Exécution de Code à Distance Non Autorisée Critique dans VMware vCenter (CVE-2021-21972)

Le 23 février 2021, VMware a corrigé un bug critique d’exécution de code à distance non autorisée (RCE) (CVE-2021-21972) dans son plugin vCenter Server par défaut. Juste après l’annonce et la publication de l’avis les acteurs de la menace ont commencé des analyses massives pour les instances exposées publiquement. À ce jour, les chercheurs ont détecté 6700 serveurs VMware vCenter exposés aux attaques. Alors que des exploits de preuve de concept (PoC) publics sont déjà disponibles sur GitHub pour faciliter les tentatives d’exploitation, les experts s’attendent à une avalanche d’intrusions imminentes.

Description du CVE-2021-21972

L’erreur réside dans le client vSphere HTML5. Cette mauvaise configuration permet aux pirates non autorisés (ayant accès au port 443) de créer une requête spécifique et d’exécuter des commandes arbitraires sur le serveur vulnérable. En conséquence, les adversaires peuvent facilement se déplacer à travers les environnements compromis et voler des informations d’entreprise sensibles. En fait, les analystes de la sécurité prédisent que la vulnérabilité pourrait être largement exploitée par les gangs de ransomwares et d’autres pirates à la recherche de données précieuses.

La faille a été révélée par le chercheur Mikhail Klyuchnikov de Positive Technologies et signalée au fournisseur à l’automne 2020. La divulgation publique était prévue plus tard dans l’année pour donner aux administrateurs le temps de mettre à jour. Cependant, un exploit PoC placé sur GitHub le 24 février 2021, pousse les organisations à sécuriser rapidement leurs systèmes. Notamment, le PoC est une ligne unique alarmante qui augmente considérablement les chances d’exploitation massive de la vulnérabilité dans la nature.

Détection et Atténuation de CVE-2021-21972

La faille a reçu un score de base CVSSv3 de 9,8 (sur un maximum de 10), ce qui rend ce trou de sécurité hautement critique. Actuellement, les administrateurs sont incités à inspecter l’avis de VMware et à appliquer le correctif le plus rapidement possible. Si le correctif ne peut pas être immédiatement déployé, les utilisateurs doivent appliquer une atténuation temporaire conseillée par VMware.

Adam Swan, ingénieur principal de chasse aux menaces chez SOC Prime, a publié une règle Sigma communautaire visant à détecter les tentatives d’exploitation de RCE de VMware vCenter (CVE-2021-21972) :

https://tdm.socprime.com/tdm/info/3OXu1LhU6yVQ#rule-context 

La règle comprend des traductions vers les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR : Carbon Black

NTA : Corelight

MITRE ATT&CK :

Tactiques : Accès Initial, Escalade de Privilèges

Techniques : Exploit Public-Facing Application (T1190), Exploitation pour Escalade de Privilèges (1068)

Pour obtenir les détails sur la règle Sigma dédiée et apprendre comment elle pourrait améliorer la détection de CVE-2021-21972, regardez l’enregistrement de notre webinaire “Security Talks with SOC Prime: All about Sigma.”

Dans cette session, Adam Swan parle de la création de règles Sigma et répond aux questions concernant la vulnérabilité en question. Ce webinaire couvre également de nombreux sujets intéressants liés à Sigma, pourquoi il existe et comment toute personne gérant des détections peut bénéficier de son utilisation.

Abonnez-vous au Threat Detection Marketplace, une plateforme Detection as Code unique en son genre, et réduisez le temps moyen de détection des cyber-attaques avec notre bibliothèque SOC de plus de 95 000 contenus. Vous souhaitez contribuer aux activités communautaires de chasse aux menaces ? Rejoignez notre Threat Bounty Program et obtenez une récompense pour votre contribution !