VMware warnt vor kritischer Remote-Code Sicherheitslücke in vCenter

VMware warnt, dass zwei Lücken die Ausführung von Remote Code in vCenter ermöglichen. Das dringlichste Problem ist CVE-2021-21985, eine Schwachstelle für Remotecode-Ausführung in einem standardmäßig in vCenter aktivierten vSAN-Plugin. Die könnte ein Angreifer nutzen, um auf dem zugrunde liegenden Host-Computer auszuführen, was immer er möchte, vorausgesetzt, er kann auf Port 443 zugreifen.

Selbst wenn Benutzer vSAN nicht verwenden, sind sie wahrscheinlich betroffen, da das vSAN-Plugin standardmäßig aktiviert ist. „Der vSphere-Client (HTML5) enthält eine Schwachstelle für Remote-Code-Ausführung aufgrund fehlender Eingabevalidierung im Virtual-SAN-Health-Check-Plugin, das standardmäßig in vCenter Server aktiviert ist“, beschreibt VMware das Problem in einem Advisory.

In seiner FAQ warnte VMware, dass, da der Angreifer nur in der Lage sein muss, Port 443 zu erreichen, um den Angriff durchzuführen, Firewall-Kontrollen die letzte Verteidigungslinie für Anwender sind.

„Organisationen, die ihre vCenter-Server in Netzwerken platziert haben, die direkt vom Internet aus zugänglich sind, verfügen möglicherweise nicht über diese Verteidigungslinie und sollten ihre Systeme auf Kompromittierung überprüfen“, so das Unternehmen.

„Außerdem sollten sie Maßnahmen ergreifen, um mehr Perimeter-Sicherheitskontrollen (Firewalls, ACLs usw.) an den Management-Schnittstellen ihrer Infrastruktur zu implementieren.“

Um das Problem zu beheben, empfiehlt VMware den Anwendern, vCenter zu aktualisieren, oder, falls dies nicht möglich ist, hat das Unternehmen eine Anleitung zur Deaktivierung von vCenter Server-Plugins bereitgestellt.

„Während vSAN weiterhin in Betrieb ist, sind Verwaltbarkeit und Überwachung nicht möglich, solange das Plugin deaktiviert ist. Kunden, die vSAN nutzen, sollten die Deaktivierung des Plugins, wenn überhaupt, nur für kurze Zeiträume in Betracht ziehen“, warnt VMware.

Die Anwender werden gewarnt, dass die Patches eine bessere Plugin-Authentifizierung bieten und dass einige Plugins von Drittanbietern betroffen sein können. Kunden werden angewiesen, den Plugin-Anbieter zu kontaktieren. „Dies erfordert Ihre sofortige Aufmerksamkeit, wenn Sie vCenter Server verwenden“, sagte VMware in einem Blog-Post.

„In dieser Ära der Ransomware ist es am sichersten, davon auszugehen, dass ein Angreifer bereits irgendwo im Netzwerk, auf einem Desktop und vielleicht sogar unter Kontrolle eines Benutzerkontos ist, weshalb wir dringend empfehlen, den Notfall zu erklären und so schnell wie möglich zu patchen.“

Selbst mit Perimeter-Kontrollen ist es möglicherweise nicht getan, und VMware empfahl Anwendern, sich eine bessere Netzwerk-Trennung anzusehen. „Ransomware-Banden haben der Welt wiederholt demonstriert, dass sie in der Lage sind, Unternehmensnetzwerke zu kompromittieren, indem sie extrem geduldig sind und auf eine neue Schwachstelle warten, um von innerhalb eines Netzwerks anzugreifen“, heißt es.

„Dies ist nicht nur bei VMware-Produkten der Fall, aber es beeinflusst unsere Vorschläge hier. Unternehmen sollten zusätzliche Sicherheitskontrollen und eine Isolierung zwischen ihrer IT-Infrastruktur und anderen Unternehmensnetzwerken in Betracht ziehen, um moderne Zero-Trust-Sicherheitsstrategien zu implementieren.“

Die zweite Schwachstelle, CVE-2021-21986, würde es einem Angreifer ermöglichen, von Plugins erlaubte Aktionen ohne Authentifizierung durchzuführen.

„Der vSphere Client (HTML5) enthält eine Schwachstelle in einem vSphere-Authentifizierungsmechanismus für die Plug-ins Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Availability“, so VMware.

Beim CVSSv3-Scores, der die Problematik von Sicherheitsproblemen misst, erreichte CVE-2021-21985 einen Wert von 9,8, während CVE-2021-21986 mit 6,5 bewertet wurde. Zu Beginn dieses Jahres wurden zwei ESXi-Schwachstellen von Ransomware-Banden genutzt, um virtuelle Maschinen zu übernehmen und virtuelle Festplatten zu verschlüsseln.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago