Am 25.05.2021 wurde von VMware eine kritische Sicherheitslücke im Produkt vCenter Server, also der zentralen Management-Instanz der vSphere Produktfamilie, bekannt gegeben.
Hierbei handelt es sich um eine „remote code execution vulnerability“, also eine Schwachstelle, durch welche Fremdcode ohne Zugriffsrestriktionen auf dem vCenter oder daran geschlossenen Systemen ausgeführt werden kann.
Einfallstor ist das vSAN Health Plugin, das standardmäßig aktiviert ist. Wenn dieses über den HTML5 Client über Port 443 angesprochen wird, kann sich ein Angreifer durch eine fehlende Validierung des übermittelten Codes unbeschränkten Zugriff auf das Betriebssystem des vCenters (VMware Photon OS) verschaffen.
Diese Sicherheitslücke wurde nach CVSSv3 (Common Vulnerability Scoring System v3) mit einem Score von 9.8 bewertet. Dies entspricht dem Schweregrad der 2014 bekannt gewordenen SSL Heartbleed Sicherheitslücke (!), bei welcher durch eine Schwachstelle in der OpenSSL-Bibliothek verschlüsselte Daten aus einer Server-Client Verbindung ausgelesen werden konnten.
Betroffen sind alle aktuellen vCenter-Editionen, Version 6.5, Version 6.7 und Version 7.0.
Da das vSAN-Plugin auf allen vCenter standardmäßig aktiviert, ist besteht für jede Umgebung grundsätzlich Handlungsbedarf!
Zur Behebung des Problems steht seit 25.05 ein Patch für alle vCenter-Versionen zur Verfügung, welcher die Lücke schließt.
Sollte ein Patching nicht möglich sein, kann als Workaround das vSAN Heath Plugin temporär deaktiviert werden, hierfür sind jedoch Anpassungen an der Datei „compatibility-matrix.xml“ im Dateisystem des vCenter notwendig.
Weitere Informationen finden Sie auf der offiziellen VMware Security Advisory Seite zu diesem Thema unter diesem Link.
Gerne steht Ihnen das Proact Professional Services Team bei Fragen oder Unterstützungsbedarf zur Verfügung.
Boris Heiland
Als Berater im Bereich Virtualisierung, SDDC und Cloud mit langjähriger Berufserfahrung ist es mein Ziel meinen Kunden nicht nur in Einzel-Projekten bei der Konzeption, Implementation, Betrieb und Fehlerbehebung zu unterstützen, sondern durch den Aufbau einer langfristigen und nachhaltigen Geschäftsbeziehung auch bei der Entwicklung seiner IT Roadmap und der Bewältigung sich stetig veränderten Herausforderungen zu begleiten.
