Betroffene Produkte
Die kritische Sicherheitslücke betrifft VMware vCenter 6.7 und 7.0 sowie VMware Cloud Foundation 3.x und 4.x, weitere Lücken betreffen auch vCenter 6.5. Auf der Seite von VMware (unten verlinkt) gibt es eine detaillierte Matrix.
Angriffsvektor
Risikostufe 1 – Von extern ausnutzbar | |
Risikostufe 2 – Aus Firmennetz ausnutzbar | x |
Risikostufe 3 – Auf lokaler Maschine ausnutzbar | x |
Art des Angriffs
Remote-Codeausführung: Ein Angreifer mit Zugriff auf Port 443 kann die Sicherheitslücke CVE-22005 ausnutzen, um schädlichen Code auf dem vCenter auszuführen.
Lokale Privilegieneskalation: Ein Angreifer mit nicht-administrativem Zugriff kann seine Privilegien eskalieren, um zum Administrator zu werden (sowohl über HTML5 als auch Flash Client).
Weitere Lücken ermöglichen das Umgehen des Reverse Proxy, Manipulation der Netzwerkeinstellungen von VM’s, eine weitere Möglichkeit der Privilegieneskalation, das unauthentifizierte Auslesen von Informationen über Port 443, das Ausführen von Scripten (erfordert Benutzerinteraktion mit schädlichem Link), Codeausführung auf dem Betriebssystem des vCenter Server (erfordert Netzwerkzugriff auf Port 5480), das Löschen von Dateien auf dem vCenter (erfordert Netzwerkzugriff auf Port 9087), mehrere Möglichkeiten für Denial-of-Server Angriffe auf das vCenter.
Handlungsempfehlung
Wir empfehlen, alle aktuellen Patches für vCenter und Cloud Foundation zu installieren, um die Sicherheitslücken zu schließen.
Für einige Lücken gibt es auch Workarounds, allerdings ist das Patchen des vCenters in aller Regel für die Endnutzer unterbrechungsfrei möglich und daher auf jeden Fall zu bevorzugen.
Weitere Informationen
https://www.vmware.com/de/security/advisories/VMSA-2021-0020.html (Beschreibung der Sicherheitslücken)
https://core.vmware.com/vmsa-2021-0020-questions-answers-faq (FAQ)
https://www.heise.de/news/Wichtige-Sicherheitsupdates-VMware-vCenter-Server-ist-vielfaeltig-angreifbar-6198240.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag (heise online Beitrag)