(https://i.postimg.cc/m287jMpH/VMware.png) (https://postimages.org/)
VMware ha confirmado que una vulnerabilidad crítica de ejecución remota de código de vCenter Server parcheada en octubre está ahora bajo explotación activa.
vCenter Server es una plataforma de gestión para entornos VMware vSphere que ayuda a los administradores a gestionar servidores y máquinas virtuales (VM) ESX y ESXi.
"VMware ha confirmado que la explotación de CVE-2023-34048 se ha producido en estado salvaje", dijo la compañía en una actualización agregada al aviso original esta semana.
La vulnerabilidad fue reportada por el investigador de vulnerabilidades de Trend Micro, Grigory Dorodnov, y está causada por una debilidad de escritura fuera de límites en la implementación del protocolo DCE/RPC de vCenter.
Los atacantes pueden explotarlo de forma remota en ataques de baja complejidad con un alto impacto en la confidencialidad, integridad y disponibilidad que no requieren autenticación ni interacción del usuario. Debido a su naturaleza crítica, VMware también ha publicado parches de seguridad para múltiples productos al final de su vida útil sin soporte activo.
A los corredores de acceso a la red les gusta hacerse cargo de los servidores VMware y luego venderlos en foros de cibercrimen a bandas de ransomware para facilitar el acceso a las redes corporativas. Muchos grupos de ransomware (como Royal, Black Basta, LockBit y, más recientemente, RTM Locker, Qilin, ESXiArgs, Monti y Akira) ahora son conocidos por atacar directamente los servidores VMware ESXi de las víctimas para robar y cifrar sus archivos y exigir enormes cantidades de dinero. rescates.
Según datos de Shodan, más de 2.000 servidores VMware Center están actualmente expuestos en línea, potencialmente vulnerables a ataques y exponen las redes corporativas a riesgos de violación dada su función de gestión de vSphere.
Servidores VMware vCenter expuestos en Internet (Shodan)
(https://i.postimg.cc/P57YsHjf/Internet-exposed-VMware-v-Center-servers.png) (https://postimages.org/)
Como no existe una solución alternativa, VMware ha instado a los administradores que no pueden parchear sus servidores a controlar estrictamente el acceso al perímetro de la red a los componentes de administración de vSphere.
"VMware recomienda encarecidamente un control estricto del acceso al perímetro de la red para todos los componentes e interfaces de gestión en vSphere y componentes relacionados, como los componentes de almacenamiento y de red, como parte de una postura general de seguridad eficaz", advirtió la empresa.
Los puertos de red específicos vinculados a una posible explotación en ataques dirigidos a esta vulnerabilidad son 2012/tcp, 2014/tcp y 2020/tcp.
En junio, VMware también corrigió múltiples fallas de seguridad de alta gravedad de vCenter Server que presentaban riesgos de ejecución de código y omisión de autenticación para servidores vulnerables.
La misma semana, la compañía arregló un ESXi de día cero utilizado por piratas informáticos estatales chinos en ataques de robo de datos y advirtió a los clientes sobre otra falla crítica de Aria Operations for Networks explotada activamente.
Desde principios de año, los administradores de TI y los equipos de seguridad han tenido que abordar advertencias de múltiples vulnerabilidades de seguridad bajo explotación activa, incluidos los días cero que afectan a los servidores Ivanti Connect Secure, Ivanti EPMM y Citrix Netscaler.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/vmware-confirms-critical-vcenter-flaw-now-exploited-in-attacks/