Kritische Schwachstelle CVE-2021-22005 in VMware vCenter

Sicherheit (Pexels, allgemeine Nutzung)[English]VMware hat zum 21. September 2021 Informationen zu insgesamt 19 Schwachstellen in den Produkten VMware vCenter Server (vCenter Server) und VMware Cloud Foundation (Cloud Foundation) [VMW2021a] veröffentlicht. Es handelt sich um teils kritische Sicherheitslücken – speziell die Schwachstelle CVE-2021-22005 wurde mit dem Wert von 9.8 als "kritisch" eingestuft. VMware hat entsprechende Sicherheitsupdates freigegeben.


Anzeige

Am 21. September 2021 hat VMware diesen Sicherheitshinweis zu den Schwachstellen CVE-2021-21991, CVE-2021-21992, CVE-2021-21993, CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, CVE-2021-22009, CVE-2021-22010, CVE-2021-22011, CVE-2021-22012, CVE-2021-22013, CVE-2021-22014, CVE-2021-22015, CVE-2021-22016, CVE-2021-22017, CVE-2021-22018, CVE-2021-22019, CVE-2021-22020 veröffentlicht. Im betreffenden Sicherheitshinweis finden sich Details sowie Links zu den aktualisierten Produkten.

US-CERT warnt

Das US-CERT warnt in dieser Meldung vom 21. September 2021 von der Schwachstelle CVE-2021-22005 im  vCenter Server. Die Schwachstelle kann beim Hochladen beliebiger Dateien ausgenutzt werden, wobei der im Analytics-Dienst betroffen ist. Ein böswilliger Cyber-Akteur mit Netzwerkzugriff auf Port 443 kann diese Schwachstelle ausnutzen, um Code auf vCenter Server auszuführen.

Auch BSI-Bund hat am 19. September 2021 eine deutschsprachige Warnung zu diesem Sachverhalt herausgegeben. Das BSI empfiehlt dringend, die aktuelle Version des VMware vCenter Servers einzuspielen, die am 21.09.2021 vom Hersteller veröffentlicht worden ist. Die aktuellen Sicherheitspatches können über das offizielle VMware Patch Download Center bezogen bzw. über die integrierte Update-Funktion des vCenter-Servers installiert werden (siehe

Massenscans und Ausnutzung

Am 24. September 2021 bestätigte VMware Berichte, dass CVE-2021-22005 in freier Wildbahn ausgenutzt wird. In nachfolgendem Tweet macht jemand auf einen PoC für  CVE-2021-22005 aufmerksam.


Anzeige

PoC for CVE-2021-22005

Sicherheitsforscher berichten außerdem von Massen-Scans nach anfälligen vCenter-Servern und öffentlich verfügbarem Exploit-Code. Aufgrund der Verfügbarkeit von Exploit-Code erwartet die CISA eine weit verbreitete Ausnutzung dieser Sicherheitslücke. Administratoren sollten also patchen sowie sich mit dem von VMware in diesem Artikel vorgestellten Workaround zum Schließen der Schwachstelle CVE-2021-22005 befassen.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virtualisierung abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Kritische Schwachstelle CVE-2021-22005 in VMware vCenter

  1. 1ST1 sagt:

    Ich frage mich, wer sein vCenter aus dem Internet erreichbar macht…

    • Singlethreaded sagt:

      Man sollte meinen, dass niemand auf so eine Idee kommen sollte, aber die Portscans von shoden.io belegen etwas anderes. Entweder ist es also ein Versehen oder die zuständigen Admins sind sehr optimistisch eingestellt. Ein paar Honeypots sind bestimmt auch von der Partie ;-)

      Gruß Singlethreaded

    • prx sagt:

      Man muss keine Server ins Internet stellen, um Ärger mit Löchern solcher Server zu kriegen. Es reicht völlig, wenn ein Anwender-PC gekapert wird, der dann innerhalb des Netzes auf Brautschau geht.

      • Singlethreaded sagt:

        Das stimmt schon und deshalb patchen wir solche Lücken ja auch. Trotzdem ist ein vCenter Server im Internet weit exponierter als ein rein interner im LAN. Gegen "Lateral Movement" gibt es andere Maßnahmen. Bei uns steht z.B. der vCenter Server in einem separaten VLAN und ein normaler Client-PC kommt gar nicht an diesen ran. Klar gibt es immer einen Weg, aber man kann es den Angreifern eben leicht oder schwer machen.

  2. Singlethreaded sagt:

    Hinweis:
    Wir verwenden die vCenter Server Appliance und haben festgeestellt, dass die Appliance ebenfalls betroffen ist!

    Gestern Update auf die vCenter Server Appliance 6.7 U3o ISO Build 18485166, Version 6.7.0.50000 installiert.

    https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3o-release-notes.html

    Gruß Singlethreaded

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.