Vulnerabilidades críticas no VMware ESXi e no vCenter Server (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
Em primeiro lugar, a vulnerabilidade identificada como CVE-2021-21972 e classificada como crítica permite a execução remota de comandos no sistema operacional em que o cliente vSphere (HTML5) possa ser acessado pela rede. Esta vulnerabilidade é encontrada em um plugin do cliente vSphere (HTML5) que está instalado por padrão no servidor.
Para explorar esta vulnerabilidade, o atacante precisa executar comandos por meio da URL vulnerável do servidor afetado.
As versões afetadas e suas correções são:
| Produto | Versão | CVSSv3 | Severidade | Versão corrigida |
| vCenter Server | 7.0 | 9.8 | Crítica | 7.0 U1c |
| vCenter Server | 6.7 | 9.8 | Crítica | 6.7 U3l |
| vCenter Server | 6.5 | 9.8 | Crítica | 6.5 U3n |
A seguinte vulnerabilidade classificada como importante é identificada como CVE-2021-21974. Um atacante que tenha acesso à porta 427 TCP/UDP do hipervisor ESXi pode executar código de forma remota executando um ataque heap-overflow no serviço OpenSLP.
As versões afetadas e suas correções são:
| Produto | Versão | CVE Identifier | CVSSv3 | Versão corrigida |
| ESXi | 7.0 | CVE-2021-21974 | 8.8 | ESXi70U1c-17325551 |
| ESXi | 6.7 | CVE-2021-21974 | 8.8 | ESXi670-202102401-SG |
| ESXi | 6.5 | CVE-2021-21974 | 8.8 | ESXi650-202102101-SG |
A terceira vulnerabilidade identificada como CVE-2021-21973 com um nível de criticidade moderada se encontra em um plugin do cliente HTML5 de vSphere. De acordo com VMware, é possível realizar um ataque SSRF (Server Side Request Forgery) por meio de um URL mal validado do lado do servidor vCenter.
Uma pessoa mal-intencionada precisa acesso à porta 443 para enviar uma solicitação POST ao URL vulnerável e assim explorar a vulnerabilidade.
Tanto a vulnerabilidade CVE-2021-21972 quanto a vulnerabilidade CVE-2021-21973 é possível corrigi-las atualizando o sistema ou seguindo os passos do guia KB82374.
No Github podem ser encontradas provas de conceito para ambas as vulnerabilidades, isso agrava o problema, pois a vulnerabilidade poderia ser explorada sem ter conhecimentos da tecnologia VMware.
| Produto | Versão | Versão corrigida | Workarounds |
| vCenter Server | 7.0 | 7.0 U1c | KB82374 |
| vCenter Server | 6.7 | 6.7 U3l | KB82374 |
| vCenter Server | 6.5 | 6.5 U3n | KB82374 |
Recomendação
Desde o LACNIC CSIRT recomendamos instalar as últimas versões dos sistemas e evitar expor serviços para a Internet.
Do outro lado, é aconselhável analisar os logs do servidor web em busca de uma possível exploração desta vulnerabilidade, que com base nos exploit públicos, dever-se-ia pesquisar no URI abaixo:
“/ui/vropspluginui/rest/services/uploadova”
Mais informações
https://www.vmware.com/security/advisories/VMSA-2021-0002.html