VMware ofrece un parche de emergencia para la herramienta de recuperación ante desastres

El gigante de software y computación en la nube VMware ha corregido una vulnerabilidad en su software de recuperación de desastres que permitía a los explotadores el movimiento lateral a través de la red objetivo, así como la ejecución de código arbitrario en el servidor, con los máximos privilegios.

VMware vSphere Replication es una herramienta de replicación de datos que se utiliza para crear copias de seguridad de máquinas virtuales, generalmente en un caso (poco probable) de que la máquina virtual principal se comporte mal o informe una falla.

La falla fue descubierta por primera vez por Egor Dimitrenko, un investigador de ciberseguridad de Positive Technologies, que registró la falla como CVE-2021-21976 con una puntuación CVSS v3 de 7.2. Según Dimitrenko, la falla podría haber sido el resultado de una actualización implementada apresuradamente, o una verificación insuficiente de la entrada del usuario, a pesar del hecho de que los mecanismos para prevenir estos errores generalmente están integrados en las herramientas de desarrollo.

Vulnerabilidad defectuosa

Sin embargo, no es tan fácil de abusar debido al hecho de que los atacantes aún necesitarían las credenciales para acceder a la interfaz web de administración de la herramienta. Aún así, Dimitrenko dice que las credenciales podrían obtenerse si las víctimas usaran contraseñas débiles o si son atacadas por una campaña de ingeniería social.

Muchos de nosotros usamos la misma contraseña en múltiples servicios y los delincuentes lo saben muy bien. Después de que se viola un servicio y los detalles se filtran en la web oscura, los delincuentes lo prueban en otro lugar, a menudo iniciando sesión con éxito.

Si su práctica de administración de parches no les permite instalar la solución de inmediato, se recomienda a las organizaciones que utilicen una solución de administración de eventos e información de seguridad (SIEM) para monitorear posibles signos de penetración hasta que implementen el parche. Las soluciones SIEM pueden ayudar a detectar comportamientos sospechosos en un servidor, registrar un incidente o prevenir el movimiento lateral a través de la red, entre otras cosas.