VMware warnt vor kritischer Remote-Code Sicherheitslücke in vCenter

VMware warnt, dass zwei Lücken die Ausführung von Remote Code in vCenter ermöglichen. Das dringlichste Problem ist CVE-2021-21985, eine Schwachstelle für Remotecode-Ausführung in einem standardmäßig in vCenter aktivierten vSAN-Plugin. Die könnte ein Angreifer nutzen, um auf dem zugrunde liegenden Host-Computer auszuführen, was immer er möchte, vorausgesetzt, er kann auf Port 443 zugreifen.

Selbst wenn Benutzer vSAN nicht verwenden, sind sie wahrscheinlich betroffen, da das vSAN-Plugin standardmäßig aktiviert ist. „Der vSphere-Client (HTML5) enthält eine Schwachstelle für Remote-Code-Ausführung aufgrund fehlender Eingabevalidierung im Virtual-SAN-Health-Check-Plugin, das standardmäßig in vCenter Server aktiviert ist“, beschreibt VMware das Problem in einem Advisory.

In seiner FAQ warnte VMware, dass, da der Angreifer nur in der Lage sein muss, Port 443 zu erreichen, um den Angriff durchzuführen, Firewall-Kontrollen die letzte Verteidigungslinie für Anwender sind.

„Organisationen, die ihre vCenter-Server in Netzwerken platziert haben, die direkt vom Internet aus zugänglich sind, verfügen möglicherweise nicht über diese Verteidigungslinie und sollten ihre Systeme auf Kompromittierung überprüfen“, so das Unternehmen.

„Außerdem sollten sie Maßnahmen ergreifen, um mehr Perimeter-Sicherheitskontrollen (Firewalls, ACLs usw.) an den Management-Schnittstellen ihrer Infrastruktur zu implementieren.“

Um das Problem zu beheben, empfiehlt VMware den Anwendern, vCenter zu aktualisieren, oder, falls dies nicht möglich ist, hat das Unternehmen eine Anleitung zur Deaktivierung von vCenter Server-Plugins bereitgestellt.

„Während vSAN weiterhin in Betrieb ist, sind Verwaltbarkeit und Überwachung nicht möglich, solange das Plugin deaktiviert ist. Kunden, die vSAN nutzen, sollten die Deaktivierung des Plugins, wenn überhaupt, nur für kurze Zeiträume in Betracht ziehen“, warnt VMware.

Die Anwender werden gewarnt, dass die Patches eine bessere Plugin-Authentifizierung bieten und dass einige Plugins von Drittanbietern betroffen sein können. Kunden werden angewiesen, den Plugin-Anbieter zu kontaktieren. „Dies erfordert Ihre sofortige Aufmerksamkeit, wenn Sie vCenter Server verwenden“, sagte VMware in einem Blog-Post.

„In dieser Ära der Ransomware ist es am sichersten, davon auszugehen, dass ein Angreifer bereits irgendwo im Netzwerk, auf einem Desktop und vielleicht sogar unter Kontrolle eines Benutzerkontos ist, weshalb wir dringend empfehlen, den Notfall zu erklären und so schnell wie möglich zu patchen.“

Selbst mit Perimeter-Kontrollen ist es möglicherweise nicht getan, und VMware empfahl Anwendern, sich eine bessere Netzwerk-Trennung anzusehen. „Ransomware-Banden haben der Welt wiederholt demonstriert, dass sie in der Lage sind, Unternehmensnetzwerke zu kompromittieren, indem sie extrem geduldig sind und auf eine neue Schwachstelle warten, um von innerhalb eines Netzwerks anzugreifen“, heißt es.

„Dies ist nicht nur bei VMware-Produkten der Fall, aber es beeinflusst unsere Vorschläge hier. Unternehmen sollten zusätzliche Sicherheitskontrollen und eine Isolierung zwischen ihrer IT-Infrastruktur und anderen Unternehmensnetzwerken in Betracht ziehen, um moderne Zero-Trust-Sicherheitsstrategien zu implementieren.“

Die zweite Schwachstelle, CVE-2021-21986, würde es einem Angreifer ermöglichen, von Plugins erlaubte Aktionen ohne Authentifizierung durchzuführen.

„Der vSphere Client (HTML5) enthält eine Schwachstelle in einem vSphere-Authentifizierungsmechanismus für die Plug-ins Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Availability“, so VMware.

Beim CVSSv3-Scores, der die Problematik von Sicherheitsproblemen misst, erreichte CVE-2021-21985 einen Wert von 9,8, während CVE-2021-21986 mit 6,5 bewertet wurde. Zu Beginn dieses Jahres wurden zwei ESXi-Schwachstellen von Ransomware-Banden genutzt, um virtuelle Maschinen zu übernehmen und virtuelle Festplatten zu verschlüsseln.