Sintomas Alarmantes Podem Deixar a Sua Infraestrutura em Risco!

Administrações de sistemas e equipas de TI estão a ser surpreendidas com bloqueios inesperados da conta root nos seus servidores VMware ESXi. Um comportamento que paralisa o acesso via SSH e à interface web, deixando o sistema vulnerável e indisponível durante 900 segundos após múltiplas tentativas de login falhadas.

Um dos primeiros sinais é o surgimento da mensagem de erro no vCenter:
“O acesso remoto à conta local ‘root’ foi bloqueado durante 900 segundos após 14 tentativas de login falhadas.”

Este bloqueio, que pode ser verificado através do acesso à consola iDRAC (ou iLO, no caso de servidores HP), tem-se tornado cada vez mais frequente, afetando gravemente a continuidade dos serviços.

Indícios nos Logs: Provas Inequívocas do Bloqueio

Os registos do sistema não mentem. Nos ficheiros /var/log/vobd.log e /var/log/auth.log, são evidentes os seguintes padrões:

[vob.user.account.locked] Acesso remoto para o utilizador root foi bloqueado por 900 segundos após 32 tentativas falhadas.
pam_tally2(sshd:auth): user root (0) tally 35, deny 5
error: PAM: Authentication failure for root from 192.168.100.40

[vob.user.account.locked] Acesso remoto para o utilizador root foi bloqueado por 900 segundos após 32 tentativas falhadas.
pam_tally2(sshd:auth): user root (0) tally 35, deny 5
error: PAM: Authentication failure for root from 192.168.100.40

Cenário Real: Servidor HPE ProLiant DL380 Gen10 com VMware ESXi

Num ambiente corporativo com servidores HPE ProLiant DL380 Gen10, um administrador tenta aceder ao host via SSH e Web UI — sem sucesso. O acesso foi bloqueado devido a uma aplicação de monitorização de terceiros (por exemplo, Zabbix ou SolarWinds) com credenciais antigas. O sistema registou dezenas de tentativas falhadas automaticamente, acionando o bloqueio da conta root por 15 minutos.

Para diagnosticar, o técnico utilizou o HPE iLO (Integrated Lights-Out), acedeu remotamente à consola e, através do ESXi Shell, confirmou o bloqueio com os comandos pam_tally2.

Causa Raiz: Aplicações de Terceiros com Credenciais Desatualizadas!

O culpado? Na maioria dos casos, trata-se de software de monitorização de terceiros com a palavra-passe desactualizada. Estas aplicações fazem múltiplas tentativas automáticas de autenticação com credenciais erradas, esgotando rapidamente o número de tentativas permitidas.

Este comportamento desencadeia o bloqueio automático da conta root durante 15 minutos — um mecanismo de segurança introduzido a partir do vSphere 6.0.

Solução Imediata: Desbloqueio da Conta e Identificação do Agente Invasor

Para recuperar o controlo total do seu sistema, siga estes passos críticos:

1. Para servidores HP: Aceda à consola remota via iLO.
2. Inicie a sessão no ESXi Shell.
3. Ative o ESXi Shell através do DCUI (Direct Console User Interface).
4. Utilize a combinação de teclas Ctrl+Alt+F1 para aceder ao ambiente shell.
5. Execute os comandos abaixo para verificar e limpar o contador de tentativas: pam_tally2 --user root pam_tally2 --user root --reset pam_tally2 --user root
6. Entre novamente na interface web do ESXi.
7. Navegue até Monitor > Events e identifique o IP responsável pelas tentativas falhadas.
8. Localize a aplicação associada a esse IP e atualize as credenciais, ou desative o acesso automático.

Informação Adicional Relevante para Administradores VMware

• A limitação de tentativas aplica-se apenas a acessos via SSH e Web Services SDK.
• O DCUI e o ESXi Shell não sofrem bloqueio de conta.
• Por omissão, apenas 5 tentativas falhadas são permitidas antes do bloqueio.
• A conta é desbloqueada automaticamente após 900 segundos (15 minutos).

Produtos Afetados em Larga Escala

Esta falha impacta uma vasta gama de soluções Dell, HP e ambientes VMware como PowerFlex rack, VxRail, ScaleIO, HPE ProLiant, e outros servidores empresariais compatíveis com ESXi.