Forskare har varnat för att tusentals Internet-vända VMWare vCenter-servrar fortfarande innehåller kritiska sårbarheter veckor efter att korrigeringsfiler släpptes.
Sårbarheterna påverkar VMWare vCenter Server, ett centraliserat hanteringsverktyg.
VMWare utfärdade korrigeringar för två kritiska buggar, CVE-2021-21985 och CVE-2021-21986, den 25 maj.
Det första säkerhetsfelet, CVE-2021-21985, påverkar VMware vCenter Server och VMware Cloud Foundation och har fått CVSS-poäng 9,8. Detta fel hittades i ett vSAN-plugin, aktiverat som standard i applikationen, som gör det möjligt för angripare att köra fjärrkodkörning (RCE) om de har tillgång till port 443.
VMWare sa i en säkerhetsrådgivning att detta allvarlig bugg kan utnyttjas så att hotaktörer kan komma åt “det underliggande operativsystemet som är värd för vCenter Server” med “obegränsade behörigheter.”
Felet påverkar vCenter Server 6.5, 6.7 och v.7.0, tillsammans med Cloud Foundation vCenter Server 3.x och 4.x.
Den andra sårbarheten, CVE-2021-21986, finns i vSphere Client (HTML5) och vSphere-autentiseringsmekanismen för en mängd olika plugins: Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager och VMware Cloud Director-tillgänglighet.
Anses vara mindre kritisk med en CVSS-poäng på 6,5, tillåter denna brist fortfarande angripare med tillgång till port 443 att “utföra åtgärder som tillåts av de påverkade plug-ins utan autentisering.”
Det verkar som om tusentals servrar mot internet fortfarande är utsatta och utsatta för både CVE-2021-21985 och CVE-2021-21986.
På tisdag sa forskare från Trustwave SpiderLabs att en analys av VMWare vCenter-servrar avslöjade 5 271 instanser av VMWare vCenter-servrar som är tillgängliga online, varav majoriteten kör versionerna 6.7, 6.5 och 7.0, med port 443 de mest använda.
Efter att ha använt Shodan-sökmotorn för vidare granskning kunde teamet hämta data från 4969 instanser, och de fann att totalt 4019 förekomster – eller 80,88% – förblir opackade.
De återstående 19,12% är troligtvis sårbara eftersom de är gamla versioner av programvaran, inklusive versionerna 2.5x och 4.0x, som är uttjänta och inte stöds.
Vid den tidpunkt då leverantören utfärdade säkerhetsfixarna sa VMWare att sårbarheterna krävde “omedelbar uppmärksamhet” för användarna. Som tidigare rapporterats av ZDNet kan korrigeringarna bryta några plugins från tredje part, och om det inte är möjligt att tillämpa korrigeringarna uppmanas serverägare att inaktivera VMWare-plugins för att mildra hotet om att utnyttja.
Det rekommenderas att dessa typer av kritiska buggar hanteras eller mildras så snabbt som möjligt.
ProC-of-Concept (PoC) -kod har släppts för CVE-2021-21985. Frågan är tillräckligt allvarlig för att den amerikanska byrån för cybersäkerhet och infrastruktur (CISA) har larmat leverantörer att lappa sina konstruktioner.
Tidigare och relaterad täckning
Uppdatera omedelbart: VMware varnar för kritiskt hål för exekvering av fjärrkod i vCenter
VMware rullar ut “Anywhere Workspace” -paket med verktyg – VMware kombinerar tjänster för nya moderna Apps Connectivity-plattform
Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
VMWare Security TV Data Management CXO Data Centers 