Edgar Salazar
2 de mar de 20211 min.
Actualizado: 2 de abr de 2021
CVE-2021-21972 es una vulnerabilidad de carga de archivos no autorizada en vCenter Server. El problema se debe a la falta de autenticación en el complemento vCenter en varios de los productos de VMware como VMware ESXi y vSphere Client (HTML5).
A pesar de que esta vulnerabilidad fue detectada en el complemento vCenter de vRealize Operations, el aviso de VMware confirma que este complemento se incluye “en todas las instalaciones predeterminadas” de vCenter Server. Esto significa que el punto final vulnerable está disponible independientemente de la presencia de vRealize Operations.
Esta vulnerabilidad permite a un atacante poder subir un archivo arbitrario, como por ejemplo una webshell, para luego poder ejecutar comandos del sistema arbitrariamente sin autenticación previa.
En Guayoyo adaptado un script para nmap para verificar si una IP es vulnerable al CVE-2021-21972
El script lo puede encontrar en nuestro repositorio público: https://github.com/GuayoyoLabs/CVE-2021-21972
Con HowlerMonkey podrás crear alertas para estar enterado de vulnerabilidades similares que afecten a tus tecnologías, además seguir su evolución.
VMware lanzó actualizaciones para vCenter Server que mitigan estas vulnerabilidades. Si no es posible aplicar el parche, existe un workaround que implican cambios en el archivo de matriz de compatibilidad.
Tenga en cuenta que esto solo debe usarse como una solución temporal hasta que la actualización sea factible. Para más información sobre los workarounds sugeridos por VMware para mitigar esta vulnerabilidad, puede acceder a: https://kb.vmware.com/s/article/82374