VMware ha pubblicato un bollettino di sicurezza per una grave vulnerabilità presente in vCenter Server. L’azienda californiana ha rilasciato un aggiornamento che chiude la falla appena poche ore prima della comparsa dei primi exploit “proof-of-concept”. Al pericoloso bug, identificato come CVE-2021-21972, è stato assegnato un livello di gravità pari a 9,8 su 10.
VMware vCenter Server e il plugin vulnerabile
VMware vCenter Server è un software per Windows e Linux che consente la gestione centralizzata degli ambienti vSphere, una piattaforma di compute virtualization. La vulnerabilità, scoperta da Positive Technologies, può essere sfruttata per eseguire codice remoto con privilegi illimitati sul sistema operativo sottostante, dopo aver effettuato l’accesso alla rete tramite la porta 443.
Alcuni ricercatori di sicurezza hanno notato un’attività di scansione massiccia di server vulnerabili da parte di malintenzionati. Prima della distribuzione della patch c’erano quasi 15.000 server vCenter non protetti, in base ai risultati del motore di ricerca BinaryEdge. La maggioranza di essi si trova negli Stati Uniti, ma ci sono anche in Italia.
La vulnerabilità risiede nella mancanza di autenticazione nel plugin vRealize Operations presente di default in vCenter Server. VMware aveva pubblicato un workaround temporaneo, ma ora è fortemente consigliata l’installazione delle ultime versioni di vCenter Server 6.5/6.7/7.0.
Positive Technologies spiega che un malintenzionato può accedere alla rete aziendale e quindi ai dati delle macchine virtuali e del sistema operativo ospite. Ciò potrebbe portare al furto di informazioni sensibili.