Bug crítico no VMware Carbon Black permite Bypass de Autenticação

O bug de 9,4 classificação no AppC poderia dar aos atacantes direitos administrativos, sem necessidade de autenticação, permitindo que eles ataquem qualquer coisa, desde PoS até sistemas de controle industrial.

A VMware corrigiu um bug grave em seu servidor de gerenciamento Carbon Black App Control (AppC): um servidor cujo trabalho é bloquear sistemas e servidores críticos para que eles não sejam alterados sem querer.

O AppC também garante que as organizações permaneçam em conformidade contínua com os mandatos regulatórios.

Esta é uma má: a VMware coloca a falha, CVE-2021-21998, na faixa de gravidade crítica com uma pontuação base CVSSv3 máxima de 9,4 de 10. O bug é um bypass de autenticação que poderia permitir que um invasor com acesso à rede ao servidor obtenha privilégios administrativos sem precisar autenticar.

De acordo com a assessoria da VMware, o bug de autenticação-bypass afeta as versões 8.0, 8.1, 8.5 antes de 8.5.8 e 8.6 antes de 8.6.2.

Como apontado pela Heimdal Security, dependendo do ambiente, os atores de ameaças poderiam explorar a vulnerabilidade “ao máximo para atacar qualquer coisa, desde o ponto de venda [sistemas] (PoS) até os sistemas de controle industrial”.

Para evitar isso, as organizações devem corrigir, pois não há soluções alternativas disponíveis.

Abaixo estão os patches, listados na coluna Versão Fixa da Matriz de Resposta do VMware:

produtoVersãoCorrendoIdentificador CVECVSSv3severidadeVersão fixaSoluções alternativas de versãoDocumentação adicional
AppC8.6.xWindowsCVE-2021-219989.4crítico8.6.2nenhumnenhum
AppC8.5.xWindowsCVE-2021-219989.4crítico 8.5.8nenhumnenhum
AppC8.1.x, 8.0.xWindowsCVE-2021-219989.4críticoHotfixnenhumnenhum

O crédito por descobrir e relatar CVE-2021-21999 vai para Zeeshan Shaikh da NotSoSecure, que trabalhou com a Trend Micro Zero Day Initiative (ZDI) e Hou JingYi do Qihoo 360.

Mais: Bug de alto risco em outros produtos VMware

Além da correção de desvio de autenticação, a VMware também publicou um aviso de segurança para um bug de alto risco em VMware Tools, VMware Remote Console for Windows (VMRC) e produtos VMware App Volumes.

Neste ponto, o bug não tem um escore de gravidade do Instituto Nacional de Padrões e Tecnologia (NIST), mas a VMware o avaliou em 7,8 (alta gravidade). A falha, CVE-2021-21999, é uma vulnerabilidade local de escalada de privilégios.

aviso da VMware lista os produtos afetados como VMware Tools for Windows (11.x.y antes de 11.2.6), VMware Remote Console para Windows (12.x antes de 12.0.1) e VMware App Volumes (2.x antes de 2.18.10 e 4 antes de 2103).

Mais uma vez, não há solução para este. Os administradores devem corrigi-lo o mais rápido possível, dado o que a VMware disse que pode ser feito com ele:

Um invasor com acesso normal a uma máquina virtual pode explorar esse problema colocando um arquivo malicioso renomeado como ‘openssl.cnf’ em um diretório irrestrito que permitiria que o código fosse executado com privilégios elevados.

História dos Bugs Críticos

A falha de segurança no AppC é apenas o mais recente problema crítico que a VMware resolveu. Em fevereiro, por exemplo, a VMware corrigiu três vulnerabilidades em sua infraestrutura de máquinas virtuais para data centers, incluindo uma falha de execução remota de código (RCE) em sua plataforma de gerenciamento vCenter Server.

A vulnerabilidade poderia permitir que os invasores violassem o perímetro externo de um data center corporativo ou aproveitassem backdoors já instalados em um sistema, para encontrar outros pontos vulneráveis de entrada de rede para assumir os sistemas afetados.

Mais recentemente, em abril, outro bug crítico na nuvem , novamente na VMWare Carbon Black, teria permitido a aquisição. O bug (CVE-2021-21982) classificou-se em 9,1 de 10 na escala de gravidade de vulnerabilidade do CVSS. Isso permitiria a escalada de privilégios e a capacidade de assumir os direitos administrativos do aparelho VMware Carbon Black Cloud Workload.