[English]VMware hat zum 21. September 2021 Informationen zu insgesamt 19 Schwachstellen in den Produkten VMware vCenter Server (vCenter Server) und VMware Cloud Foundation (Cloud Foundation) [VMW2021a] veröffentlicht. Es handelt sich um teils kritische Sicherheitslücken – speziell die Schwachstelle CVE-2021-22005 wurde mit dem Wert von 9.8 als "kritisch" eingestuft. VMware hat entsprechende Sicherheitsupdates freigegeben.
Anzeige
Am 21. September 2021 hat VMware diesen Sicherheitshinweis zu den Schwachstellen CVE-2021-21991, CVE-2021-21992, CVE-2021-21993, CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, CVE-2021-22009, CVE-2021-22010, CVE-2021-22011, CVE-2021-22012, CVE-2021-22013, CVE-2021-22014, CVE-2021-22015, CVE-2021-22016, CVE-2021-22017, CVE-2021-22018, CVE-2021-22019, CVE-2021-22020 veröffentlicht. Im betreffenden Sicherheitshinweis finden sich Details sowie Links zu den aktualisierten Produkten.
US-CERT warnt
Das US-CERT warnt in dieser Meldung vom 21. September 2021 von der Schwachstelle CVE-2021-22005 im vCenter Server. Die Schwachstelle kann beim Hochladen beliebiger Dateien ausgenutzt werden, wobei der im Analytics-Dienst betroffen ist. Ein böswilliger Cyber-Akteur mit Netzwerkzugriff auf Port 443 kann diese Schwachstelle ausnutzen, um Code auf vCenter Server auszuführen.
Auch BSI-Bund hat am 19. September 2021 eine deutschsprachige Warnung zu diesem Sachverhalt herausgegeben. Das BSI empfiehlt dringend, die aktuelle Version des VMware vCenter Servers einzuspielen, die am 21.09.2021 vom Hersteller veröffentlicht worden ist. Die aktuellen Sicherheitspatches können über das offizielle VMware Patch Download Center bezogen bzw. über die integrierte Update-Funktion des vCenter-Servers installiert werden (siehe
Massenscans und Ausnutzung
Am 24. September 2021 bestätigte VMware Berichte, dass CVE-2021-22005 in freier Wildbahn ausgenutzt wird. In nachfolgendem Tweet macht jemand auf einen PoC für CVE-2021-22005 aufmerksam.
Anzeige
Sicherheitsforscher berichten außerdem von Massen-Scans nach anfälligen vCenter-Servern und öffentlich verfügbarem Exploit-Code. Aufgrund der Verfügbarkeit von Exploit-Code erwartet die CISA eine weit verbreitete Ausnutzung dieser Sicherheitslücke. Administratoren sollten also patchen sowie sich mit dem von VMware in diesem Artikel vorgestellten Workaround zum Schließen der Schwachstelle CVE-2021-22005 befassen.
Anzeige
Ich frage mich, wer sein vCenter aus dem Internet erreichbar macht…
Man sollte meinen, dass niemand auf so eine Idee kommen sollte, aber die Portscans von shoden.io belegen etwas anderes. Entweder ist es also ein Versehen oder die zuständigen Admins sind sehr optimistisch eingestellt. Ein paar Honeypots sind bestimmt auch von der Partie ;-)
Gruß Singlethreaded
Man muss keine Server ins Internet stellen, um Ärger mit Löchern solcher Server zu kriegen. Es reicht völlig, wenn ein Anwender-PC gekapert wird, der dann innerhalb des Netzes auf Brautschau geht.
Das stimmt schon und deshalb patchen wir solche Lücken ja auch. Trotzdem ist ein vCenter Server im Internet weit exponierter als ein rein interner im LAN. Gegen "Lateral Movement" gibt es andere Maßnahmen. Bei uns steht z.B. der vCenter Server in einem separaten VLAN und ein normaler Client-PC kommt gar nicht an diesen ran. Klar gibt es immer einen Weg, aber man kann es den Angreifern eben leicht oder schwer machen.
Hinweis:
Wir verwenden die vCenter Server Appliance und haben festgeestellt, dass die Appliance ebenfalls betroffen ist!
Gestern Update auf die vCenter Server Appliance 6.7 U3o ISO Build 18485166, Version 6.7.0.50000 installiert.
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3o-release-notes.html
Gruß Singlethreaded