Af Eskil Sørensen, 26/05/21
VMware opfordrer kunder til at patche en kritisk remote code execution-sårbarhed (RCE) i Virtual SAN Health Check plugin, hvilket påvirker alle vCenter Server-implementeringer.
Det skriver Bleeping Computer i dag.
vCenter Server er en serveradministrationsløsning, der hjælper it-administratorer med at administrere virtuelle maskiner og virtualiserede værter i virksomhedsmiljøer via en enkelt konsol. Sårbarheden (CVE-2021-21985) kan udnyttes af alle, der kan få adgang til vCenter Server over netværket, uanset om der bruges vSAN eller ej.
Kritisk RCE-sårbarhed med en næsten ’perfekt’ sværhedsgrad
Sårbarheden er indrapporteret af en privat researcher. Den vurderes til at have en CVSS-score på 9,8 ud af 10 og påvirker vCenter Server 6.5, 6.7 og 7.0. Den kan fjernudnyttes af uautoriserede angribere i angreb med lav kompleksitet, som ikke kræver brugerinteraktion.
Det er Vsphere klienten (HTML5), der indeholder en sårbarhed på grund af manglende validering af input i det virtuelle SAN Health Check plugin, som per standard er aktiveret i vCenter Server. En ondsindet aktør med netværksadgang til port 443 kan udnytte dette problem til at udføre kommandoer med ubegrænsede rettigheder på det underliggende operativsystem, der er vært for vCenter Server.
VMware har ligeledes patchet et problem med autentificeringsmekanisme med lavere kritikalitet (CVE-2021-21986). Den påvirker plugins til Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager og VMware Cloud Director.
Løsninger
De nødvendige trin til at deaktivere vCenter Server plugins på Linux-baserede virtuelle apparater (vCSA) og Windows-baserede vCenter Server-implementeringer er ved at konfigurere dem som inkompatible. Deaktivering af et plugin fra brugergrænsefladen forhindrer dog ikke udnyttelse og følgende handlinger skal udføres på både de aktive og passive noder i miljøer, der kører vCenter High Availability (VCHA).
Tidligere adresserede RCE-sårbarheder
I februar adresserede VMware en lignende kritisk RCE-sårbarhed, der påvirker alle vCenter Server- implementeringer der kører et sårbart vCenter Server plugin til vRealize Operations (vROps). Dette findes i alle standardinstallationer.
Links:
https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-...