Forskere har advart om at tusenvis av VMWare vCenter-servere på internett fortsatt har kritiske sårbarheter uker etter at oppdateringer ble utgitt.
Sårbarhetene påvirker VMWare vCenter Server, et sentralisert administrasjonsverktøy.
VMWare utstedte oppdateringer for to kritiske feil, CVE-2021-21985 og CVE-2021-21986, den 25. mai.
Den første sikkerhetsfeilen, CVE-2021-21985, påvirker VMware vCenter Server og VMware Cloud Foundation og har fått en CVSS-poengsum på 9,8. Denne feilen ble funnet i et vSAN-plugin, aktivert som standard i applikasjonen, som lar angripere utføre ekstern kjøring av kode (RCE) hvis de har tilgang til port 443.
VMWare sa i en sikkerhetsrådgivning at denne alvorlige feilen kan utnyttes slik at trusselaktører kan få tilgang til “det underliggende operativsystemet som er vert for vCenter Server” med “ubegrensede privilegier.”
Feilen påvirker vCenter Server 6.5, 6.7 og v.7.0, sammen med Cloud Foundation vCenter Server 3.x og 4.x.
Det andre sikkerhetsproblemet, CVE-2021-21986, er tilstede i vSphere Client (HTML5) og vSphere-autentiseringsmekanismen for en rekke plugins: Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager og VMware Cloud Director tilgjengelighet.
Ansett som mindre kritisk med en CVSS-score på 6,5, tillater denne feilen fortsatt angripere med tilgang til port 443 å “utføre handlinger tillatt av de berørte plugin-modulene uten godkjenning.”
Det ser ut til at tusenvis av internettvendte servere fremdeles er utsatt og sårbare for både CVE-2021-21985 og CVE-2021-21986.
På tirsdag sa forskere fra Trustwave SpiderLabs at en analyse av VMWare vCenter-servere avslørte 5.271 forekomster av VMWare vCenter-servere som er tilgjengelige online, hvorav de fleste kjører versjoner 6.7, 6.5 og 7.0, med port 443 som er mest ansatt.
Etter å ha brukt Shodan-søkemotoren for videre undersøkelse, kunne teamet hente data fra 4969 forekomster, og de fant at totalt 4019 forekomster – eller 80,88% – forblir upatchede.
De resterende 19,12% vil sannsynligvis være sårbare, ettersom de er gamle versjoner av programvaren, inkludert versjoner 2.5x og 4.0x, som er uttjente og ikke støttes.
På det tidspunktet leverandøren utstedte sikkerhetsrettelsene, sa VMWare at sårbarhetene krevde “øyeblikkelig oppmerksomhet” fra brukerne. Som tidligere rapportert av ZDNet, kan oppdateringene knekke noen tredjeparts plugins, og hvis det ikke er mulig å bruke løsningene, blir servereiere bedt om å deaktivere VMWare-plugins for å redusere trusselen om utnyttelse.
Det anbefales at denne typen kritiske feil blir taklet, eller dempet, så raskt som mulig.
Proof-of-Concept (PoC) kode er gitt ut for CVE-2021-21985. Problemet er alvorlig nok til at US Cybersecurity and Infrastructure Security Agency (CISA) har varslet leverandører om å lappe sine bygg.
Tidligere og relatert dekning
Oppdater umiddelbart: VMware advarer om kritisk hull for ekstern kjøring av kode i vCenter
VMware ruller ut “Anywhere Workspace” -pakke med verktøy. VMware kombinerer tjenester for nye moderne Apps Connectivity-plattform
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
VMWare Security TV Data Management CXO Data Centers 