VMware berichtet von zwei Sicherheitslücken (CVE-2021-21985, CVE-2021-21986), eine davon wird mit einem CVSSv3-Wert von 9.8 als äusserst kritisch eingestuft. Angreifer ermöglicht sich aufgrund der Lücken die Chance, Zugriff zu verschaffen und Schadsoftware auszuführen. Diese Schwachstelle kann von jedem genutzt werden, der das vCenter über das Netzwerk erreichen kann. Unabhängig davon, ob vSAN verwendet wird oder nicht.

Um was geht es genau?

CVE-2021-21985
Standardmässig ist im vSphere Client (HTML 5) das Plugin „Virtual SAN Health Check“ aktiviert. Dieses Plugin weist eine Lücke auf, die von einem Angreifer ausgenutzt werden kann. Voraussetzung ist ein Zugriff via Port 443, um Befehle mit uneingeschränkten Rechten auf Betriebssystemebene auszuführen.

CVE-2021-21986
Eine weitere Lücke im vSphere Client (HTML5) erlaubt es Angreifern, von Plugins ermöglichte Aktionen ohne Authentifizierung durchzuführen. Gemäss VMware betrifft die Lücke den Authentifizierungsmechanismus für die Plugins „Virtual SAN Health Check, Site Revocery, vSphere Lifecycle Manager und VMware Cloud Director Availability“.

Betroffene Plattformen

  • vCenter Server Version 7.0, 6.7 und 6.5
  • Cloud Foundation (vCenter Server) Version 4.x und 3.x

Was muss nun getan werden?

Nebst VMware raten auch wir zu einem sofortigen Update der vCenter Version. Folgend eine Auflistung der betroffenen Version und dem Fixed Release:

vCenter Server Version 7.0
Fixed Version: 7.0 U2b

vCenter Server Version 6.7
Fixed Version: 6.7 U3n

vCenter Server Version 6.5
Fixed Version: 6.5 U3p

Cloud Foundation vCenter Version 4.x
Fixed Version: 4.2.1

Cloud Foundation vCenter Version 3.x
Fixed Version: 3.10.2.1

Weiterführende Links

VMware Advisory
https://www.vmware.com/security/advisories/VMSA-2021-0010.html

Mitre CVE Dictionary Links:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21985
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21986

Kontakt