VMware warnt vor kritischer Remote-Code Sicherheitslücke in vCenter

VMware warnt, dass zwei Lücken die Ausführung von Remote Code in vCenter ermöglichen. Das dringlichste Problem ist CVE-2021-21985, eine Schwachstelle für Remotecode-Ausführung in einem standardmäßig in vCenter aktivierten vSAN-Plugin. Die könnte ein Angreifer nutzen, um auf dem zugrunde liegenden Host-Computer auszuführen, was immer er möchte, vorausgesetzt, er kann auf Port 443 zugreifen.

Selbst wenn Benutzer vSAN nicht verwenden, sind sie wahrscheinlich betroffen, da das vSAN-Plugin standardmäßig aktiviert ist. „Der vSphere-Client (HTML5) enthält eine Schwachstelle für Remote-Code-Ausführung aufgrund fehlender Eingabevalidierung im Virtual-SAN-Health-Check-Plugin, das standardmäßig in vCenter Server aktiviert ist“, beschreibt VMware das Problem in einem Advisory.

In seiner FAQ warnte VMware, dass, da der Angreifer nur in der Lage sein muss, Port 443 zu erreichen, um den Angriff durchzuführen, Firewall-Kontrollen die letzte Verteidigungslinie für Anwender sind.

„Organisationen, die ihre vCenter-Server in Netzwerken platziert haben, die direkt vom Internet aus zugänglich sind, verfügen möglicherweise nicht über diese Verteidigungslinie und sollten ihre Systeme auf Kompromittierung überprüfen“, so das Unternehmen.

„Außerdem sollten sie Maßnahmen ergreifen, um mehr Perimeter-Sicherheitskontrollen (Firewalls, ACLs usw.) an den Management-Schnittstellen ihrer Infrastruktur zu implementieren.“

Um das Problem zu beheben, empfiehlt VMware den Anwendern, vCenter zu aktualisieren, oder, falls dies nicht möglich ist, hat das Unternehmen eine Anleitung zur Deaktivierung von vCenter Server-Plugins bereitgestellt.

„Während vSAN weiterhin in Betrieb ist, sind Verwaltbarkeit und Überwachung nicht möglich, solange das Plugin deaktiviert ist. Kunden, die vSAN nutzen, sollten die Deaktivierung des Plugins, wenn überhaupt, nur für kurze Zeiträume in Betracht ziehen“, warnt VMware.

Die Anwender werden gewarnt, dass die Patches eine bessere Plugin-Authentifizierung bieten und dass einige Plugins von Drittanbietern betroffen sein können. Kunden werden angewiesen, den Plugin-Anbieter zu kontaktieren. „Dies erfordert Ihre sofortige Aufmerksamkeit, wenn Sie vCenter Server verwenden“, sagte VMware in einem Blog-Post.

„In dieser Ära der Ransomware ist es am sichersten, davon auszugehen, dass ein Angreifer bereits irgendwo im Netzwerk, auf einem Desktop und vielleicht sogar unter Kontrolle eines Benutzerkontos ist, weshalb wir dringend empfehlen, den Notfall zu erklären und so schnell wie möglich zu patchen.“

Selbst mit Perimeter-Kontrollen ist es möglicherweise nicht getan, und VMware empfahl Anwendern, sich eine bessere Netzwerk-Trennung anzusehen. „Ransomware-Banden haben der Welt wiederholt demonstriert, dass sie in der Lage sind, Unternehmensnetzwerke zu kompromittieren, indem sie extrem geduldig sind und auf eine neue Schwachstelle warten, um von innerhalb eines Netzwerks anzugreifen“, heißt es.

„Dies ist nicht nur bei VMware-Produkten der Fall, aber es beeinflusst unsere Vorschläge hier. Unternehmen sollten zusätzliche Sicherheitskontrollen und eine Isolierung zwischen ihrer IT-Infrastruktur und anderen Unternehmensnetzwerken in Betracht ziehen, um moderne Zero-Trust-Sicherheitsstrategien zu implementieren.“

Die zweite Schwachstelle, CVE-2021-21986, würde es einem Angreifer ermöglichen, von Plugins erlaubte Aktionen ohne Authentifizierung durchzuführen.

„Der vSphere Client (HTML5) enthält eine Schwachstelle in einem vSphere-Authentifizierungsmechanismus für die Plug-ins Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Availability“, so VMware.

Beim CVSSv3-Scores, der die Problematik von Sicherheitsproblemen misst, erreichte CVE-2021-21985 einen Wert von 9,8, während CVE-2021-21986 mit 6,5 bewertet wurde. Zu Beginn dieses Jahres wurden zwei ESXi-Schwachstellen von Ransomware-Banden genutzt, um virtuelle Maschinen zu übernehmen und virtuelle Festplatten zu verschlüsseln.

Jakob Jung

Recent Posts

Google-Forscher entdeckt schwerwiegende Sicherheitslücke in Mozillas NSS-Bibliothek

Ein Angreifer kann Speicherbereiche mit eigenem Code überschreiben. Der Mozilla-Browser Firefox ist aber nicht betroffen.

30 Minuten ago

Forscher warnen vor unsicheren Cloud-Computing-Diensten

Sie richten 320 Honeypots mit unsicher konfigurieren Diensten sowie schwachen Zugangskennwörtern ein. Bereits nach 24…

1 Stunde ago

Online-Handel unter Bot-Beschuss

Unter dem Motto „Es ist ein Bot entsprungen“ machen Hacker dem Online-Handel dieses Weihnachten erneut…

2 Stunden ago

Mit Neo zu Cloud-Native-Ufern

OutSystems fokussiert sich auf Lösungen für die Low-Code-Programmierung. Dieses Verfahren zur Softwareerstellung ohne tiefgehende Programmierkenntnisse…

2 Stunden ago

Netzwerktransformation mit NaaS

Viele Netzwerk-Admins achten in erster Linie auf die Konnektivität. Netzwerk as a Service (NaaS) kann…

6 Stunden ago

ONLYOFFICE: Partnerprogramm bietet zahlreiche Vorteile für neue Reseller

Wer seinen Kunden im Rahmen seiner Softwarelösung, IT-Services oder einfach nur als Reseller die Open-Source-Kollaborationsplattform…

7 Stunden ago