Vulnerabilidades críticas en VMware ESXi y en vCenter Server (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)

En primer lugar, la vulnerabilidad identificada como CVE-2021-21972 y clasificada con un nivel crítico permite la ejecución remota de comandos en el sistema operativo donde el cliente vSphere (HTML5) pueda ser accedido por red. Esta vulnerabilidad se encuentra en un plugin del cliente vSphere (HTML5) el cual está instalado por defecto en el servidor.

Para explotar esta vulnerabilidad el atacante necesita ejecutar comandos a través de la URL vulnerable del servidor afectado.

Las versiones afectadas y sus correcciones son:

ProductVersiónCVSSv3SeveridadVersión Corregida
vCenter Server7.09.8Crítica7.0 U1c
vCenter Server6.79.8Crítica6.7 U3l
vCenter Server6.59.8Crítica6.5 U3n

La siguiente vulnerabilidad clasificada como importante está identificada como CVE-2021-21974. Un atacante que tenga acceso al puerto 427 TCP/UDP del hipervisor ESXi puede ejecutar código de manera remota realizando un ataque heap-overflow en el servicio OpenSLP.

Las versiones afectadas y sus correcciones son:

ProductVersiónCVE IdentifierCVSSv3Versión corregida
ESXi7.0CVE-2021-219748.8ESXi70U1c-17325551
ESXi6.7CVE-2021-219748.8ESXi670-202102401-SG
 ESXi6.5CVE-2021-219748.8ESXi650-202102101-SG

La tercera vulnerabilidad identificada como CVE-2021-21973 con un nivel  de criticidad moderada se encuentra en un plugin del cliente HTML5 de vSphere. Según VMware es posible realizar un ataque SSRF (Server Side Request Forgery) a través de una URL mal validada del lado del servidor vCenter.

Una persona mal intencionada necesita acceso al puerto 443 para enviar una petición POST a la URL vulnerable y así explotar la vulnerabilidad.

Tanto la vulnerabilidad CVE-2021-21972 como la vulnerabilidad CVE-2021-21973 es posible corregirlas actualizando el sistema o siguiendo los pasos de la guía KB82374.

En Github se pueden encontrar pruebas de concepto para ambas vulnerabilidades, esto agrava el problema ya que se podría explotar la vulnerabilidad sin tener conocimientos de la tecnología VMware.

ProductoVersiónVersión corregidaWorkarounds
vCenter Server7.07.0 U1cKB82374
vCenter Server6.76.7 U3lKB82374
vCenter Server6.56.5 U3nKB82374

Recomendación

Desde el LACNIC CSIRT recomendamos instalar las últimas versiones de los sistemas y evitar exponer servicios hacia Internet.

Por otro lado es recomendable analizar los logs del servidor web en busca de una posible explotación de esta vulnerabilidad, que en base a los exploit públicos se debería  buscar la siguiente URI:

“/ui/vropspluginui/rest/services/uploadova”

Más información

https://www.vmware.com/security/advisories/VMSA-2021-0002.html