Grave Vulnerabilità su VMware vCenter

Proto: N040221.

Con la presente CERT-Yoroi desidera informarla riguardo una grave vulnerabilità sulle piattaforme VMware vCenter, note tecnologie di virtualizzazione adottate in ambiente enterprise. La falla è nota con l’identificativo CVE-2021-21972.

La vulnerabilità è causata da lacune nella validazione degli input utente da parte del plugin vROP nella Web Application VMware vCenter Server, attraverso le quali un attaccante remoto privo di autenticazione in grado di raggiungere i servizi vCenter su porte http/https può eseguire codice arbitrario sul sistema bersaglio, accedendo ai sistemi di gestione dell’infrastruttura data center.

Il Produttore ha confermato la vulnerabilità attraverso il bollettino VMSA-2021-0002 dove ha reso disponibili opportune patch per il plugin vulnerabile. Attualmente risultano afflitte le seguenti tecnologie:

• VMware vCenter Server (vCenter Server) 7.0
• VMware vCenter Server (vCenter Server) 6.7
• VMware vCenter Server (vCenter Server) 6.5
• VMware Cloud Foundation (Cloud Foundation) 4.x
• VMware Cloud Foundation (Cloud Foundation) 3.x

Inoltre, nel corso delle ultime ore, la divisione di Threat Intelligence di Yoroi ha rilevato che tale vulnerabilità è attivamente sfruttata ai danni di servizi VMware esposti su internet.

Per tali ragioni, CERT-Yoroi consiglia caldamente di valutare l’esposizione di rete delle interfacce vCenter Server, di limitarne la raggiungibilità da Internet e provvedere all’installazione di patch a disposizione o l’applicazione dei workaround suggeriti dal Vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index