VMware har rettet flere sikkerhedsfejl i vCenter Server, som kan gør det muligt for angribere at iværksætte kodeafvikling og omgå godkendelse på ikke-patchede systemer.
Det skriver Bleeping Computer.
Der er tale om fire fejl med id'erne CVE-2023-20892, CVE-2023-20893, CVE-2023-20894 og CVE-2023-20895. De har alle en CVSS-score på 8,1.
Sikkerhedsfejlene blev fundet i DCE/RPC-protokolimplementeringen, der bruges af vCenter Server. Denne protokol muliggør problemfri drift på tværs af flere systemer ved at skabe et virtuelt samlet computermiljø.
UK's sundhedsmyndigheder (National Health Service - NHS) har udsendt en advarsel om, at en ukendt trusselgruppe har rettet sit skyts mod VMware Horizon-implementeringer ved at udnytte Log4j-sårbarheden. Det skriver Bleeping Computer.
Sårbarheden er også kendt som Log4Shell, der blev kendt i midten af december og som siden har fået flere rettelser, som systemadministratorer verden over har arbejdet på at håndtere. Seneste version 2.17.1 anses ifølge Bleeping Computer for at være ’tilstrækkelig sikker’.
VMware har meddelt, at der arbejdes på rettelser til en potentielt alvorlig sårbarhed vedr. forhøjelse af privilegier, der påvirker vCenter Server. Det skriver Security Week.
Sårbarheden har id’et CVE-2021-22048 og en CVSS-score på 7,1. To medarbejdere ved CrowdStrike er blevet krediteret for at rapportere problemet til VMware.
En sårbarhed i et virtuelt grafikkort giver applikationer i en virtuel maskine mulighed for at afvikle kode på den fysiske maskine, den kører på. Sårbarheden ligger i SVGA-enheden.
Fejlen findes i ESXi 6.5, Workstation 12.x og Fusion 8.x. Den er rettet i Workstation 12.5.7, Fusion 8.5.8 og med patchen ESXi650-201707101-SG til ESXi.
Ved samme lejlighed har VMware også rettet et par mindre alvorlige fejl i de samme produkter samt i vCenter Server 6.5.
Anbefaling
Opdater til en rettet version af de berørte produkter.
Sikkerhedshullet findes i vCenter Server 6.0 og 6.5, mens version 5.5 ikke er ramt.
Sårbarheden er af den type, som sikkerhedsforsker Markus Wulftange advarede om før påske. Han har fundet tre sårbarheder i deserialization-koden for objekter af typen Action Message Format version 3 (AMF3).
VCenter anvender programmet BlazeDS til at behandle AMF3-objekter. Det er et af de sårbare programmer, Markus Wulftange har identificeret.
Fejlen ligger i vCenters funktion Customer Experience Improvement Program. Systemet er også sårbart, selvom man ikke bruger funktionen.