Schwachstelle in VMware-Produkt hat Schweregrad von 9,8 von 10

Rechenzentren auf der ganzen Welt haben mit einem neuen Problem zu kämpfen – einer Remote-Code-Sicherheitslücke in einem weit verbreiteten VMware-Produkt.

Die Sicherheitslücke, die VMware am Dienstag aufgedeckt und gepatcht hat, liegt im vCenter Server, einem Tool zur Verwaltung der Virtualisierung in großen Rechenzentren. vCenter Server wird verwendet, um VMwares vSphere- und ESXi-Hostprodukte zu verwalten, die nach einigen Rankings die zweitbeliebtesten Virtualisierungslösungen auf dem Markt sind. Enlyft, eine Site, die Business Intelligence bereitstellt, zeigt, dass mehr als 43.000 Unternehmen vSphere verwenden.

„Ernst“

In einem VMware-Advisory heißt es, dass vCenter-Maschinen, die Standardkonfigurationen verwenden, einen Fehler aufweisen, der in vielen Netzwerken die Ausführung von Schadcode ermöglicht, wenn die Maschinen über einen Port erreichbar sind, der dem Internet ausgesetzt ist. Die Schwachstelle wird als CVE-2021-21985 verfolgt und hat einen Schweregrad von 9,8 von 10 Punkten.

„Der vSphere-Client (HTML5) enthält eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung aufgrund fehlender Eingabevalidierung im Virtual SAN Health Check-Plug-In, das standardmäßig in vCenter Server aktiviert ist“, heißt es in der Empfehlung vom Dienstag. „VMware hat den Schweregrad dieses Problems im Schweregradbereich „Kritisch“ mit einem maximalen CVSSv3-Basiswert von 9,8 bewertet… System, das vCenter Server hostet.“

Auf die häufig gestellte Frage „Wann muss ich handeln?“ Vertreter des Unternehmens schrieben: „Die Auswirkungen dieser Sicherheitsanfälligkeit sind sofort schwerwiegend.“

Der unabhängige Forscher Kevin Beaumont stimmte zu.

„vCenter ist eine Virtualisierungs-Management-Software“, sagte er in einem Interview. „Wenn Sie es hacken, kontrollieren Sie die Virtualisierungsebene (z. B. VMware ESXi) – die den Zugriff vor der Betriebssystemebene (und Sicherheitskontrollen) ermöglicht. Dies ist eine schwerwiegende Schwachstelle, daher sollten Unternehmen den vCenter-Server patchen oder den Zugriff auf autorisierte Administratoren beschränken.“

Shodan, ein Dienst, der im Internet verfügbare Websites katalogisiert, zeigt, dass es fast 5.600 öffentlich zugängliche vCenter-Maschinen gibt. Die meisten oder alle davon befinden sich in großen Rechenzentren, die möglicherweise Terabyte an sensiblen Daten hosten. Shodan zeigt, dass die Top-Benutzer mit im Internet exponierten vCenter-Servern Amazon, Hetzner Online GmbH, OVH SAS und Google sind.

CVE-2021-21985 ist die zweite vCenter-Sicherheitslücke in diesem Jahr mit einer Bewertung von 9,8. Innerhalb eines Tages, nachdem VMware die Schwachstelle im Februar gepatcht hatte, tauchten Proof-of-Concept-Exploits aus mindestens sechs verschiedenen Quellen auf. Die Enthüllung löste eine hektische Runde von Internet-Massenscans aus, als Angreifer und Verteidiger gleichermaßen nach anfälligen Servern suchten.

Betroffen sind alle vCenter-Versionen 6.5, 6.7 und 7.0. Organisationen mit anfälligen Computern sollten diesem Patch Priorität einräumen. Diejenigen, die nicht sofort installieren können, sollten die Ratschläge von Beaumont zur Umgehung befolgen. VMware bietet hier weitere Anleitungen zur Problemumgehung.

VMware hat Ricter Z von 360 Noah Lab für die Meldung dieses Problems gutgeschrieben.

Lesen Sie auch  Doppelte Überprüfung: Die Finte verkaufen, umständlich

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.