VMware vRealize Operations Manager es una plataforma de administración de operaciones de TI para entornos privados, múlti nubes e híbridas, unificada con inteligencia artificial.
El pasado 30/03/2021 se publicó la vulnerabilidad CVE-2021-21975, la cuál es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en vRealize Operations API Manager que podría permitir a un atacante remoto no autenticado robar contraseñas administrativas.
Los atacantes podrían lograr un RCE (Remote Code Execution) no autenticado en sistemas vulnerables al explotar juntos CVE-2021-21975 y CVE-2021-21983. Es muy posible que en los próximos días los investigadores o actores de amenazas desarrollen algún exploit.
En Guayoyo desarrollamos un script para nmap que permite verificar si una IP es vulnerable al CVE-2021-21975
El script lo puede encontrar en nuestro repositorio público: https://github.com/GuayoyoCyber/CVE-2021-21975
Con HowlerMonkey podrás crear alertas para que tu equipo y tú esten enterados cuando surjan vulnerabilidades similares, además de obtener información adicional sobre exploits, workarounds y más.
Versiones afectadas:
vRealize Operations Manager
8.3.0
8.2.0
8.1.1
8.0.1
7.5.0
7.0.0
VMware Cloud Foundation (vROps)
4.x/3.x
vRealize Suite Lifecycle Manager (vROps)
8.x
VMware lanzó actualizaciones para vRealize Operations Manager que mitigan estas vulnerabilidades. Si para usted no es posible aplicar el parche, existe un workaround que implica editar el archivo casa-security-context.xml y reiniciar el servicio Cluster Analytic (CaSA). Los pasos de parcheo y solución están vinculados en los artículos de la base de conocimientos correspondientes a cada versión.
Tenga en cuenta que esto sólo debe usarse como una solución temporal hasta que la actualización sea factible. Para más información sobre los workarounds sugeridos por VMware para mitigar esta vulnerabilidad, puede acceder a: https://www.vmware.com/security/advisories/VMSA-2021-0004.html
Comments