Af Eskil Sørensen, 24/02/21
VMware har behandlet en kritisk RCE-sårbarhed (Remote Code Execution) i vCenter Server-platformen til styring af virtuel infrastruktur. Det skriver Bleeping Computer og The Register. vCenter Server er det centraliserede styringsværktøj til VMware og bruges til at administrere virtuelle maskiner.
Sårbarheden vil kunne udnyttes af angribere til potentielt at tage kontrol over berørte systemer uden brugerinteraktion. Sårbarheden har fået nummer CVE-2021-21972 og er af VMware vurderet til at have en score på 9,8 på CVS-skalaen.
Ifølge advisorien fra Vmware indeholder VSphere-klienten (HTML5) en sårbarhed i forbindelse med fjernafvikling af kode i et vCenter Server-plugin. Fejlen gør det muligt for en ondsindet aktør med netværksadgang til port 443 at udnytte dette problem til at afvikle kode med ubegrænsede rettigheder på det underliggende operativsystem, der er vært for vCenter Serveren. Problemet påvirker vCenter Server-plugin til vROPs, som er tilgængeligt i alle standardinstallationer. vROP'er behøver ikke være til stede for at have dette slutpunkt tilgængeligt.
VMware anbefaler at opgradere sårbare vCenter Server-installationer til version 6.5 U3n, 6.7 U3l eller 7.0 U1c så hurtigt som muligt.
Det fremgår yderligere af VMwares advisory, at der også er to andre fejl (CVE-2021-21973 og CVE-2021-21974), der bør rettes i samme ombæring.
Links:
https://www.theregister.com/2021/02/23/vmware_vsphere_critical_bugs/
https://securityaffairs.co/wordpress/114957/security/vmware-in-vcenter-server-rce.html
https://www.vmware.com/security/advisories/VMSA-2021-0002.html