Vulnerabilità Critica su VMWare vCenter

Proto: N040420.

Con la presente Yoroi desidera informarla riguardo al recente scoperta di una importante vulnerabilità all’interno del vCenter di VMWare, console di gestione centralizzata delle infrastrutture ESX e vSphere. La criticità è nota con l’identificativo CVE-2020-3952.

La problematica è originata da lacune nella gestione dei permessi nei moduli di autenticazione LDAP all'interno del vCenter Directory Service (vmdir), le quali rendono possibile ad un attaccante di rete in grado di connettersi al servizio LDAP del vCenter (porta 389) di accedere ad informazioni, configurazioni amministrative e creare utenze backdoor all’interno del sistema bersaglio.

Il Produttore ha confermato la problematica e rilasciato il bollettino di sicurezza VMSA-2020-0006, dove specifica che le versioni afflitte del vCenter Server sono le 6.7u3f che sono state però installate aggiornando dalle precedenti versioni come 6.0 o 6.5. Le installazioni da zero del vCenter Server 6.7, 6.5 e 7.0 non sono interessate dalla problematica.

Considerando la criticità della tipologia di infrastrutture interessate, la disponibilità di dettagli tecnici e proof-of-concept per lo sfruttamento della vulnerabilità, e l'interesse dei gruppi cyber-criminali nell’accesso a queste infrastrutture per la conduzione di attacchi ransomware mirati, Yoroi consiglia caldamente di valutare lo stato di esposizione seguendo le indicazioni del produttore descritte in  KB78543 e pianificare l’applicazione delle patch di sicurezza disponibili.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index