VMware vCenter stark gefährdet

Forscher von Trustwave haben davor gewarnt, dass Tausende von mit dem Internet verbundenen VMWare vCenter-Servern auch Wochen nach der Veröffentlichung von Patches noch kritische Sicherheitslücken aufweisen.

VMWare hat am 25. Mai Patches für zwei kritische Fehler, CVE-2021-21985 und CVE-2021-21986, veröffentlicht. Die erste Sicherheitslücke, CVE-2021-21985, wirkt sich auf VMware vCenter Server und VMware Cloud Foundation aus und wurde mit einem CVSS-Score von 9,8 bewertet. Dieser Fehler wurde in einem vSAN-Plugin gefunden, das standardmäßig in der Anwendung aktiviert ist. Er ermöglicht Angreifern die Ausführung von Remote-Code (RCE), wenn sie Zugriff auf Port 443 haben.

VMWare erklärte in einem Sicherheitshinweis, dass dieser schwerwiegende Fehler ausgenutzt werden kann, so dass Bedrohungsakteure auf „das zugrunde liegende Betriebssystem, das vCenter Server hostet“ mit 2uneingeschränkten Rechten“ zugreifen können.

Der Fehler betrifft vCenter Server 6.5, 6.7 und v.7.0, sowie Cloud Foundation vCenter Server 3.x und 4.x.

Die zweite Schwachstelle, CVE-2021-21986, ist im vSphere-Client (HTML5) und dem vSphere-Authentifizierungsmechanismus für eine Reihe von Plugins vorhanden: Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Availability.

Mit einem CVSS-Score von 6,5 als weniger kritisch eingestuft, erlaubt dieser Fehler Angreifern mit Zugriff auf Port 443 immer noch, „von den betroffenen Plug-ins erlaubte Aktionen ohne Authentifizierung durchzuführen.“

Offenbar sind immer noch Tausende von Servern mit Internetzugang exponiert und sowohl für CVE-2021-21985 als auch CVE-2021-21986 anfällig.

Am Dienstag sagten Forscher von Trustwave SpiderLabs, dass eine Analyse von VMWare vCenter-Servern 5.271 Instanzen von VMWare vCenter-Servern aufgedeckt hat, die online verfügbar sind, von denen die meisten mit den Versionen 6.7, 6.5 und 7.0 arbeiten, wobei Port 443 am häufigsten verwendet wird.

Nach der Verwendung der Shodan-Suchmaschine für weitere Untersuchungen war das Team in der Lage, Daten von 4969 Instanzen abzurufen, und sie fanden heraus, dass insgesamt 4019 Instanzen – oder 80,88 % – ungepatcht bleiben.

Die verbleibenden 19,12 % sind wahrscheinlich verwundbar, da es sich um alte Versionen der Software handelt, darunter die Versionen 2.5x und 4.0x, die nicht mehr unterstützt werden und deren Lebensdauer abgelaufen ist.

Als der Hersteller die Sicherheitsfixes herausgab, sagte VMWare, dass die Schwachstellen die „sofortige Aufmerksamkeit“ der Anwender erfordern. Wie bereits von ZDNet berichtet, können die Patches einige Plugins von Drittanbietern zerstören, und wenn die Anwendung der Fixes nicht möglich ist, werden Server-Besitzer gebeten, VMWare-Plugins zu deaktivieren, um die Gefahr eines Exploits zu vermindern.

Obwohl es laut Trustwave zum Zeitpunkt des Verfassens dieses Artikels keinen aktiven Exploit für diese Server zu geben scheint, wird dennoch empfohlen, diese Art von kritischen Fehlern so schnell wie möglich zu beheben bzw. zu entschärfen.

Proof-of-Concept (PoC) Code wurde für CVE-2021-21985 veröffentlicht. Das Problem ist so schwerwiegend, dass die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) die Hersteller aufgefordert hat, ihre Builds zu patchen.