Onderzoekers hebben gewaarschuwd dat duizenden op het internet gerichte VMWare vCenter-servers weken na het uitbrengen van patches nog steeds kritieke kwetsbaarheden bevatten.
De kwetsbaarheden hebben gevolgen voor VMWare vCenter Server, een gecentraliseerd beheerprogramma.
VMWare heeft op 25 mei patches uitgebracht voor twee kritieke bugs, CVE-2021-21985 en CVE-2021-21986.
De eerste beveiligingsfout, CVE-2021-21985, treft VMware vCenter Server en VMware Cloud Foundation en heeft een CVSS-score van 9,8 gekregen. Deze bug is gevonden in een vSAN-plug-in, standaard ingeschakeld in de applicatie, waarmee aanvallers externe code-uitvoering (RCE) kunnen uitvoeren als ze toegang hebben tot poort 443.
VMWare zei in een beveiligingsadvies dat dit ernstige bug kan worden misbruikt, zodat bedreigingsactoren toegang krijgen tot “het onderliggende besturingssysteem dat vCenter Server host” met “onbeperkte privileges”.
De bug heeft gevolgen voor vCenter Server 6.5, 6.7 en v.7.0, naast Cloud Foundation vCenter Server 3.x en 4.x.
De tweede kwetsbaarheid, CVE-2021-21986, is aanwezig in de vSphere Client (HTML5) en het vSphere-authenticatiemechanisme voor verschillende plug-ins: Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager en VMware Cloud Director Availability.
Beschouwd als minder kritisch met een CVSS-score van 6,5, stelt deze fout aanvallers met toegang tot poort 443 nog steeds in staat om “acties uit te voeren die zijn toegestaan door de getroffen plug-ins zonder authenticatie.”
Het lijkt erop dat duizenden op internet gerichte servers nog steeds kwetsbaar zijn voor zowel CVE-2021-21985 als CVE-2021-21986.
Dinsdag zeiden onderzoekers van Trustwave SpiderLabs dat een analyse van VMWare vCenter-servers 5.271 exemplaren van VMWare vCenter-servers aan het licht bracht die online beschikbaar zijn, waarvan de meeste versies 6.7, 6.5 en 7.0 draaien, met poort 443 de meest gebruikte.
Na gebruik van de Shodan-zoekmachine voor verder onderzoek, was het team in staat om gegevens uit 4969 instanties te halen, en ze ontdekten dat in totaal 4019 instanties – of 80,88% – niet zijn gepatcht.
De resterende 19,12% is waarschijnlijk kwetsbaar, omdat het oude versies van de software zijn, inclusief versies 2.5x en 4.0x, die aan het einde van hun levensduur zijn en niet worden ondersteund.
Op het moment dat de leverancier de beveiligingsoplossingen uitbracht, zei VMWare dat de kwetsbaarheden de “onmiddellijke aandacht” van gebruikers eisten. Zoals eerder gemeld door ZDNet, kunnen de patches sommige plug-ins van derden kapot maken, en als het niet mogelijk is om de fixes toe te passen, worden servereigenaren gevraagd om VMWare-plug-ins uit te schakelen om de dreiging van misbruik te verminderen.
Het wordt aanbevolen dat dit soort kritieke bugs zo snel mogelijk worden aangepakt of verholpen.
Proof-of-Concept (PoC) code is vrijgegeven voor CVE-2021-21985. Het probleem is zo ernstig dat het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) leveranciers heeft gewaarschuwd om hun builds te patchen.
Eerdere en gerelateerde berichtgeving
Onmiddellijk patchen: VMware waarschuwt voor kritieke fout in uitvoering van externe code in vCenter
VMware rolt “Anywhere Workspace”-suite met tools uit
VMware combineert services voor nieuwe moderne Apps Connectivity-platform
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
VMWare Security TV Data Management CXO Datacenters 