Scansione della rete da parte dei criminali informatici alla ricerca di installazioni VMware vCenter Server vulnerabili

Alcuni ricercatori hanno scoperto una grave vulnerabilità nel software VMware vCenter Server, una soluzione ampiamente utilizzata lato server per gestire macchine virtuali all’interno di reti informatiche di grandi dimensioni.
vCenter Server è un’utilità che facilita la gestione di un ampio numero di macchine virtuali attraverso un unico pannello di controllo centralizzato.

Il problema di sicurezza, contraddistinto dall’identificativo CVE-2021-21972, è particolarmente grave perché consente ai criminali informatici di effettuare il caricamento di file sulle macchine vCenter Server esposte sulla rete Internet.
Sui sistemi che ancora non utilizzano la patch VMware, i criminali informatici possono acquisire privilegi elevati sui sistemi vCenter Server semplicemente inviando una serie di pacchetti dati sulla porta HTTPS (TCP 443) aperta sulla WAN.
Tutto dipende dalla presenza di un plugin (vRealize Operations) che è installato in modo predefinito e che risulta vulnerabile ad attacchi RCE (Remote Code Execution).

A conferma di quanto sia grave la problematica appena emersa, la vulnerabilità è stata valutata con 9,8 punti su una scala di 10 (Common Vulnerability Scoring System Version 3.0).

VMware si è immediatamente attivata per sviluppare e distribuire una patch correttiva che è stata distribuita un paio di giorni fa.

Tutti i dettagli sulla lacuna di sicurezza individuata da Mikhail Klyuchnikov sono disponibili in questa pagina.

A distanza di poche ore dal rilascio dell’aggiornamento correttivo di VMware i criminali informatici hanno iniziato ad effettuare scansioni massive sugli IP pubblici alla ricerca di installazioni vCenter Server vulnerabili.
Secondo le prime stime sarebbero circa 15.000 i server esposti su Internet affetti dal problema di sicurezza anche se una ricerca con il motore Shodan ne restituisce al momento un po’ di meno: Shodan, cos’è e come permette di scovare webcam, router, NAS e altri dispositivi remoti.

Coloro che non si trovassero nelle condizioni di poter installare subito la patch risolutiva di VMware dovrebbero evitare di esporre vCenter Server su IP pubblico o comunque seguire le indicazioni riportate in questo documento di supporto.