Visão Geral

Em 23 de fevereiro de 2021, a VMware lançou um aviso de segurança (VMSA-2021-0002) para endereço duas vulnerabilidades no Servidor vCenter, bem como uma vulnerabilidade no hipervisor vmware ESXi .

Impacto

A vulnerabilidade mais notável divulgada como parte deste aviso é a CVE-2021-21972. 

O Cliente vSphere (HTML5) contém uma vulnerabilidade de execução remota de código em um plugin do Servidor vCenter. Um agente malicioso com acesso à rede à porta 443 pode explorar esse problema para executar comandos com privilégios irrestritos no sistema operacional subjacente que hospeda o Servidor vCenter. Isso afeta o VMware Servidor vCenter (7.x antes do 7,0 U1c, 6,7 antes do 6,7 U3l e 6,5 antes do 6,5 U3n) e o VMware Cloud Foundation (4.x antes do 4,2 e 3.x antes do 3,10.1.2).

Resolução

Com o intuito de proteger nossos clientes, a Cato implementou globalmente um conjunto de assinaturas do Sistema de Prevenção de Intrusões (IPS) para mitigar essa ameaça de vulnerabilidade. Se você possui o IPS da Cato ativado, está protegido contra essa exploração sem a necessidade de interação do usuário (ou aplicação de patches).

Se for identificado um tráfego malicioso que corresponde ao perfil de assinatura CVE-2021-21972, o tráfego será bloqueado e um registro de evidência será gerado dentro do Aplicativo de Gerenciamento Cato na janela de Descoberta de Eventos.