Vo VMware vRealize Business for Cloud sa vyskytuje kritická zraniteľnosť

Spoločnosť VMware opravila kritickú zraniteľnosť vyskytujúcu sa v produkte vRealize Business for Cloud. Zneužitím tejto chyby môže dôjsť k vzdialenému vykonaniu kódu neautentifikovaným útočníkom.

Dôsledky

• Vzdialené vykonanie ľubovoľného kódu

Opis činnosti
CVE-2021-21984 (CVSS 9,8)

V produkte VMware vRealize Business for Cloud sa vyskytuje kritická zraniteľnosť CVE-2021-21984 s CVSS skóre 9,8. Týka sa verzií nižších ako 7.6.0. Zraniteľnosť objavil a nahlásil výskumník spoločnosti Positive Technologies Egor Dimitrenko.

Zraniteľnosť umožňuje neautentifikovaným vzdialeným útočníkom vykonávať kód na zraniteľných serveroch. Útočníci môžu túto chybu zneužiť použitím API určeného na aktualizáciu rozhrania na správu (VAMI), aby získali prístup k zraniteľným virtuálnym prostrediam. Na zneužitie nie je potrebná žiadna interakcia používateľa ani autentifikácia.

Spoločnosť vydala opravnú aktualizáciu, avšak pred jej nainštalovaním odporúča urobiť snímky virtuálnych strojov.

Zraniteľné systémy

• VMware vRealize Business for Cloud verzie nižšej ako 7.6.0

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania

Odporúčame bezodkladne nainštalovať najnovšiu dostupnú aktualizáciu. Pred jej samotnou inštaláciou odporúčame spraviť zálohy (snímky) virtuálnych strojov. Na aplikovanie aktualizácie sa riaďte pokynmi na tejto stránke.

Odkazy
https://www.vmware.com/security/advisories/VMSA-2021-0007.html
https://kb.vmware.com/s/article/83475
https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-rce-bug-in-vrealize-business-for-cloud/
https://www.securityweek.com/vmware-patches-critical-flaw-reported-sanctioned-russian-security-firm
https://thehackernews.com/2021/05/critical-flaws-hit-cisco-sd-wan-vmanage.html