Ejecución Remota de Código No Autorizada y Crítica en VMware vCenter (CVE-2021-21972)

El 23 de febrero de 2021, VMware abordó un error crítico de ejecución remota de código no autorizada (RCE) (CVE-2021-21972) en su plugin predeterminado del servidor vCenter. Justo después del anuncio y la advertencia publicación, los actores de amenazas comenzaron escaneos masivos para instancias expuestas públicamente. Hasta la fecha, los investigadores han detectado 6700 servidores VMware vCenter expuestos a los ataques. Dado que las pruebas de concepto (PoC) públicas ya están disponibles en GitHub para facilitar los intentos de explotación, los expertos esperan una avalancha de intrusiones pronto.

Descripción de CVE-2021-21972

El error reside en el cliente HTML5 de vSphere. Esta mala configuración permite a los hackers no autorizados (con acceso al puerto 443) elaborar una solicitud específica y ejecutar comandos arbitrarios en el servidor vulnerable. Como resultado, los adversarios pueden moverse fácilmente a través de los entornos comprometidos y robar información corporativa sensible. De hecho, los analistas de seguridad predicen que esta vulnerabilidad podría ser explotada ampliamente por bandas de ransomware y otros hackers en busca de datos valiosos.

La falla fue revelada por el investigador de Positive Technologies Mikhail Klyuchnikov y reportada al proveedor en otoño de 2020. La divulgación pública estaba planeada para más adelante este año para dar tiempo a los administradores de aplicar parches. Sin embargo, una PoC de explotación colocada en GitHub el 24 de febrero de 2021, insta a las organizaciones a ser rápidas al asegurar sus sistemas. Notablemente, la PoC es alarmantemente trivial, lo que aumenta significativamente las posibilidades de una explotación masiva de la vulnerabilidad en el entorno.

Detección y mitigación de CVE-2021-21972

La falla ha recibido un puntaje CVSSv3 base de 9.8 (de un máximo de 10), lo que hace que el agujero de seguridad sea altamente crítico. Actualmente, se insta a los administradores a inspeccionar la advertencia de VMware y a aplicar el parche lo antes posible. En caso de que el parche no pueda ser desplegado inmediatamente, los usuarios deben aplicar mitigación temporal aconsejada por VMware. 

Adam Swan, Ingeniero Senior de Búsqueda de Amenazas de SOC Prime, ha lanzado una regla Sigma comunitaria destinada a la detección de intentos de explotación de VMware vCenter RCE (CVE-2021-21972):

https://tdm.socprime.com/tdm/info/3OXu1LhU6yVQ#rule-context 

La regla tiene traducciones para las siguientes plataformas: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

NTA: Corelight

MITRE ATT&CK:

Tácticas: Acceso Inicial, Escalamiento de Privilegios

Técnicas: Explotar Aplicación Visible al Público (T1190), Explotación para Escalamiento de Privilegios (1068)

Para conocer los detalles sobre la regla Sigma dedicada y aprender cómo podría mejorar la detección de CVE-2021-21972, vea la grabación de nuestro webinar “Charlas de Seguridad con SOC Prime: Todo sobre Sigma.”

En esta sesión, Adam Swan habla sobre la creación de reglas Sigma y responde preguntas relacionadas con la vulnerabilidad en cuestión. Además, este webinar cubre muchos temas interesantes relacionados con Sigma, por qué existe y cómo cualquiera que gestione detecciones puede beneficiarse usándolo.

Suscribirse al Marketplace de Detección de Amenazas, una plataforma pionera de Detección como Código, y reduzca el tiempo promedio de detección de ciberataques con nuestra biblioteca de contenido SOC de más de 95,000 elementos. ¿Deseas contribuir a las actividades de búsqueda de amenazas en la comunidad? Únete a nuestro Programa de Recompensas por Amenazas y recibe recompensas por tu aporte!