (HTML5) contiene una vulnerabilidad en un mecanismo de autenticación de vSphere para los plugins Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager y VMware Cloud Director Availability«.