Recientemente se ha encontrado una vulnerabilidad en el software vCenter Server de VMWare que permite a un atacante ejecutar código de forma remota.
El software vCenter Server desarrollado por VMWare permite a los administradores de sistemas administrar máquinas y hosts virtuales utilizados en entornos de empresa a través de una sola consola.
Para la gestión de los diferentes hosts y máquinas virtuales, los administradores de sistemas utilizan el software vCenter Client, que es un cliente web (HTML5) que realiza peticiones a la API proporcionada por vCenter Server. Para utilizar el cliente es necesario que los administradores se autentiquen con un usuario válido en el sistema, sin embargo, la vulnerabilidad no requiere autenticación para poder ser explotada.
Tal y como podemos apreciar en el siguiente tweet de PT SWARM, realizando una simple petición HTTP a la API de vCenter es posible explotar la vulnerabilidad, con la que un atacante puede ejecutar comandos del sistema y, en última instancia, ejecutar código malicioso. Además, es posible explotarla sin necesidad de configuraciones especiales, ya que el problema ocurre igualmente en configuraciones por defecto.
Esta vulnerabilidad ya ha sido reportada (CVE-2021-21972) y reparada por WMWare en la última actualización que han lanzado. Es altamente recomendable actualizar a la última versión de vCenter Server y vCenter Client lo antes posible para asegurarse de que ningún atacante puede acabar explotando dicha vulnerabilidad en sus servidores.
Más información:
Comentarios recientes