Esecuzione di Codice Remota Critica Non Autorizzata in VMware vCenter (CVE-2021-21972)
Indice:
Il 23 febbraio 2021, VMware ha risolto un grave bug di esecuzione di codice remoto (RCE) non autorizzato (CVE-2021-21972) nel suo plugin predefinito di vCenter Server. Subito dopo l’annuncio e il consiglio rilascio, gli attori delle minacce hanno iniziato una scansione di massa per le istanze esposte pubblicamente. Ad oggi, i ricercatori hanno rilevato 6700 server VMware vCenter esposti agli attacchi. Poiché sono già disponibili su GitHub prove di concetto (PoC) pubbliche per facilitare i tentativi di sfruttamento, gli esperti prevedono presto un’ondata di intrusioni.
Descrizione CVE-2021-21972
L’errore risiede nel client HTML5 vSphere. Questa configurazione errata consente agli hacker non autorizzati (con accesso alla porta 443) di creare una richiesta specifica ed eseguire comandi arbitrari sul server vulnerabile. Di conseguenza, gli avversari possono facilmente spostarsi attraverso gli ambienti compromessi e rubare informazioni aziendali sensibili. Infatti, gli analisti di sicurezza prevedono che la vulnerabilità potrebbe essere fortemente sfruttata da gruppi di ransomware e altri hacker alla ricerca di dati preziosi.
Il difetto è stato rivelato dal ricercatore di Positive Technologies Mikhail Klyuchnikov e segnalato al fornitore nell’autunno 2020. La divulgazione pubblica era prevista per un secondo momento quest’anno per dare agli amministratori il tempo di applicare la patch. Tuttavia, un exploit PoC inserito su GitHub il 24 febbraio 2021, sollecita le organizzazioni ad agire rapidamente per mettere in sicurezza i loro sistemi. Notoriamente, il PoC è un semplice e allarmante comando di una sola riga, che aumenta significativamente le possibilità di sfruttamento massivo della vulnerabilità sul campo.
Rilevamento e Mitigazione CVE-2021-21972
La falla è stata assegnata un punteggio base CVSSv3 di 9.8 (su un massimo di 10), il che rende il problema di sicurezza altamente critico. Attualmente, gli amministratori sono invitati a esaminare l’avviso di VMware e a applicare la patch il prima possibile. Nel caso in cui la patch non possa essere immediatamente distribuita, gli utenti dovrebbero applicare mitigazioni temporanee consigliate da VMware.
Adam Swan, Senior Threat Hunting Engineer di SOC Prime, ha rilasciato una regola Sigma comunitaria mirata al rilevamento dei tentativi di sfruttamento di VMware vCenter RCE (CVE-2021-21972):
https://tdm.socprime.com/tdm/info/3OXu1LhU6yVQ#rule-context
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
NTA: Corelight
MITRE ATT&CK:
Tattiche: Accesso Iniziale, Escalation dei Privilegi
Tecniche: Sfruttamento di Applicazioni Esposte al Pubblico (T1190), Sfruttamento per Escalation dei Privilegi (1068)
Per conoscere i dettagli della regola Sigma dedicata e imparare come potrebbe migliorare il rilevamento di CVE-2021-21972, guarda la registrazione del nostro webinar “Security Talks con SOC Prime: tutto su Sigma.”
In questa sessione, Adam Swan parla della creazione di regole Sigma e risponde alle domande riguardanti la vulnerabilità in questione. Inoltre, questo webinar copre molti argomenti interessanti relativi a Sigma, sul perché esista e su come chi gestisce i rilevamenti possa trarre vantaggio dal suo utilizzo.
Iscriviti al Threat Detection Marketplace, una piattaforma di rilevamento come codice senza precedenti nel settore, e riduci il tempo medio di rilevamento degli attacchi informatici con la nostra libreria di contenuti SOC di oltre 95.000 elementi. Vuoi contribuire alle attività di ricerca delle minacce della comunità? Unisciti al nostro programma Threat Bounty e ricevi una ricompensa per il tuo contributo!
