Em pesquisa publicada ontem no site da empresa, o Guardicore Labs fornece uma análise técnica completa e detalhada da vulnerabilidade recentemente anunciada pela VMware (CVE-2020-3952) mostrando como o invasor pode controlar uma implementação vSphere, com todas as suas máquinas e servidores.

Você pode ver aqui a pesquisa do Guardicore Labs:

https://www.guardicore.com/2020/04/pwning-vmware-vcenter-cve-2020-3952/

Histórico

Na última quinta-feira, a VMware publicou o comunicado CVE (Common Vulnerabilities and Exposures) identificado como 2020-3952, descrevendo uma "vulnerabilidade de divulgação de informações confidenciais no VMware Directory Service (vmdir)". É um aviso conciso, sem maiores detalhes além de afirmar que qualquer vCenter Server v6.7 atualizado a partir de uma versão anterior é vulnerável.

O que chama atenção neste comunicado é que a vulnerabilidade tem pontuação 10,0 - a mais alta possível no padrão CVSS (Common Vulnerability Scoring System). Apesar do volume de notícias sobre esse comunicado, os profissionais de segurança da Guardicore não encontraram maiores informações técnicas sobre essa vulnerabilidade. E para melhor entender os riscos e como um invasor poderia explorá-los, o Guardicore Labs começou por investigar as alterações no patch VMware - vCenter Appliance 6.7 Atualização 3f.

Examinando as alterações feitas no serviço de diretório do vCenter, foi reconstruído o fluxo de código com falha que levou a essa vulnerabilidade. A análise mostrou que, com três comandos LDAP (protocolo de acesso a banco de dados Lightweight Directory Access Protocol) simples e não autenticados, um invasor com acesso à rede no vCenter Directory Service pode adicionar uma conta de administrador ao vCenter Directory. O Guardicore Labs implementou prova de conceito para essa exploração, verificando que consegue obter remotamente todas as informações contidas no vSphere.