Na serveri VMware vCenter Server sa našla kritická zraniteľnosť RCE – oprava!

Spoločnosť VMware zaviedla záplaty na riešenie kritickej bezpečnostnej chyby v serveri vCenter, ktorú by mohol protivník využiť na spustenie ľubovoľného kódu na serveri.

Sledované ako CVE-2021-21985 (skóre CVSS 9.8), problém pramení z nedostatku overenia vstupu v doplnku Kontrola stavu virtuálnej siete SAN (vSAN), ktorý je na serveri vCenter štandardne povolený. „Zlomyslný hráč so sieťovým prístupom k portu 443 môže tento problém zneužiť na vykonávanie príkazov s neobmedzenými oprávneniami na základnom operačnom systéme, ktorý je hostiteľom servera vCenter Server,“ uviedol VMware vo svojom odporúčaní.

VMware vCenter Server je nástroj na správu servera, ktorý sa používa na ovládanie virtuálnych strojov, hostiteľov ESXi a iných závislých komponentov z jedného centralizovaného miesta. Chyba ovplyvňuje verzie servera vCenter 6.5, 6.7a 7.0 a verzie Cloud Foundation 3.x a 4.X. VMware pripísal Ricterovi Z z 360 Noah Lab za nahlásenie zraniteľnosti.

Vydanie opravy tiež odstraňuje problém s autentifikáciou v klientovi vSphere, ktorý ovplyvňuje kontrolu stavu virtuálnej siete SAN, obnovu lokality, vSphere Lifecycle Manager a doplnky dostupnosti VMware Cloud Director (CVE-2021-21986, skóre CVSS: 6.5), čím umožňuje útočníkovi vykonávať akcie povolené zásuvnými modulmi bez akejkoľvek autentifikácie.

Aj keď VMware dôrazne odporúča zákazníkom, aby použili „núdzovú zmenu“, spoločnosť zverejnila riešenie, ako nastaviť doplnky ako nekompatibilné. „Vypnutie týchto doplnkov bude mať za následok stratu možností správy a monitorovania, ktoré tieto doplnky poskytujú,“ poznamenala spoločnosť.

„Organizácie, ktoré umiestnili svoje servery vCenter do sietí, ktoré sú priamo dostupné z internetu […] Mali by auditovať svoje systémy, či nie sú ohrozené,” dodal VMware. „Mali by tiež podniknúť kroky na implementáciu viacerých kontrol perimetrickej bezpečnosti (firewally, ACL atď.) na rozhraniach správy ich infraštruktúry.”

CVE-2021-21985 je druhou kritickou zraniteľnosťou, ktorú VMware napravil na vCenter Server. Začiatkom tohto februára vyriešila chybu zabezpečenia vzdialeného spúšťania kódu v zásuvnom module vCenter Server (CVE-2021-21972), ktorý by sa mohol zneužiť na spúšťanie príkazov s neobmedzenými oprávneniami na základnom operačnom systéme, ktorý je hostiteľom servera.

Opravy chýb vCenter prichádzajú aj po tom, čo spoločnosť opravila ďalšiu kritickú chybu spustenia vzdialeného kódu vo VMware vRealize Business for Cloud (CVE-2021-21984, skóre CVSS: 9.8) z dôvodu neautorizovaného koncového bodu, ktorý by mohol zneužiť škodlivý aktér s prístupom k sieti na spustenie ľubovoľného kódu na zariadení.

Predtým VMware zaviedol aktualizácie na nápravu viacerých nedostatkov v riešeniach VMware Carbon Black Cloud Workload a vRealize Operations Manager.