Kritická zraniteľnosť produktu VMware vCenter Server


Zraniteľnosť sa nachádza na serveri VMware vCenter Server. Chyba existuje z dôvodu nedostatočného overenia vstupu v doplnku vSAN Health Check, ktorý je predvolene povolený na serveri vCenter. Zraniteľnosť je možné zneužiť, ak je na serveri dostupný port 443. Potenciálny útočník so sieťovým prístupom na port 443 by mohol vykonávať ľubovoľné príkazy s neobmedzenými oprávneniami v základnom hostiteľskom operačnom systéme, ktorý je hostiteľom servera vCenter. Zároveň aktualizácia rieši aj zraniteľnosť v mechanizme autentifikácie niekoľkých doplnkov servera.

Dôsledky

  • Odcudzenie citlivých dát
  • Nedostupnosť služby
  • Vzdialené vykonávanie príkazov na serveri
  • Možné zneužitie ako vektor ransomverového útoku

Opis činnosti

VMware vCenter je nástroj na správu serverov, ktorý sa používa na centrálnu správu virtuálnych strojov a virtualizačných hostiteľov v podnikových prostrediach pomocou jednej konzoly. Chyby sa nachádzajú v serveri vCenter a jeho doplnkoch.

CVE-2021-21985 (CVSSv3 9,8)

Zraniteľnosť nahlásil Ricter Z zo spoločnosti 360 Noah Lab. Chybu umožňujúcu vzdialene vykonávať kód (RCE) môže zneužiť potenciálny vzdialený, neautentifikovaný útočník nezávisle na tom, či obeť používa vSAN, pretože zakázanie doplnku z používateľského rozhrania nezabráni zneužitiu. Zraniteľné doplnky v tomto prípade treba prehlásiť za nekompatibilné.

Spoločnosť VMware poskytla návod na dočasné zabezpečenie zraniteľného servera.

Pokiaľ spravujete server VMware vCenter, ktorý je dostupný z internetu, dôrazne odporúčame skontrolovať server z dôvodu možnej kompromitácie. Je pravdepodobné, že sa táto zraniteľnosť aktívne zneužíva a môže sa stať vektorom ransomvérových útokov, ktoré môžu mať vplyv na celú infraštruktúru organizácie.

CVE-2021-21986 (CVSSv3 6,5)

V rámci aktualizácie spoločnosť VMware vylepšila rámce doplnkov s cieľom zlepšiť vynucovanie autentifikácie doplnkov. Táto oprava môže spôsobiť nefunkčnosť niektorých doplnkov tretích strán. Spoločnosť VMware na to upozornila vývojárov doplnkov.

Zraniteľné systémy

  • vCenter Server verzie 6.5, 6.7 a 7.0
  • Cloud Foundation verzie 3.x a 4.x

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu
Zašifrovanie infraštruktúry organizácie

Odporúčania

  • Zabezpečte VMware vCenter nainštalovaním najnovších aktualizácií:
    • vCenter Server 7.0 –opravená verzia 7.0 U2b
    • vCenter Server 6.7 –opravená verzia 6.7 U3n
    • vCenter Server 6.5 –opravená verzia 6.5 U3p
  • Ak používate zraniteľné doplnky, zakážte ich podľa odporúčania od spoločnosti VMware (prehláste ich za nekompatibilné).
  • Vykonajte kontrolu Serveru vCenter pre zistenie možnej kompromitácie a zvýšte monitoring podozrivej aktivity v infraštruktúre organizácie.

Odkazy
https://thehackernews.com/2021/05/critical-rce-vulnerability-found-in.html
https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-bug-affecting-all-vcenter-server-installs/
https://www.tenable.com/blog/cve-2021-21985-critical-vmware-vcenter-server-remote-code-execution
https://securityaffairs.co/wordpress/118271/security/vmware-vcenter-server-cve-2021-21985.html
https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html