Mehrere Sicherheitslücken in VMWare vCenter – Patch verfügbar

Betroffene Produkte

Die kritische Sicherheitslücke betrifft VMware vCenter 6.7 und 7.0 sowie VMware Cloud Foundation 3.x und 4.x, weitere Lücken betreffen auch vCenter 6.5. Auf der Seite von VMware (unten verlinkt) gibt es eine detaillierte Matrix.

Angriffsvektor

Risikostufe 1 – Von extern ausnutzbar
Risikostufe 2 – Aus Firmennetz ausnutzbarx
Risikostufe 3 – Auf lokaler Maschine ausnutzbarx
Einige der Lücken lassen sich durch Netzwerkzugriff auf bestimmte Ports (443, 5480, 9087) ausnutzen, andere lokal.

Art des Angriffs

Remote-Codeausführung: Ein Angreifer mit Zugriff auf Port 443 kann die Sicherheitslücke CVE-22005 ausnutzen, um schädlichen Code auf dem vCenter auszuführen.

Lokale Privilegieneskalation: Ein Angreifer mit nicht-administrativem Zugriff kann seine Privilegien eskalieren, um zum Administrator zu werden (sowohl über HTML5 als auch Flash Client).

Weitere Lücken ermöglichen das Umgehen des Reverse Proxy, Manipulation der Netzwerkeinstellungen von VM’s, eine weitere Möglichkeit der Privilegieneskalation, das unauthentifizierte Auslesen von Informationen über Port 443, das Ausführen von Scripten (erfordert Benutzerinteraktion mit schädlichem Link), Codeausführung auf dem Betriebssystem des vCenter Server (erfordert Netzwerkzugriff auf Port 5480), das Löschen von Dateien auf dem vCenter (erfordert Netzwerkzugriff auf Port 9087), mehrere Möglichkeiten für Denial-of-Server Angriffe auf das vCenter.

Handlungsempfehlung

Wir empfehlen, alle aktuellen Patches für vCenter und Cloud Foundation zu installieren, um die Sicherheitslücken zu schließen.

Für einige Lücken gibt es auch Workarounds, allerdings ist das Patchen des vCenters in aller Regel für die Endnutzer unterbrechungsfrei möglich und daher auf jeden Fall zu bevorzugen.

Weitere Informationen

https://www.vmware.com/de/security/advisories/VMSA-2021-0020.html (Beschreibung der Sicherheitslücken)
https://core.vmware.com/vmsa-2021-0020-questions-answers-faq (FAQ)
https://www.heise.de/news/Wichtige-Sicherheitsupdates-VMware-vCenter-Server-ist-vielfaeltig-angreifbar-6198240.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag (heise online Beitrag)