Forscher haben gewarnt, dass Tausende von VMWare vCenter-Servern mit Internetzugriff noch Wochen nach der Veröffentlichung von Patches kritische Sicherheitslücken aufweisen.
Die Schwachstellen wirken sich auf VMWare vCenter Server aus, ein zentralisiertes Verwaltungsdienstprogramm.
VMWare hat am 25. Mai Patches für zwei kritische Fehler, CVE-2021-21985 und CVE-2021-21986, veröffentlicht.
Die erste Sicherheitslücke, CVE-2021-21985, betrifft VMware vCenter Server und VMware Cloud Foundation und hat einen CVSS-Score von 9,8 erhalten. Dieser Fehler wurde in einem vSAN-Plugin gefunden, das standardmäßig in der Anwendung aktiviert ist und es Angreifern ermöglicht, Remote Code Execution (RCE) auszuführen, wenn sie Zugriff auf Port 443 haben.
VMWare sagte in einer Sicherheitsempfehlung, dass dies schwerwiegende Fehler können ausgenutzt werden, sodass Bedrohungsakteure mit „unbeschränkten Rechten“ auf „das zugrunde liegende Betriebssystem, das vCenter Server hostet“ zugreifen können.
Der Fehler betrifft vCenter Server 6.5, 6.7 und v.7.0 sowie Cloud Foundation vCenter Server 3.x und 4.x.
Die zweite Schwachstelle, CVE-2021-21986, ist im vSphere-Client (HTML5) und im vSphere-Authentifizierungsmechanismus für eine Vielzahl von Plugins vorhanden: Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Availability.
Dieser Fehler wird mit einem CVSS-Score von 6,5 als weniger kritisch angesehen, ermöglicht es Angreifern mit Zugriff auf Port 443 jedoch immer noch, “Aktionen durchzuführen, die von den betroffenen Plug-Ins ohne Authentifizierung erlaubt sind”.
Es scheint, dass Tausende von mit dem Internet verbundenen Servern immer noch sowohl CVE-2021-21985 als auch CVE-2021-21986 ausgesetzt und anfällig sind.
Am Dienstag sagten Forscher von Trustwave SpiderLabs, eine Analyse von VMWare vCenter-Servern ergab 5.271 Instanzen von VMWare vCenter-Servern, die online verfügbar sind, von denen die meisten die Versionen 6.7, 6.5 und 7.0 mit Port 443 ausführen die am häufigsten verwendete.
Nachdem das Team die Shodan-Suchmaschine für weitere Untersuchungen verwendet hatte, konnte es Daten von 4969 Instanzen abrufen und stellte fest, dass insgesamt 4019 Instanzen – oder 80,88 % – ungepatcht blieben.
Die verbleibenden 19,12 % sind wahrscheinlich anfällig, da es sich um alte Versionen der Software handelt, einschließlich der Versionen 2.5x und 4.0x, die nicht mehr unterstützt werden und nicht mehr unterstützt werden.
Als der Anbieter die Sicherheitsfixes herausgab, sagte VMWare, dass die Sicherheitslücken die “sofortige Aufmerksamkeit” der Benutzer erforderten. Wie zuvor von ZDNet berichtet, können die Patches einige Plug-ins von Drittanbietern beschädigen. Wenn die Anwendung der Fehlerbehebungen nicht möglich ist, werden Serverbesitzer gebeten, VMware-Plug-ins zu deaktivieren, um die Bedrohung durch Exploits zu mindern.
Es wird empfohlen, diese Arten von kritischen Fehlern so schnell wie möglich anzugehen oder abzuschwächen.
Proof-of-Concept (PoC)-Code wurde für CVE-2021-21985 veröffentlicht. Das Problem ist so schwerwiegend, dass die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) die Anbieter auffordert, ihre Builds zu patchen.
Frühere und verwandte Berichterstattung
Sofortiges Patchen: VMware warnt vor kritischer Remote-Code-Ausführungslücke in vCenter
VMware führt “Anywhere Workspace”-Toolsuite ein
VMware kombiniert Dienste für neues Modern Apps-Konnektivitätsplattform
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
VMWare Security TV Data Management CXO Data Centers 