Kritische RCE-Schwachstelle in VMware vCenter Server gefunden - jetzt patchen!

VMware hat Patches zur Behebung einer kritischen Sicherheitslücke in vCenter Server veröffentlicht, die von einem Angreifer zur Ausführung von beliebigem Code auf dem Server genutzt werden könnte.

Die Schwachstelle mit der Bezeichnung CVE-2021-21985 (CVSS-Score 9.8) ist auf eine fehlende Eingabevalidierung im Virtual SAN (vSAN) Health Check Plug-in zurückzuführen, das standardmäßig im vCenter Server aktiviert ist. "Ein böswilliger Akteur mit Netzwerkzugriff auf Port 443 kann dieses Problem ausnutzen, um Befehle mit uneingeschränkten Rechten auf dem zugrunde liegenden Betriebssystem auszuführen, das vCenter Server hostet", so VMware in seinem Advisory.

VMware vCenter Server ist ein Dienstprogramm für das Servermanagement, mit dem virtuelle Maschinen, ESXi-Hosts und andere abhängige Komponenten von einem zentralen Ort aus gesteuert werden können. Die Schwachstelle betrifft die Versionen 6.5, 6.7 und 7.0 von vCenter Server sowie die Versionen 3.x und 4.x von Cloud Foundation. VMware bedankt sich bei Ricter Z von 360 Noah Lab für die Meldung der Sicherheitslücke.

Das Patch-Release behebt außerdem ein Authentifizierungsproblem im vSphere-Client, das die Plug-ins Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Availability betrifft (CVE-2021-21986, CVSS-Score: 6.5), wodurch ein Angreifer von den Plug-ins erlaubte Aktionen ohne jegliche Authentifizierung durchführen kann.

Während VMware seinen Kunden dringend empfiehlt, die "Notfalländerung" anzuwenden, hat das Unternehmen einen Workaround veröffentlicht, um die Plug-ins als inkompatibel zu setzen. "Die Deaktivierung dieser Plug-ins führt zu einem Verlust der Management- und Überwachungsfunktionen, die von den Plug-ins bereitgestellt werden", so das Unternehmen.

"Organisationen, die ihre vCenter-Server in Netzwerken platziert haben, die direkt vom Internet aus zugänglich sind [...], sollten ihre Systeme auf Kompromittierung überprüfen", so VMware weiter. "Sie sollten auch Schritte unternehmen, um mehr Perimeter-Sicherheitskontrollen (Firewalls, ACLs, etc.) auf den Management-Schnittstellen ihrer Infrastruktur zu implementieren."

CVE-2021-21985 ist die zweite kritische Sicherheitslücke, die VMware im vCenter Server behoben hat. Anfang Februar dieses Jahres wurde eine Schwachstelle in einem vCenter Server-Plug-in (CVE-2021-21972) behoben, die dazu missbraucht werden konnte, Befehle mit uneingeschränkten Rechten auf dem zugrunde liegenden Betriebssystem, das den Server hostet, auszuführen.

Die Fixes für die vCenter-Schwachstellen kommen auch, nachdem das Unternehmen einen weiteren kritischen Fehler in VMware vRealize Business for Cloud (CVE-2021-21984, CVSS-Score: 9.8) gepatcht hat, der auf einen nicht autorisierten Endpunkt zurückzuführen ist und von einem böswilligen Akteur mit Netzwerkzugang ausgenutzt werden könnte, um beliebigen Code auf der Appliance auszuführen.

Zuvor hatte VMware Updates ausgerollt, um mehrere Schwachstellen in den Lösungen VMware Carbon Black Cloud Workload und vRealize Operations Manager zu beheben.