VMware warnt vor kritischer Remote-Code Sicherheitslücke in vCenter

VMware warnt, dass zwei Lücken die Ausführung von Remote Code in vCenter ermöglichen. Das dringlichste Problem ist CVE-2021-21985, eine Schwachstelle für Remotecode-Ausführung in einem standardmäßig in vCenter aktivierten vSAN-Plugin. Die könnte ein Angreifer nutzen, um auf dem zugrunde liegenden Host-Computer auszuführen, was immer er möchte, vorausgesetzt, er kann auf Port 443 zugreifen.

Selbst wenn Benutzer vSAN nicht verwenden, sind sie wahrscheinlich betroffen, da das vSAN-Plugin standardmäßig aktiviert ist. „Der vSphere-Client (HTML5) enthält eine Schwachstelle für Remote-Code-Ausführung aufgrund fehlender Eingabevalidierung im Virtual-SAN-Health-Check-Plugin, das standardmäßig in vCenter Server aktiviert ist“, beschreibt VMware das Problem in einem Advisory.

In seiner FAQ warnte VMware, dass, da der Angreifer nur in der Lage sein muss, Port 443 zu erreichen, um den Angriff durchzuführen, Firewall-Kontrollen die letzte Verteidigungslinie für Anwender sind.

„Organisationen, die ihre vCenter-Server in Netzwerken platziert haben, die direkt vom Internet aus zugänglich sind, verfügen möglicherweise nicht über diese Verteidigungslinie und sollten ihre Systeme auf Kompromittierung überprüfen“, so das Unternehmen.

„Außerdem sollten sie Maßnahmen ergreifen, um mehr Perimeter-Sicherheitskontrollen (Firewalls, ACLs usw.) an den Management-Schnittstellen ihrer Infrastruktur zu implementieren.“

Um das Problem zu beheben, empfiehlt VMware den Anwendern, vCenter zu aktualisieren, oder, falls dies nicht möglich ist, hat das Unternehmen eine Anleitung zur Deaktivierung von vCenter Server-Plugins bereitgestellt.

„Während vSAN weiterhin in Betrieb ist, sind Verwaltbarkeit und Überwachung nicht möglich, solange das Plugin deaktiviert ist. Kunden, die vSAN nutzen, sollten die Deaktivierung des Plugins, wenn überhaupt, nur für kurze Zeiträume in Betracht ziehen“, warnt VMware.

Die Anwender werden gewarnt, dass die Patches eine bessere Plugin-Authentifizierung bieten und dass einige Plugins von Drittanbietern betroffen sein können. Kunden werden angewiesen, den Plugin-Anbieter zu kontaktieren. „Dies erfordert Ihre sofortige Aufmerksamkeit, wenn Sie vCenter Server verwenden“, sagte VMware in einem Blog-Post.

„In dieser Ära der Ransomware ist es am sichersten, davon auszugehen, dass ein Angreifer bereits irgendwo im Netzwerk, auf einem Desktop und vielleicht sogar unter Kontrolle eines Benutzerkontos ist, weshalb wir dringend empfehlen, den Notfall zu erklären und so schnell wie möglich zu patchen.“

Selbst mit Perimeter-Kontrollen ist es möglicherweise nicht getan, und VMware empfahl Anwendern, sich eine bessere Netzwerk-Trennung anzusehen. „Ransomware-Banden haben der Welt wiederholt demonstriert, dass sie in der Lage sind, Unternehmensnetzwerke zu kompromittieren, indem sie extrem geduldig sind und auf eine neue Schwachstelle warten, um von innerhalb eines Netzwerks anzugreifen“, heißt es.

„Dies ist nicht nur bei VMware-Produkten der Fall, aber es beeinflusst unsere Vorschläge hier. Unternehmen sollten zusätzliche Sicherheitskontrollen und eine Isolierung zwischen ihrer IT-Infrastruktur und anderen Unternehmensnetzwerken in Betracht ziehen, um moderne Zero-Trust-Sicherheitsstrategien zu implementieren.“

Die zweite Schwachstelle, CVE-2021-21986, würde es einem Angreifer ermöglichen, von Plugins erlaubte Aktionen ohne Authentifizierung durchzuführen.

„Der vSphere Client (HTML5) enthält eine Schwachstelle in einem vSphere-Authentifizierungsmechanismus für die Plug-ins Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Availability“, so VMware.

Beim CVSSv3-Scores, der die Problematik von Sicherheitsproblemen misst, erreichte CVE-2021-21985 einen Wert von 9,8, während CVE-2021-21986 mit 6,5 bewertet wurde. Zu Beginn dieses Jahres wurden zwei ESXi-Schwachstellen von Ransomware-Banden genutzt, um virtuelle Maschinen zu übernehmen und virtuelle Festplatten zu verschlüsseln.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

23 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

23 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago