< p class="meta"> Di Chris Duckett | 22 settembre 2021 | Argomento: sicurezza
Immagine: Shutterstock
Se non hai patchato vCenter negli ultimi mesi, fallo il prima possibile.
A seguito del suo buco di esecuzione del codice remoto in vCentre a maggio, VMware ha segnalato una vulnerabilità critica nel servizio di analisi di vCenter Server.
“Una vulnerabilità di caricamento file che può essere utilizzata per eseguire comandi e software su vCenter Server Appliance. Questa vulnerabilità può essere utilizzata da chiunque riesca a raggiungere vCenter Server in rete per ottenere l'accesso, indipendentemente dalle impostazioni di configurazione di vCenter Server”, il società ha detto in un post sul blog.
Dotata di etichetta CVE-2021-22005, la vulnerabilità ha raggiunto un punteggio CVSSv3 di 9.8 e significa che un malintenzionato deve solo accedere alla porta 443 e avere un file da caricare in grado di sfruttare un server senza patch .
La vulnerabilità colpisce le versioni 6.7 e 7.0 di vCenter Server Appliance, con build superiori a 7.0U2c build 18356314 del 24 agosto e 6.7U3o build 18485166 rilasciate il 21 settembre con patch. L'exploit non ha alcun impatto sulle versioni vCenter 6.5.
Per coloro che cercano una soluzione alternativa invece di applicare una patch, VMware ha fornito istruzioni. La soluzione verrà ripristinata una volta applicata la patch all'istanza del server.
VMware ha detto che gli utenti dovrebbero patchare immediatamente.
“Le ramificazioni di questa vulnerabilità sono serie ed è una questione di tempo, probabilmente pochi minuti dopo la divulgazione, prima che gli exploit funzionanti siano disponibili al pubblico”, ha affermato.
Altre vulnerabilità affrontate nell'advisory di VMware includevano CVE-2021-21991, un'escalation dei privilegi locali CVSSv3 8.8 che coinvolgeva token di sessione che consentivano agli utenti di ottenere l'accesso come amministratore; CVE-2021-22006, un bypass del proxy inverso CVSSv3 8.3 che potrebbe consentire l'accesso a endpoint limitati; e CVE-2021-22011 che potrebbero consentire la manipolazione delle impostazioni di rete VM non autenticate.
In tutto, delle 19 vulnerabilità elencate nel suo avviso, 10 sono state rilevate da George Noseevich e Sergey Gerasimov di SolidLab.
Altrove, Claroty Team 82 ha spiegato in dettaglio come ha concatenato una serie di vulnerabilità in Nagios XI per ottenere una shell inversa con l'esecuzione di codice remoto root.
Sebbene siano state trovate 11 vulnerabilità – quattro delle quali hanno ricevuto un punteggio CVSSv3 di 9.8 e includevano un'iniezione SQL – solo due erano necessarie per la shell inversa: CVE-2021-37343, una vulnerabilità di attraversamento del percorso che consente l'esecuzione del codice come utente Apache; e CVE-2021-37347 che consente l'escalation dei privilegi locali.
La funzione di accesso automatico di Nagios XI che consente l'accesso in sola lettura alla dashboard di Nagios senza credenziali ha notevolmente ampliato la superficie di attacco, ha affermato il Team 82.
“Sebbene questa funzionalità possa essere utile per scopi NOC, consentire agli utenti di connettersi facilmente alla piattaforma e visualizzare le informazioni senza la necessità di credenziali consente anche agli aggressori di accedere a un account utente nella piattaforma, rendendo così sfruttabile qualsiasi vulnerabilità post-autenticazione senza autenticazione”, hanno detto.
Le versioni con patch dei prodotti Nagios XI vulnerabili sono state rilasciate ad agosto.
Una shell di root inversa in arrivo
Immagine: Claroty
Copertura correlata
Patch immediatamente : VMware avverte di un buco critico nell'esecuzione di codice remoto in vCenterIl difetto critico di esecuzione del codice in remoto in migliaia di server VMWare vCenter rimane senza patchPatch ora: gli aggressori stanno cercando questo difetto critico di VMware vCentreRicevi l'applicazione di patch: Stati Uniti, Regno Unito e Australia pubblicano un avviso congiunto sulle prime 30 vulnerabilità sfruttateRansomware le gang stanno abusando degli exploit VMWare ESXi per crittografare i dischi rigidi virtuali
Argomenti correlati:
Networking Security TV Data Management CXO Data Center 