< p class="meta"> Door Chris Duckett | 22 september 2021 | Onderwerp: Beveiliging
Afbeelding: Shutterstock
Als je vCenter de afgelopen maanden niet hebt gepatcht, doe dit dan zo snel mogelijk.
Als vervolg op het gat in de uitvoering van externe code in vCentre in mei, heeft VMware gewaarschuwd voor een kritieke kwetsbaarheid in de analyseservice van vCenter Server.
“Een kwetsbaarheid bij het uploaden van bestanden die kan worden gebruikt om opdrachten en software op de vCenter Server Appliance uit te voeren. Deze kwetsbaarheid kan worden gebruikt door iedereen die vCenter Server via het netwerk kan bereiken om toegang te krijgen, ongeacht de configuratie-instellingen van vCenter Server,” bedrijf zei in een blogpost.
Overhandigd het label CVE-2021-22005, bereikte de kwetsbaarheid een CVSSv3-score van 9,8, en betekent dat een kwaadwillende actor alleen poort 443 hoeft te openen en een bestand te uploaden dat in staat is om een niet-gepatchte server te misbruiken .
De kwetsbaarheid treft versie 6.7 en 7.0 van vCenter Server Appliances, met builds groter dan 7.0U2c build 18356314 van 24 augustus en 6.7U3o build 18485166 uitgebracht op 21 september gepatcht. De exploit heeft geen invloed op vCenter 6.5-versies.
Voor degenen die op zoek zijn naar een tijdelijke oplossing in plaats van een patch toe te passen, heeft VMware instructies uitgevaardigd. De tijdelijke oplossing wordt teruggedraaid zodra de serverinstantie is gepatcht.
VMware zei dat gebruikers onmiddellijk moeten patchen.
“De gevolgen van deze kwetsbaarheid zijn ernstig en het is een kwestie van tijd — waarschijnlijk minuten na de onthulling — voordat werkende exploits openbaar beschikbaar zijn”, aldus het.
Andere kwetsbaarheden die in het advies van VMware worden aangepakt, waren CVE-2021-21991, een CVSSv3 8.8 lokale privilege-escalatie met sessietokens waarmee gebruikers beheerderstoegang zouden krijgen; CVE-2021-22006, een CVSSv3 8.3 reverse proxy bypass die toegang zou kunnen geven tot beperkte eindpunten; en CVE-2021-22011 die manipulatie van niet-geverifieerde VM-netwerkinstellingen mogelijk maken.
Van de 19 kwetsbaarheden die in het advies worden genoemd, werden er 10 gevonden door George Noseevich en Sergey Gerasimov van SolidLab.
Anders heeft Claroty Team 82 beschreven hoe het een aantal kwetsbaarheden in Nagios XI aan elkaar heeft geketend om een omgekeerde shell te verkrijgen met uitvoering van root-code op afstand.
Hoewel er 11 kwetsbaarheden werden gevonden – waarvan er vier een CVSSv3-score van 9,8 kregen en een SQL-injectie bevatten – waren er slechts twee nodig voor de reverse shell: CVE-2021-37343, een kwetsbaarheid die het mogelijk maakt om code uit te voeren als de Apache-gebruiker; en CVE-2021-37347 waarmee escalatie van lokale bevoegdheden mogelijk is.
De automatische login-functie van Nagios XI die alleen-lezen toegang tot het Nagios-dashboard mogelijk maakt zonder inloggegevens, breidde het aanvalsoppervlak aanzienlijk uit, zei Team 82.
“Hoewel deze functie nuttig kan zijn voor NOC-doeleinden, stelt het gebruikers in staat om eenvoudig verbinding te maken met het platform en informatie te bekijken zonder inloggegevens, maar kunnen aanvallers ook toegang krijgen tot een gebruikersaccount op het platform, waardoor elke kwetsbaarheid na verificatie kan worden misbruikt zonder authenticatie”, zeiden ze.
Gepatchte versies van kwetsbare Nagios XI-producten zijn in augustus uitgebracht.
Eén omgekeerde root-shell komt eraan
Afbeelding: Claroty
Verwante dekking
Onmiddellijk patchen : VMware waarschuwt voor kritieke fout in uitvoering van externe code in vCenter Kritieke fout bij uitvoering van externe code in duizenden VMWare vCenter-servers is nog niet gepatcht bendes misbruiken VMWare ESXi-exploits om virtuele harde schijven te versleutelen
Verwante onderwerpen:
Netwerkbeveiliging Tv-gegevensbeheer CXO-datacenters 