Kritická zraniteľnosť produktu VMware VCenter

Spoločnosť WMware varuje pred kritickou zraniteľnosťou svojho produktu VMware vCenter. Chyba sa nachádza v nástroji VMware Analytics, ktorý dokáže prijať škodlivý súbor bez akejkoľvek autentifikácie, zapísať ho kdekoľvek na disk a následne spustiť s oprávneniami správcu. Zraniteľnosť je triviálne zneužiteľná a preto VMware apeluje na administrátorov systémov VMware, aby bezodkladne vykonali kroky k zabezpečeniu svojej infraštruktúry. Aktuálne je postup zneužitia zraniteľnosti už voľne dostupný na internete.

Opis činnosti:

CVE-2021-22005

Zraniteľnosť sa nachádza v analytickej službe VMware vCenter Server, ktorá zhromažďuje telemetrické údaje z iných komponentov vCenter. Nezáleží pritom od konfigurácie systému. Problémom je možnosť odoslať škodlivý súbor analytickému nástroju bez autentifikácie. Analytická služba VMware bežne zbiera telemetrické údaje zo systémov vo vCenter cez internú, neverejnú sieť, kde sú tieto telemetrické dáta odosielané na port 15080. K zaradeniu zraniteľnosti medzi kritické prispela aj možnosť jej triviálneho zneužitia.. Potenciálny útočník by mohol zraniteľnosť zneužiť prostým poslaním škodlivého súboru webovému rozhraniu vCenter štandardne spustenému na porte 443, ktorý automaticky smeruje požiadavku na vstup analytického nástroja.

Aktuálne je verejne dostupný škodlivý kód zneužívajúci zraniteľnosť VMware vCenter na otvorenie reverzného shellu, umožňujúci útočníkom vykonávanie ľubovoľného kódu. Útočníci zraniteľnosť aktívne zneužívajú.

Zraniteľné systémy:

• VCSA 6.7 a 7.0 všetky verzie až po VCSA 7.0U2c (18356314) a 6.7U3o (18485166)
• VCF (Všetky)

Závažnosť zraniteľnosti: Kritická

Možné škody:

• Kompromitácia podnikovej siete
• Únik citlivých údajov
• Ransomvérový útok

Odporúčania:

• Bezodkladne aktualizovať VMware vCenter na opravenú verziu (VCSA 7.0U2c, 6.7U3o)
• Ak aktualizácia nie je možná, urgentne vykonať opatrenia potrebné pre zamedzenie možnému zneužitiu zraniteľnosti
• Skontrolovať identifikátory kompromitácie svojich systémov

Odkazy:

https://www.bleepingcomputer.com/news/security/working-exploit-released-for-vmware-vcenter-cve-2021-22005-bug/

https://www.bleepingcomputer.com/news/security/hackers-exploiting-critical-vmware-vcenter-cve-2021-22005-bug/

https://nvd.nist.gov/vuln/detail/CVE-2021-22005

https://kb.vmware.com/s/article/85717

https://threatpost.com/working-exploit-vmware-vcenter-cve-2021-22005/175059/

https://us-cert.cisa.gov/ncas/current-activity/2021/09/24/vmware-vcenter-server-vulnerability-cve-2021-22005-under-active

https://securityaffairs.co/wordpress/122686/hacking/cve-2021-22005-exploit-vmware-vcenter.html

https://censys.io/blog/vmware-cve-2021-22005-technical-impact-analysis/