Es wurde bekannt, dass zwei Schwachstellen in VMwares vCenter Server gefunden wurden.
CVE-2021-21985 ist eine Schwachstelle für Remotecodeausführung im vSphere-Client über das Plug-in Virtual SAN (vSAN) Health Check, das standardmäßig aktiviert ist. CVE-2021-21986 ist ein Problem mit dem Authentifizierungsmechanismus in verschiedenen vCenter Server-Plug-ins. In einem seltenen Schritt veröffentlichte VMware einen Blogpost, in dem Ransomware-Gruppen als geschickt darin bezeichnet werden, Schwachstellen wie diese nach der Kompromittierung auszunutzen, nachdem sie sich über andere Wege wie Spearphishing Zugang zu einem Netzwerk verschafft haben.
Claire Tills (im Bild), Senior Research Engineer bei Tenable kommentiert die neu entdeckten Schwachstellen:
„VMware hat zwei Schwachstellen bekannt gegeben, die vCenter Server betreffen, eine zentrale Management-Software für VMware vSphere-Systeme. Bei der schwerwiegendsten Schwachstelle, CVE-2021-21985, handelt es sich um eine Schwachstelle für Remotecodeausführung in vSphere Client, die mit einem CVSSv3-Score von 9,8 bewertet wurde.
Um diese Schwachstelle auszunutzen, müsste ein Angreifer in der Lage sein, über Port 443 in der Firewall auf vCenter Server zuzugreifen. Selbst wenn ein Unternehmen vCenter Server nicht von außen zugänglich gemacht hat, können Angreifer diese Schwachstelle ausnutzen, sobald sie sich in einem Netzwerk befinden.
In einem seltenen Schritt veröffentlichte VMware einen Blog-Beitrag, in dem Ransomware-Gruppen darauf hingewiesen werden, dass sie geschickt darin sind, Schwachstellen wie diese nach der Kompromittierung auszunutzen, nachdem sie sich über andere Wege wie Spearphishing Zugang zu einem Netzwerk verschafft haben. Angesichts der Tatsache, dass Ransomware die Nachrichten dominiert, ist dieser Kontext wichtig und unterstreicht die Aussage von VMware, dass das Patchen dieser Schwachstellen höchste Priorität haben sollte. Eine erfolgreiche Ausnutzung würde es einem Angreifer ermöglichen, beliebige Befehle auf dem zugrundeliegenden vCenter-Host auszuführen.
VMware hat außerdem Patching für CVE-2021-21986 bereitgestellt, bei dem es sich um ein Problem mit dem Authentifizierungsmechanismus handelt, das in mehreren vCenter Server Plug-ins gefunden wurde. Dieses wurde mit einem CVSSv3-Score von 6,5 als mittelschwer eingestuft.
VMware hat für beide Schwachstellen Patches zur Verfügung gestellt und Unternehmen, die vCenter Server einsetzen, wird empfohlen, sofort zu handeln.“
www.tenable.com