VMware warnt vor kritischer Remote-Code Sicherheitslücke in vCenter

VMware warnt, dass zwei Lücken die Ausführung von Remote Code in vCenter ermöglichen. Das dringlichste Problem ist CVE-2021-21985, eine Schwachstelle für Remotecode-Ausführung in einem standardmäßig in vCenter aktivierten vSAN-Plugin. Die könnte ein Angreifer nutzen, um auf dem zugrunde liegenden Host-Computer auszuführen, was immer er möchte, vorausgesetzt, er kann auf Port 443 zugreifen.

Selbst wenn Benutzer vSAN nicht verwenden, sind sie wahrscheinlich betroffen, da das vSAN-Plugin standardmäßig aktiviert ist. „Der vSphere-Client (HTML5) enthält eine Schwachstelle für Remote-Code-Ausführung aufgrund fehlender Eingabevalidierung im Virtual-SAN-Health-Check-Plugin, das standardmäßig in vCenter Server aktiviert ist“, beschreibt VMware das Problem in einem Advisory.

In seiner FAQ warnte VMware, dass, da der Angreifer nur in der Lage sein muss, Port 443 zu erreichen, um den Angriff durchzuführen, Firewall-Kontrollen die letzte Verteidigungslinie für Anwender sind.

„Organisationen, die ihre vCenter-Server in Netzwerken platziert haben, die direkt vom Internet aus zugänglich sind, verfügen möglicherweise nicht über diese Verteidigungslinie und sollten ihre Systeme auf Kompromittierung überprüfen“, so das Unternehmen.

„Außerdem sollten sie Maßnahmen ergreifen, um mehr Perimeter-Sicherheitskontrollen (Firewalls, ACLs usw.) an den Management-Schnittstellen ihrer Infrastruktur zu implementieren.“

Um das Problem zu beheben, empfiehlt VMware den Anwendern, vCenter zu aktualisieren, oder, falls dies nicht möglich ist, hat das Unternehmen eine Anleitung zur Deaktivierung von vCenter Server-Plugins bereitgestellt.

„Während vSAN weiterhin in Betrieb ist, sind Verwaltbarkeit und Überwachung nicht möglich, solange das Plugin deaktiviert ist. Kunden, die vSAN nutzen, sollten die Deaktivierung des Plugins, wenn überhaupt, nur für kurze Zeiträume in Betracht ziehen“, warnt VMware.

Die Anwender werden gewarnt, dass die Patches eine bessere Plugin-Authentifizierung bieten und dass einige Plugins von Drittanbietern betroffen sein können. Kunden werden angewiesen, den Plugin-Anbieter zu kontaktieren. „Dies erfordert Ihre sofortige Aufmerksamkeit, wenn Sie vCenter Server verwenden“, sagte VMware in einem Blog-Post.

„In dieser Ära der Ransomware ist es am sichersten, davon auszugehen, dass ein Angreifer bereits irgendwo im Netzwerk, auf einem Desktop und vielleicht sogar unter Kontrolle eines Benutzerkontos ist, weshalb wir dringend empfehlen, den Notfall zu erklären und so schnell wie möglich zu patchen.“

Selbst mit Perimeter-Kontrollen ist es möglicherweise nicht getan, und VMware empfahl Anwendern, sich eine bessere Netzwerk-Trennung anzusehen. „Ransomware-Banden haben der Welt wiederholt demonstriert, dass sie in der Lage sind, Unternehmensnetzwerke zu kompromittieren, indem sie extrem geduldig sind und auf eine neue Schwachstelle warten, um von innerhalb eines Netzwerks anzugreifen“, heißt es.

„Dies ist nicht nur bei VMware-Produkten der Fall, aber es beeinflusst unsere Vorschläge hier. Unternehmen sollten zusätzliche Sicherheitskontrollen und eine Isolierung zwischen ihrer IT-Infrastruktur und anderen Unternehmensnetzwerken in Betracht ziehen, um moderne Zero-Trust-Sicherheitsstrategien zu implementieren.“

Die zweite Schwachstelle, CVE-2021-21986, würde es einem Angreifer ermöglichen, von Plugins erlaubte Aktionen ohne Authentifizierung durchzuführen.

„Der vSphere Client (HTML5) enthält eine Schwachstelle in einem vSphere-Authentifizierungsmechanismus für die Plug-ins Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Availability“, so VMware.

Beim CVSSv3-Scores, der die Problematik von Sicherheitsproblemen misst, erreichte CVE-2021-21985 einen Wert von 9,8, während CVE-2021-21986 mit 6,5 bewertet wurde. Zu Beginn dieses Jahres wurden zwei ESXi-Schwachstellen von Ransomware-Banden genutzt, um virtuelle Maschinen zu übernehmen und virtuelle Festplatten zu verschlüsseln.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

4 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

22 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

24 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago