Кръпка незабавно: VMware предупреждава за критична дупка за дистанционно изпълнение на код в vCenter

Изображение: MaboHH / Getty Images

VMware настоява своите потребители на vCenter да актуализират vCenter Server версии 6.5, 6.7 и 7.0 незабавно, след като двойка уязвимости бяха докладвани частно на компанията.

Най-актуален е CVE-2021-21985, който се отнася до уязвимост от дистанционно изпълнение на код в плъгин vSAN, активиран по подразбиране в vCenter, който нападателят може да използва, за да изпълни каквото пожелае на основната хост машина, при условие че има достъп до порт 443.

Дори ако потребителите не използват vSAN, те вероятно ще бъдат засегнати, тъй като приставката vSAN е активирана по подразбиране.

„Клиентът vSphere (HTML5) съдържа уязвимост за отдалечено изпълнение на код поради липса на проверка на входните данни в приставката за проверка на състоянието на виртуалната SAN, която е активирана по подразбиране в vCenter Server“, VMware описа проблема в съвет.

В своята ЧЗВ, VMware предупреди, че тъй като нападателят трябва само да може да удари порт 443, за да извърши атаката, контролите на защитната стена са последната линия на защита за потребителите.

“Организациите, които са поставили своите vCenter сървъри в мрежи, които са директно достъпни от интернет, може да нямат тази линия на защита и трябва да проверят системите си за компромис”, заявява компанията.

„Те също трябва да предприемат стъпки за прилагане на повече контроли за защита на периметъра (защитни стени, ACL и т.н.) върху интерфейсите за управление на тяхната инфраструктура.

За да отстрани проблема, VMware препоръчва на потребителите да актуализират vCenter, или ако не е възможно, компанията има предоставени инструкции за това как да деактивирам плъгините на vCenter Server.

“Докато vSAN ще продължи да работи, управляемостта и наблюдението не са възможни, докато приставката е деактивирана. Клиент, който използва vSAN, трябва да помисли за деактивиране на приставката само за кратки периоди от време, ако изобщо”, предупреди VMware.

Потребителите са предупредени, че кръпките осигуряват по-добро удостоверяване на приставката, а някои приставки на трети страни могат да се счупят и потребителите да бъдат насочени да се свържат с доставчика на приставки

“Това се нуждае от вашето незабавно внимание, ако използвате vCenter Server”, каза VMware в блог пост.

„В тази ера на рансъмуера е най-безопасно да се предположи, че нападателят вече е в мрежата някъде, на работен плот и може би дори контролира потребителски акаунт, поради което силно препоръчваме да декларирате спешна промяна и да поправите възможно най-скоро . ”

Дори наличието на контроли за периметъра може да не е достатъчно и VMware предложи на потребителите да разгледат по-добро разделяне на мрежата.

„Бандите-рансъмуери многократно демонстрираха пред света, че са в състояние да компрометират корпоративни мрежи, като същевременно остават изключително търпеливи в очакване на нова уязвимост, за да атакуват от мрежата“, се казва в нея.

“Това не е уникално за продуктите на VMware, но информира нашите предложения тук. Организациите може да искат да обмислят допълнителен контрол на сигурността и изолиране между своята ИТ инфраструктура и други корпоративни мрежи като част от усилията за прилагане на съвременни стратегии за сигурност с нулево доверие.”

Втората уязвимост, CVE-2021-21986, ще позволи на нападателя да извършва действия, разрешени от плъгини, без удостоверяване.

„Клиентът vSphere (HTML5) съдържа уязвимост в механизма за удостоверяване на vSphere за проверка на състоянието на виртуалната SAN, възстановяване на сайта, vSphere Lifecycle Manager и приставки за наличност на VMware Cloud Director“, каза VMware.

По отношение на резултатите от CVSSv3, CVE-2021-21985 постигна 9,8, докато CVE-2021-21986 беше оценен като 6,5.

По-рано тази година двойка ESXi уязвимости бяха използвани от банди-рансъмуери, за да поемат виртуални машини и да криптират виртуални твърди дискове.

Свързано покритие

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com