Vulnerabilidades críticas en VMware ESXi y en vCenter Server (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
En primer lugar, la vulnerabilidad identificada como CVE-2021-21972 y clasificada con un nivel crítico permite la ejecución remota de comandos en el sistema operativo donde el cliente vSphere (HTML5) pueda ser accedido por red. Esta vulnerabilidad se encuentra en un plugin del cliente vSphere (HTML5) el cual está instalado por defecto en el servidor.
Para explotar esta vulnerabilidad el atacante necesita ejecutar comandos a través de la URL vulnerable del servidor afectado.
Las versiones afectadas y sus correcciones son:
| Product | Versión | CVSSv3 | Severidad | Versión Corregida |
| vCenter Server | 7.0 | 9.8 | Crítica | 7.0 U1c |
| vCenter Server | 6.7 | 9.8 | Crítica | 6.7 U3l |
| vCenter Server | 6.5 | 9.8 | Crítica | 6.5 U3n |
La siguiente vulnerabilidad clasificada como importante está identificada como CVE-2021-21974. Un atacante que tenga acceso al puerto 427 TCP/UDP del hipervisor ESXi puede ejecutar código de manera remota realizando un ataque heap-overflow en el servicio OpenSLP.
Las versiones afectadas y sus correcciones son:
| Product | Versión | CVE Identifier | CVSSv3 | Versión corregida |
| ESXi | 7.0 | CVE-2021-21974 | 8.8 | ESXi70U1c-17325551 |
| ESXi | 6.7 | CVE-2021-21974 | 8.8 | ESXi670-202102401-SG |
| ESXi | 6.5 | CVE-2021-21974 | 8.8 | ESXi650-202102101-SG |
La tercera vulnerabilidad identificada como CVE-2021-21973 con un nivel de criticidad moderada se encuentra en un plugin del cliente HTML5 de vSphere. Según VMware es posible realizar un ataque SSRF (Server Side Request Forgery) a través de una URL mal validada del lado del servidor vCenter.
Una persona mal intencionada necesita acceso al puerto 443 para enviar una petición POST a la URL vulnerable y así explotar la vulnerabilidad.
Tanto la vulnerabilidad CVE-2021-21972 como la vulnerabilidad CVE-2021-21973 es posible corregirlas actualizando el sistema o siguiendo los pasos de la guía KB82374.
En Github se pueden encontrar pruebas de concepto para ambas vulnerabilidades, esto agrava el problema ya que se podría explotar la vulnerabilidad sin tener conocimientos de la tecnología VMware.
| Producto | Versión | Versión corregida | Workarounds |
| vCenter Server | 7.0 | 7.0 U1c | KB82374 |
| vCenter Server | 6.7 | 6.7 U3l | KB82374 |
| vCenter Server | 6.5 | 6.5 U3n | KB82374 |
Recomendación
Desde el LACNIC CSIRT recomendamos instalar las últimas versiones de los sistemas y evitar exponer servicios hacia Internet.
Por otro lado es recomendable analizar los logs del servidor web en busca de una posible explotación de esta vulnerabilidad, que en base a los exploit públicos se debería buscar la siguiente URI:
“/ui/vropspluginui/rest/services/uploadova”
Más información
https://www.vmware.com/security/advisories/VMSA-2021-0002.html