Detectar Intentos de Explotación de Vulnerabilidad Crítica en VMware vCenter (CVE-2021-22005)

[post-views]
septiembre 27, 2021 · 3 min de lectura
Detectar Intentos de Explotación de Vulnerabilidad Crítica en VMware vCenter (CVE-2021-22005)

El 24 de septiembre de 2021, CISA emitió una alerta advirtiendo sobre múltiples intentos de explotación de una vulnerabilidad crítica (CVE-2021-22005) en VMware vCenter Server. Un gran número de análisis para los servidores vulnerables aumentó después de que el investigador de seguridad vietnamita Jang publicara un exploit incompleto para CVE-2021-22005. Las notas técnicas de Jang fueron suficientes para que hackers experimentados produjeran un exploit funcional que permite la ejecución remota de código con privilegios de root en la instancia afectada.

Descripción de CVE-2021-22005

Según el aviso de VMware, CVE-2021-22005 es un problema crítico de carga de archivos arbitraria en el servicio Analytics que ocurre debido a una mala configuración en el manejo de tokens de sesión. En caso de ser explotada con éxito, la falla asegura la ejecución remota de código (RCE) con privilegios de root para cualquier atacante capaz de acceder a vCenter Server por la red, independientemente de las configuraciones de vCenter Server. En particular, cualquier hacker con acceso a la red al puerto 443 en vCenter Server puede ejecutar código en la Appliance de vCenter Server subiendo un archivo especialmente diseñado.

El 21 de septiembre de 2021, VMware divulgó públicamente el notorio problema y lanzó un parche para mitigar la posible actividad maliciosa. Sin embargo, unos días después, el investigador de seguridad vietnamita Jang publicó un exploit de prueba de concepto (PoC) incompleto para CVE-2021-22005, proporcionando indicaciones para superar soluciones alternativas emitidas por VMware. Aunque el exploit fue intencionalmente podado para omitir la parte importante que permite RCE, actores de amenazas habilidosos son capaces de modificarlo para convertirlo en un código de exploit completamente desarrollado para ataques exitosos.

Actualmente, investigadores de seguridad observan múltiples análisis para servidores vCenter expuestos desde varios países, incluidos Canadá, EE. UU., Rumania, Países Bajos, China y Singapur. Una rápida consulta realizada por Censys muestra que más de 7,000 instancias de VMware vCenter están expuestas al internet público. De estas, se considera que 3,264 hosts son potencialmente vulnerables, y solo 436 están parcheados.

En vista de la creciente amenaza de ransomware, CVE-2021-22005 puede representar un peligro extremo ya que proporciona una forma fácil para que los atacantes introduzcan cargas maliciosas en las redes de organizaciones de infraestructura crítica.

Detección y Mitigación de CVE-2021-22005

La falla afecta a todos los dispositivos que ejecutan las versiones 6.7 y 7.0 de vCenter Server, y debido a sus devastadoras consecuencias, recibe una clasificación de severidad crítica de 9.8. VMware ha lanzado un parche para la vulnerabilidad acompañado de un post de blog de preguntas frecuentes detallado para que los administradores puedan actualizar sus instancias lo antes posible.

Para detectar intentos de explotación de CVE-2021-22005 y proteger a las organizaciones de intrusiones, los profesionales de seguridad pueden descargar una regla Sigma basada en comportamiento de nuestro perspicaz desarrollador de Threat Bounty Onur Atali que ya está disponible en la plataforma SOC Prime.

Vulnerabilidad de carga de archivos en VMware vCenter Server CVE-2021-22005

La regla incluye traducciones para las siguientes plataformas de SIEM y ANALÍTICA DE SEGURIDAD: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

Además, la regla está mapeada a la metodología MITRE ATT&CK abordando las tácticas de Persistencia y la sub-técnica Web Shell (t1505.003) del componente de software de servidor (t1505).

¿Buscas formas de abordar tus casos de uso personalizados, mejorar el descubrimiento de amenazas y agilizar las capacidades de caza con una solución única y rentable? Explora la nueva plataforma lanzada por SOC Prime que atiende todas tus necesidades de seguridad en un solo espacio orientado a hacer que tu experiencia de detección de amenazas sea más rápida, simple e inteligente. ¿Quieres unirte a nuestra iniciativa de crowdsourcing y convertirte en uno de nuestros colaboradores de contenido? ¡Comienza con el primer Programa Threat Bounty de la industria!

Ir a la Plataforma Unirse a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Blog, Plataforma SOC Prime — 2 min de lectura
La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Steven Edwards
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Blog, Últimas Amenazas — 5 min de lectura
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Veronika Telychko