Vergangene Woche hat VMware einen neuen Patch für seine vCenter Server in allen unterstützten Versionen (6.5, 6.7 und 7.0) veröffentlicht. Wie im VMware Advisory VMSA-2021-0020.1 zu lesen ist, wurden hierbei gleich mehrere unterschiedliche Lücken in den verschiedenen vCenter Version gestopft. Da einige dieser Lücken ein sehr hohes CVSSv3 (Common Vulnerability Scoring System Version 3) Rating besitzen und nur teilweise Workarounds möglich sind, ist schnelles Handeln geboten.
Am schwerwiegendsten sind die folgenden beiden Schwachstellen:
„File Upload Vulnerability“ (CVE-2021-22005)
Durch den Upload eines präparieren Files mit Hilfe des „vCenter Arbitrary File Upload“ Dienstes, kann Schadcode auf dem vCenter ausgeführt werden. Hierfür ist es ausreichend das vCenter über Port 443 ansprechen zu können.
Da hier bereits konkrete Fälle bekannt sind erreicht diese Lücke einen Score von 9.8.
„Local Privilege Escalation“ (CVE-2021-21991)
Durch ein fehlerhaftes Behandeln von Session Tokens ist es möglich, dass ein authentifizierter User per Webclient (HTML5 oder Flash Client) administrative Rechte erhält.
Da hierfür keine Workarounds existieren muss zur Behebung der aktuelle Patch installiert werden. Diese Lücke wurde mit einem Score von 8.8 bewertet.
Darüber hinaus wurden noch Schwachstellen im Revers Proxy, der Content Library, des VAMI und der VAMI API, sowie Anfälligkeiten für Cross-Site-Scripting behoben.
Eine genaue Liste aller Schwachstellen, zusammen mit dem Schweregrad und möglichen Workarounds findet man direkt bei VMware im entsprechenden Advisory, hier.
Es sei jedoch nochmals gesagt, das bereits die beiden genannten Lücken ein möglichst zeitnahes aktualisieren des vCenters rechtfertigen. Da auch nicht für alle Schwachstellen Workarounds zum schließen der Lücken möglich sind, ist das Einspielen des neuen Patches auch nur schwer zu umgehen.
Gerne steht Ihnen das Proact Professional Services Team bei Fragen oder Unterstützungsbedarf zur Verfügung.