Execução Remota de Código Não Autorizada Crítica no VMware vCenter (CVE-2021-21972)
Índice:
Em 23 de fevereiro de 2021, a VMware abordou um bug crítico de execução remota de código não autorizado (RCE) (CVE-2021-21972) no plugin padrão do vCenter Server. Logo após o anúncio e a advertência liberação, atores de ameaça começaram a realizar varreduras em massa para instâncias expostas publicamente. Até o momento, os pesquisadores detectaram 6700 servidores VMware vCenter expostos aos ataques. Já que provas de conceito públicas (PoC) já estão disponíveis no GitHub para facilitar as tentativas de exploração, os especialistas esperam uma avalanche de intrusões em breve.
Descrição do CVE-2021-21972
O erro reside no cliente HTML5 do vSphere. Esta má configuração permite que hackers não autorizados (com acesso à porta 443) criem uma solicitação específica e executem comandos arbitrários no servidor vulnerável. Como resultado, os adversários podem se mover facilmente pelos ambientes comprometidos e roubar informações corporativas sensíveis. De fato, analistas de segurança preveem que a vulnerabilidade pode ser explorada intensamente por gangues de ransomware e outros hackers em busca de dados valiosos.
A falha foi revelada pelo pesquisador da Positive Technologies Mikhail Klyuchnikov e relatada ao fornecedor no outono de 2020. A divulgação pública estava planejada para mais tarde este ano para dar tempo aos administradores de corrigir. No entanto, um exploit PoC colocado no GitHub em 24 de fevereiro de 2021, instiga as organizações a serem rápidas em proteger seus sistemas. Notavelmente, o PoC é um comando de uma linha alarmante e trivial, o que aumenta significativamente as chances de exploração massiva da vulnerabilidade na prática.
Detecção e Mitigação do CVE-2021-21972
A falha recebeu um escore base CVSSv3 de 9,8 (de um máximo de 10), o que torna a lacuna de segurança altamente crítica. Atualmente, os administradores são incentivados a inspecionar o aviso da VMware e corrigir o mais rápido possível. Caso o patch não possa ser implantado imediatamente, os usuários devem aplicar a mitigação temporária aconselhada pela VMware.
O Engenheiro Sênior de Caça às Ameaças da SOC Prime, Adam Swan, lançou uma regra Sigma comunitária destinada à detecção de tentativas de exploração do VMware vCenter RCE (CVE-2021-21972):
https://tdm.socprime.com/tdm/info/3OXu1LhU6yVQ#rule-context
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
NTA: Corelight
MITRE ATT&CK:
Táticas: Acesso Inicial, Escalação de Privilégios
Técnicas: Exploração de Aplicação Exposta Publicamente (T1190), Exploração para Escalação de Privilégios (1068)
Para obter detalhes sobre a regra Sigma dedicada e aprender como ela pode melhorar a detecção do CVE-2021-21972, assista à gravação de nosso webinar “Talks de Segurança com SOC Prime: Tudo sobre Sigma.”
Nesta sessão, Adam Swan fala sobre a criação de regras Sigma e responde às perguntas sobre a vulnerabilidade em questão. Além disso, este webinar cobre muitos tópicos interessantes relacionados ao Sigma, por que ele existe e como qualquer pessoa que gerencia detecções pode se beneficiar de seu uso.
Inscreva-se no Threat Detection Marketplace, uma plataforma Detection as Code pioneira na indústria, e reduza o tempo médio de detecção de ciberataques com nossa biblioteca de conteúdos SOC com mais de 95.000 elementos. Deseja contribuir para as atividades comunitárias de caça às ameaças? Participe do nosso Programa Threat Bounty e seja recompensado por sua contribuição!
