Visión general

El 23 de febrero de 2021, VMware publicó un aviso de seguridad (VMSA-2021-0002) para abordar dos vulnerabilidades en vCenter Server, así como una vulnerabilidad en el hipervisor VMware ESXi .

Impacto

La vulnerabilidad más notable divulgada como parte de este aviso es CVE-2021-21972. 

El Cliente vSphere (HTML5) contiene una vulnerabilidad de ejecución de código remoto en un complemento de vCenter Server. Un actor malicioso con acceso a la red al puerto 443 puede explotar este problema para ejecutar comandos con privilegios sin restricciones en el sistema operativo subyacente que aloja vCenter Server. Esto afecta a VMware vCenter Server (7.x antes de la 7,0 U1c, 6.7 antes de la 6,7 U3l y 6.5 antes de la 6,5 U3n) y VMware Cloud Foundation (4.x antes de la 4,2 y 3.x antes de la 3,10.1.2).

Resolución

En vista de proteger a nuestros clientes, Cato ha implementado globalmente un conjunto de firmas del Sistema de Prevención de Intrusiones (IPS) para mitigar esta amenaza de vulnerabilidad. Si tiene habilitado el IPS de Cato, está protegido contra este exploit sin que se requiera interacción del usuario (o parches).

En caso de que se identifique tráfico malicioso que se ajuste al perfil de firma CVE-2021-21972, el tráfico será bloqueado y se generará un informe de evidencia dentro de la Aplicación de Gestión de Cato en la ventana Descubrimiento de Eventos.