Passa ai contenuti principali

VMware avverte di una vulnerabilità critica nel caricamento di file che interessa il server vCenter

VMware martedì ha pubblicato un nuovo bollettino che avverte di ben 19 vulnerabilità nei dispositivi vCenter Server e Cloud Foundation che un utente malintenzionato potrebbe sfruttare per prendere il controllo di un sistema interessato.

La più urgente tra queste è una vulnerabilità di caricamento file arbitrario nel servizio Analytics (CVE-2021-22005) che ha un impatto sulle distribuzioni di vCenter Server 6.7 e 7.0. "Un malintenzionato con accesso di rete alla porta 443 su vCenter Server può sfruttare questo problema per eseguire codice su vCenter Server caricando un file appositamente predisposto", ha osservato la società , aggiungendo "questa vulnerabilità può essere utilizzata da chiunque riesca a raggiungere vCenter Server tramite rete per ottenere l'accesso, indipendentemente dalle impostazioni di configurazione di vCenter Server."

Sebbene VMware abbia pubblicato soluzioni alternative per il difetto, la società ha avvertito che sono "pensate per essere una soluzione temporanea fino a quando gli aggiornamenti […] non possono essere distribuiti".

L'elenco completo dei difetti corretti dal fornitore di servizi di virtualizzazione è il seguente:
CVE-2021-22005 (punteggio CVSS: 9.8) - Vulnerabilità di caricamento file di vCenter Server
CVE-2021-21991 (punteggio CVSS: 8.8) - Vulnerabilità di escalation dei privilegi locali di vCenter Server
CVE-2021-22006 (punteggio CVSS: 8.3) - Vulnerabilità di bypass del proxy inverso di vCenter Server
CVE-2021-22011 (punteggio CVSS: 8.1) - Vulnerabilità dell'endpoint API non autenticato del server vCenter
CVE-2021-22015 (punteggio CVSS: 7,8) - VCenter Server vCenter Vulnerabilità di escalation dei privilegi locali con autorizzazione impropria
CVE-2021-22012 (punteggio CVSS: 7.5) - Vulnerabilità di divulgazione di informazioni API non autenticate di vCenter Server
CVE-2021-22013 (punteggio CVSS: 7.5) - Vulnerabilità di attraversamento del percorso file di vCenter Server
CVE-2021-22016 (punteggio CVSS: 7.5) - vCenter Server riflette la vulnerabilità XSS
CVE-2021-22017 (punteggio CVSS: 7.3) - VCenter Server rhttpproxy bypass vulnerabilità
CVE-2021-22014 (punteggio CVSS: 7.2) - Vulnerabilità durante l'esecuzione di codice autenticato da vCenter Server
CVE-2021-22018 (punteggio CVSS: 6.5) - Vulnerabilità nell'eliminazione dei file di vCenter Server
CVE-2021-21992 (punteggio CVSS: 6.5) - VCenter Server XML che analizza vulnerabilità denial-of-service
CVE-2021-22007 (punteggio CVSS: 5,5) - Vulnerabilità di divulgazione di informazioni locali di vCenter Server
CVE-2021-22019 (punteggio CVSS: 5.3) - vulnerabilità Denial of Service di vCenter Server
CVE-2021-22009 (punteggio CVSS: 5.3) - vulnerabilità multiple Denial of Service di vCenter Server VAPI
CVE-2021-22010 (punteggio CVSS: 5.3) - vulnerabilità Denial of Service vCenter Server VPXD
CVE-2021-22008 (punteggio CVSS: 5.3) - Vulnerabilità all'intercettazione di informazioni personali su vCenter Server
CVE-2021-22020 (punteggio CVSS: 5,0) - Vulnerabilità Denial of Service del servizio vCenter Server Analytics
CVE-2021-21993 (punteggio CVSS: 4.3) - Vulnerabilità SSRF di vCenter Server

Il merito di aver segnalato la maggior parte dei difetti sono George Noseevich e Sergey Gerasimov di SolidLab LLC, insieme a Hynek Petrak di Schneider Electric, Yuval Lazar di Pentera e Osama Alaa di Malcrove.

"Le conseguenze di [CVE-2021-22005] sono serie ed è una questione di tempo, probabilmente pochi minuti dopo la divulgazione, prima che gli exploit funzionanti siano disponibili pubblicamente", ha affermato VMware in una FAQ invitando i clienti ad aggiornare immediatamente le proprie installazioni vCenter.

"Con la minaccia del ransomware incombente al giorno d'oggi, la posizione più sicura è presumere che un utente malintenzionato possa già avere il controllo di un desktop e di un account utente attraverso l'uso di tecniche come il phishing o lo spear-phishing e agire di conseguenza. Ciò significa che l'attaccante potrebbe già essere in grado di raggiungere vCenter Server dall'interno di un firewall aziendale e il tempo è essenziale", ha aggiunto la società.
Tag:

Commenti

Posta un commento

Popolari

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »

Italia, via libera al contrattacco cyber. Il nostro Paese ora può rispondere colpo su colpo

Immagina una stanza blindata, luci basse, grafici e mappe digitali proiettati sulle pareti: in mezzo al tavolo, una decisione da prendere in pochi minuti. È lo scenario che la nuova norma italiana rende possibile, dando al Presidente del Consiglio il potere di autorizzare, dopo consultazione con CISR e Copasir, un contrattacco cibernetico vero e proprio. Non parliamo di alzare firewall o bloccare un IP, ma di operazioni offensive su scala statale, condotte da AISE e AISI, con il coordinamento del DIS e il supporto del Ministero della Difesa. Il quadro è stato reso operativo con il Decreto Sicurezza (DL 48/2025, legge dal 9 giugno), che ha messo nero su bianco procedure, ruoli e condizioni. La norma prevede tre requisiti fondamentali: il bersaglio dev’essere identificabile con alto grado di certezza (ad esempio un gruppo APT o un’infrastruttura C2 specifica), le difese convenzionali devono essersi dimostrate inefficaci e la minaccia deve riguardare la sicurezza nazionale o quella di un...
Posta un commento
Continua a leggere »