Vulnerabilidades críticas no VMware ESXi e no vCenter Server (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)

Em primeiro lugar, a vulnerabilidade identificada como CVE-2021-21972 e classificada como crítica permite a execução remota de comandos no sistema operacional em que o cliente vSphere (HTML5) possa ser acessado pela rede. Esta vulnerabilidade é encontrada em um plugin do cliente vSphere (HTML5) que está instalado por padrão no servidor.

Para explorar esta vulnerabilidade, o atacante precisa executar comandos por meio da URL vulnerável do servidor afetado.

As versões afetadas e suas correções são:

ProdutoVersãoCVSSv3SeveridadeVersão corrigida
vCenter Server7.09.8Crítica7.0 U1c
vCenter Server6.79.8Crítica6.7 U3l
vCenter Server6.59.8Crítica6.5 U3n

A seguinte vulnerabilidade classificada como importante é identificada como CVE-2021-21974. Um atacante que tenha acesso à porta 427 TCP/UDP do hipervisor ESXi pode executar código de forma remota executando um ataque heap-overflow no serviço OpenSLP.

As versões afetadas e suas correções são:

ProdutoVersãoCVE IdentifierCVSSv3Versão corrigida
ESXi7.0CVE-2021-219748.8ESXi70U1c-17325551
ESXi6.7CVE-2021-219748.8ESXi670-202102401-SG
 ESXi6.5CVE-2021-219748.8ESXi650-202102101-SG

A terceira vulnerabilidade identificada como CVE-2021-21973 com um nível de criticidade moderada se encontra em um plugin do cliente HTML5 de vSphere. De acordo com VMware, é possível realizar um ataque SSRF (Server Side Request Forgery) por meio de um URL mal validado do lado do servidor vCenter.

Uma pessoa mal-intencionada precisa acesso à porta 443 para enviar uma solicitação POST ao URL vulnerável e assim explorar a vulnerabilidade.

Tanto a vulnerabilidade CVE-2021-21972 quanto a vulnerabilidade CVE-2021-21973 é possível corrigi-las atualizando o sistema ou seguindo os passos do guia KB82374.

No Github podem ser encontradas provas de conceito para ambas as vulnerabilidades, isso agrava o problema, pois a vulnerabilidade poderia ser explorada sem ter conhecimentos da tecnologia VMware.

ProdutoVersãoVersão corrigidaWorkarounds
vCenter Server7.07.0 U1cKB82374
vCenter Server6.76.7 U3lKB82374
vCenter Server6.56.5 U3nKB82374

Recomendação

Desde o LACNIC CSIRT recomendamos instalar as últimas versões dos sistemas e evitar expor serviços para a Internet.

Do outro lado, é aconselhável analisar os logs do servidor web em busca de uma possível exploração desta vulnerabilidade, que com base nos exploit públicos, dever-se-ia pesquisar no URI abaixo:

“/ui/vropspluginui/rest/services/uploadova”

Mais informações

https://www.vmware.com/security/advisories/VMSA-2021-0002.html