VMware vCenter stark gefährdet

Forscher von Trustwave haben davor gewarnt, dass Tausende von mit dem Internet verbundenen VMWare vCenter-Servern auch Wochen nach der Veröffentlichung von Patches noch kritische Sicherheitslücken aufweisen.

VMWare hat am 25. Mai Patches für zwei kritische Fehler, CVE-2021-21985 und CVE-2021-21986, veröffentlicht. Die erste Sicherheitslücke, CVE-2021-21985, wirkt sich auf VMware vCenter Server und VMware Cloud Foundation aus und wurde mit einem CVSS-Score von 9,8 bewertet. Dieser Fehler wurde in einem vSAN-Plugin gefunden, das standardmäßig in der Anwendung aktiviert ist. Er ermöglicht Angreifern die Ausführung von Remote-Code (RCE), wenn sie Zugriff auf Port 443 haben.

VMWare erklärte in einem Sicherheitshinweis, dass dieser schwerwiegende Fehler ausgenutzt werden kann, so dass Bedrohungsakteure auf „das zugrunde liegende Betriebssystem, das vCenter Server hostet“ mit 2uneingeschränkten Rechten“ zugreifen können.

Der Fehler betrifft vCenter Server 6.5, 6.7 und v.7.0, sowie Cloud Foundation vCenter Server 3.x und 4.x.

Die zweite Schwachstelle, CVE-2021-21986, ist im vSphere-Client (HTML5) und dem vSphere-Authentifizierungsmechanismus für eine Reihe von Plugins vorhanden: Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Availability.

Mit einem CVSS-Score von 6,5 als weniger kritisch eingestuft, erlaubt dieser Fehler Angreifern mit Zugriff auf Port 443 immer noch, „von den betroffenen Plug-ins erlaubte Aktionen ohne Authentifizierung durchzuführen.“

Offenbar sind immer noch Tausende von Servern mit Internetzugang exponiert und sowohl für CVE-2021-21985 als auch CVE-2021-21986 anfällig.

Am Dienstag sagten Forscher von Trustwave SpiderLabs, dass eine Analyse von VMWare vCenter-Servern 5.271 Instanzen von VMWare vCenter-Servern aufgedeckt hat, die online verfügbar sind, von denen die meisten mit den Versionen 6.7, 6.5 und 7.0 arbeiten, wobei Port 443 am häufigsten verwendet wird.

Nach der Verwendung der Shodan-Suchmaschine für weitere Untersuchungen war das Team in der Lage, Daten von 4969 Instanzen abzurufen, und sie fanden heraus, dass insgesamt 4019 Instanzen – oder 80,88 % – ungepatcht bleiben.

Die verbleibenden 19,12 % sind wahrscheinlich verwundbar, da es sich um alte Versionen der Software handelt, darunter die Versionen 2.5x und 4.0x, die nicht mehr unterstützt werden und deren Lebensdauer abgelaufen ist.

Als der Hersteller die Sicherheitsfixes herausgab, sagte VMWare, dass die Schwachstellen die „sofortige Aufmerksamkeit“ der Anwender erfordern. Wie bereits von ZDNet berichtet, können die Patches einige Plugins von Drittanbietern zerstören, und wenn die Anwendung der Fixes nicht möglich ist, werden Server-Besitzer gebeten, VMWare-Plugins zu deaktivieren, um die Gefahr eines Exploits zu vermindern.

Obwohl es laut Trustwave zum Zeitpunkt des Verfassens dieses Artikels keinen aktiven Exploit für diese Server zu geben scheint, wird dennoch empfohlen, diese Art von kritischen Fehlern so schnell wie möglich zu beheben bzw. zu entschärfen.

Proof-of-Concept (PoC) Code wurde für CVE-2021-21985 veröffentlicht. Das Problem ist so schwerwiegend, dass die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) die Hersteller aufgefordert hat, ihre Builds zu patchen.

Jakob Jung

Recent Posts

MacOS und Ransomware

Apple-Rechner gelten als besonders sicher. Angesichts der Bedrohung durch Ransomware bröckelt dieser Ruf, denn MacOS…

18 Stunden ago

Vier Jahre DSGVO

Zum vierten Jahrestag der Datenschutzgrundverordnung (DSGVO) erklärt Herbert Abben, Director DACH beim SANS Institute, dass…

18 Stunden ago

Microsoft: Virtuelle Entwickler-Workstation Dev Box

Microsoft bereitet einen maßgeschneiderten Virtualisierungs-Service in der Cloud für Entwickler vor namens Microsoft Dev Box,…

19 Stunden ago

Windows 11 bereit für Unternehmenseinsatz

Microsoft sagt, dass Windows 11 einen wichtigen Meilenstein erreicht hat und bereit für den Einsatz…

3 Tagen ago

Nachhaltigkeit verbessert Geschäftsergebnis

Der Einsatz für Umweltschutz lohnt sich finanziell. Gesteigerte Effizienz, Innovation und Umsatzwachstum gehören zu den…

3 Tagen ago

Der Linux-Kernel 5.18 ist da

Der Linux-Kernel 5.18 enthält einen Intel-Treiber, der es dem Chip-Hersteller ermöglichen könnte, neue Silizium-Funktionen zu…

3 Tagen ago