# CVE-2021-22005 > [!critical] RCE Crítico no VMware vCenter - Upload Arbitrário - CISA KEV - Exploração em Massa > CVE-2021-22005 é uma vulnerabilidade crítica de upload de arquivo arbitrário no VMware vCenter Server que permite execução remota de código sem autenticação, explorada massivamente por APTs e grupos criminosos para comprometer infraestruturas virtualizadas inteiras em horas após a divulgação. ## Visão Geral CVE-2021-22005 é uma vulnerabilidade crítica no VMware vCenter Server que afeta o serviço de análise de conteúdo. Um atacante remoto não autenticado pode fazer upload de arquivos arbitrários para o servidor vCenter, resultando em execução remota de código com os privilégios do serviço — tipicamente equivalentes a root/SYSTEM. A exploração bem-sucedida compromete não apenas o vCenter, mas potencialmente toda a infraestrutura virtualizada gerenciada por ele. Esta vulnerabilidade foi objeto de exploração em massa imediatamente após a públicação do advisory em setembro de 2021. Grupos como [[g0096-apt41|APT41]] e [[g0016-apt34|APT34]] foram associados à exploração desta falha em campanhas de espionagem, enquanto grupos de ransomware e cryptominers também a exploraram intensivamente. O vCenter é um "joias da coroa" em infraestruturas corporativas: comprometer o servidor de gerenciamento da virtualização equivale a comprometer potencialmente todas as VMs hospedadas. A CISA a incluiu no KEV confirmando exploração ativa contínua. > [!latam] Relevância para o Brasil > O VMware vCenter é o padrão de gerenciamento de virtualização em datacenters corporativos e provedores de cloud brasileiros. Empresas do setor financeiro, saúde e governo que utilizam infraestrutura VMware devem tratar CVE-2021-22005 como crítica, mesmo anos após a divulgação, dado que instâncias desatualizadas continuam sendo alvos primários de varredura automatizada e exploração. ## Detecção e Defesa - Aplicar patch VMware para vCenter 7.0 U2d imediatamente — [[m1051-update-software|M1051 Update Software]] - Restringir acesso ao vCenter exclusivamente a redes de gerenciamento isoladas — [[m1030-network-segmentation|M1030]] - Monitorar uploads de arquivos ao diretório `/var/log/vmware/analytics/` — [[t1190-exploit-public-facing-application|T1190]] - Verificar processos filhos suspeitos do processo `vmdird` e `analytics_pid` — [[t1059-command-and-scripting-interpreter|T1059]] - Implementar autenticação MFA para acesso ao vCenter via Identity Federation — [[m1032-multi-factor-authentication|M1032]] - Auditar contas administrativas criadas no vCenter após data de exposição — [[t1136-create-account|T1136]] ## Referências - [VMware Security Advisory VMSA-2021-0020](https://www.vmware.com/security/advisories/VMSA-2021-0020.html) - [CISA Alert AA21-336A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-336a) - [CISA KEV - CVE-2021-22005](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2021-22005](https://nvd.nist.gov/vuln/detail/CVE-2021-22005)