Forskere har advaret om, at tusinder af VMWare vCenter-servere, der vender mod internet, stadig indeholder kritiske sårbarheder uger efter, at patches blev frigivet.
Sårbarhederne påvirker VMWare vCenter Server, et centraliseret administrationsværktøj.
VMWare udstedte programrettelser til to kritiske fejl, CVE-2021-21985 og CVE-2021-21986, den 25. maj.
Den første sikkerhedsfejl, CVE-2021-21985, påvirker VMware vCenter Server og VMware Cloud Foundation og har fået en CVSS-score på 9,8. Denne fejl blev fundet i et vSAN-plugin, der er aktiveret som standard i applikationen, der gør det muligt for angribere at udføre fjernkodekørsel (RCE), hvis de har adgang til port 443.
VMWare sagde i en sikkerhedsrådgivning, at dette alvorlig fejl kan udnyttes, så trusselaktører kan få adgang til “det underliggende operativsystem, der er vært for vCenter Server” med “ubegrænsede privilegier.”
Fejlen påvirker vCenter Server 6.5, 6.7 og v.7.0 sammen med Cloud Foundation vCenter Server 3.x og 4.x.
Den anden sårbarhed, CVE-2021-21986, findes i vSphere Client (HTML5) og vSphere-godkendelsesmekanismen til en række plugins: Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager og VMware Cloud Director-tilgængelighed.
Anses mindre kritisk med en CVSS-score på 6,5, giver denne fejl stadig angribere med adgang til port 443 mulighed for at “udføre handlinger tilladt af de berørte plug-ins uden godkendelse.”
Det ser ud til, at tusinder af internetvendte servere stadig er eksponeret og sårbare over for både CVE-2021-21985 og CVE-2021-21986.
Tirsdag sagde forskere fra Trustwave SpiderLabs, at en analyse af VMWare vCenter-servere afslørede 5.271 forekomster af VMWare vCenter-servere, der er tilgængelige online, hvoraf størstedelen kører version 6.7, 6.5 og 7.0 med port 443 den mest anvendte.
Efter at have brugt Shodan-søgemaskinen til yderligere undersøgelse var holdet i stand til at hente data fra 4969 forekomster, og de fandt ud af, at i alt 4019 forekomster – eller 80,88% – forbliver upatchede.
De resterende 19,12% er sandsynligvis sårbare, da de er gamle versioner af softwaren, inklusive versioner 2.5x og 4.0x, der er udtjente og ikke understøttet.
På det tidspunkt, hvor sælgeren udstedte sikkerhedsrettelserne, sagde VMWare, at sårbarhederne krævede “øjeblikkelig opmærksomhed” fra brugerne. Som tidligere rapporteret af ZDNet kan patchesne bryde nogle tredjeparts-plugins, og hvis anvendelse af rettelserne ikke er mulig, bliver serverejere bedt om at deaktivere VMWare-plugins for at mindske truslen om udnyttelse.
Det anbefales, at disse typer kritiske fejl tackles eller afbødes så hurtigt som muligt.
ProC-of-Concept (PoC) kode er frigivet til CVE-2021-21985. Spørgsmålet er alvorligt nok til, at US Cybersecurity and Infrastructure Security Agency (CISA) har advaret leverandører om at lappe deres builds.
Tidligere og beslægtet dækning
Patch straks: VMware advarer om kritisk hul til fjernudførelse af kode i vCenter
VMware udruller “Anywhere Workspace” -pakke med værktøjer – VMware kombinerer tjenester til nye moderne Apps-tilslutningsplatform
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
VMWare Security TV Data Management CXO Data Centers 