Detectar Tentativas de Exploração da Vulnerabilidade Crítica do VMware vCenter (CVE-2021-22005)

[post-views]
Setembro 27, 2021 · 4 min de leitura
Detectar Tentativas de Exploração da Vulnerabilidade Crítica do VMware vCenter (CVE-2021-22005)

Em 24 de setembro de 2021, a CISA emitiu um alerta alertando sobre várias tentativas de exploração de uma vulnerabilidade crítica (CVE-2021-22005) no VMware vCenter Server. Um grande número de varreduras em servidores vulneráveis emergiu após o pesquisador de segurança vietnamita Jang ter publicado um exploit incompleto para CVE-2021-22005. As notas técnicas de Jang foram suficientes para hackers experientes produzirem um exploit funcional que permite execução remota de código com privilégios de root na instância afetada.

Descrição do CVE-2021-22005

De acordo com o avisoda VMware, o CVE-2021-22005 é um problema crítico de upload arbitrário de arquivos no serviço de Análise que ocorre devido a uma configuração incorreta no tratamento de tokens de sessão. Se explorada com sucesso, a falha permite execução remota de código (RCE) com privilégios de root para qualquer atacante que possa acessar o vCenter Server pela rede, independentemente das configurações do vCenter Server. Particularmente, qualquer hacker com acesso à rede à porta 443 no vCenter Server pode executar código no vCenter Server Appliance carregando um arquivo especialmente criado.

Em 21 de setembro de 2021, a VMware divulgou publicamente o conhecido problema e lançou um patch para mitigar possíveis atividades maliciosas. No entanto, alguns dias depois, um pesquisador de segurança vietnamita, Jang publicou um exploit de prova de conceito (PoC) incompleto para o CVE-2021-22005, fornecendo dicas para superar soluções alternativas emitidas pela VMware. Embora o exploit tenha sido intencionalmente reduzido para faltar a parte importante que possibilita o RCE, atores de ameaças habilidosos podem modificá-lo em código de exploit totalmente desenvolvido para ataques bem-sucedidos.

Atualmente, pesquisadores de segurança observam várias varreduras para servidores vCenter expostos de vários países, incluindo Canadá, EUA, Romênia, Países Baixos, China, e Cingapura. Uma rápida consulta realizada pelo Censys mostra que mais de 7.000 instâncias do VMware vCenter estão expostas à internet pública. Entre estas, 3.264 hosts são considerados potencialmente vulneráveis, e apenas 436 estão corrigidos.

Em vista da crescente ameaça de ransomware, o CVE-2021-22005 pode representar um perigo extremo, pois fornece uma maneira fácil para atacantes espalharem cargas maliciosas nas redes de organizações de infraestrutura crítica.

Detecção e Mitigação do CVE-2021-22005

A falha afeta todos os dispositivos que executam as versões 6.7 e 7.0 do vCenter Server, e devido às suas consequências devastadoras, recebe uma classificação de severidade crítica de 9.8. A VMware lançou um patch para a vulnerabilidade acompanhado de uma postagem no blog com perguntas frequentes detalhada para que os administradores possam atualizar suas instâncias o mais rápido possível.

Para detectar tentativas de exploração do CVE-2021-22005 e proteger as organizações contra intrusão, os profissionais de segurança podem baixar uma regra Sigma baseada em comportamento desenvolvida por nosso dedicado desenvolvedor do Programa de Recompensas de Ameaças Onur Atali que já está disponível na plataforma SOC Prime.

CVE-2021-22005 Vulnerabilidade de Upload de Arquivos no VMware vCenter Server

A regra inclui traduções para as seguintes plataformas de SIEM & ANÁLISE DE SEGURANÇA: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

Além disso, a regra é mapeada para a metodologia MITRE ATT&CK, abordando as táticas de Persistência e a sub-técnica Web Shell (t1505.003) da técnica de Software de Componente de Servidor (t1505).

Procurando maneiras de abordar seus casos de uso personalizados, aumentar a descoberta de ameaças e simplificar as capacidades de busca com uma única solução econômica? Explore a plataforma recém-lançada da SOC Prime que atende a todas as suas necessidades de segurança em um único espaço destinado a tornar sua experiência de detecção de ameaças mais rápida, mais simples e mais inteligente. Deseja juntar-se à nossa iniciativa de crowdsourcing e tornar-se um dos nossos contribuintes de conteúdo? Comece com o Programa de Recompensa de Ameaças, o primeiro do setor!

Ir para Plataforma Junte-se ao Programa de Recompensa de Ameaças

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa 4 min de leitura Ameaças Mais Recentes Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação 4 min de leitura Ameaças Mais Recentes CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação by Veronika Telychko
Todas as notícias