VMware schlägt Ransomware-Alarm wegen kritischem Schweregrad-Fehler

Cyber Security News

VMwares Virtualisierungsmanagement-Plattform, vCenter Server, hat einen kritischen Fehler, den das Unternehmen seinen Kunden dringend empfiehlt, “so schnell wie möglich” zu patchen.

VMware hat einen kritischen Fehler gepatcht, der seine vCenter Server-Plattform mit einem Schweregrad von 9,8 von 10 betrifft. Das Unternehmen sagte, der Fehler könnte es einem Angreifer ermöglichen, seine Produkte auszunutzen und die Kontrolle über das betroffene System eines Unternehmens zu übernehmen.

VMware ging am Dienstag noch einen Schritt weiter und forderte IT-Sicherheitsteams – die aufgrund der Zunahme kostspieliger und zerstörerischer Ransomware-Angriffe bereits in höchster Alarmbereitschaft sind – dazu auf, Systeme schnell zu patchen.
[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]“In dieser Ära von Ransomware ist es am sichersten, davon auszugehen, dass ein Angreifer bereits irgendwo im Netzwerk, auf einem Desktop und vielleicht sogar in der Kontrolle eines Benutzerkontos ist, weshalb wir dringend empfehlen, eine Notfalländerung zu erklären und so schnell wie möglich zu patchen”, schrieb Bob Plankers, Technical Marketing Architect bei VMware, in einem Beitrag vom Dienstag.

Kritischer Fehler wirkt sich auf kritische Masse aus?

Die als CVE-2021-21985 verfolgte Schwachstelle betrifft die vCenter Server-Plattformen, die weit verbreitet sind und zur Verwaltung der marktführenden vSphere- und ESXi-Host-Produkte von VMware verwendet werden.

Claire Tills, Senior Research Engineer bei Tenable, schrieb in einem Posting zu dem Bug: “Das Patchen dieser Schwachstellen sollte höchste Priorität haben. Eine erfolgreiche Ausnutzung würde es einem Angreifer ermöglichen, beliebige Befehle auf dem zugrunde liegenden vCenter-Host auszuführen.”

Tills merkt an, dass das Ausnutzen der Sicherheitslücke trivial ist. Ein Angreifer müsse lediglich in der Lage sein, über Port 443 auf vCenter Server zuzugreifen, schrieb sie. “Selbst wenn eine Organisation vCenter Server nicht von außen zugänglich gemacht hat, können Angreifer diese Schwachstelle ausnutzen, sobald sie sich in einem Netzwerk befinden.”

Jerry Gamblin, Director of Security Research bei Kenna Security, stellte jedoch fest, dass die Schätzungen, wie viele Netzwerke anfällig für Angriffe sind, relativ gering sind.

“Einige frühe Untersuchungen von Rapid 7 zeigen, dass nur etwa 6Ks VCenters direkt dem Internet ausgesetzt sind, was den ‘Explosionsradius’ winzig und den anfänglichen Einstiegspunkt in ein Netzwerk mit diesem Paar CVES unwahrscheinlich macht”, schrieb Gamblin in einem E-Mail-Kommentar an Threatpost.

Gamblin bezieht sich dabei sowohl auf den kritischen Fehler CVE-2021-21985 als auch auf eine zweite Schwachstelle, die von VMware am Dienstag gemeldet wurde, CVE-2021-21986. Dieser zweite Fehler hat einen mittleren CVSS-Schweregrad von 6,5 und ist mit einem Problem im Authentifizierungsmechanismus in vCenter Server-Plugins verbunden.

Aufschlüsselung des kritischen Bugs

Laut VMware sind Workarounds und Updates verfügbar, um beide Schwachstellen zu entschärfen.

“Der vSphere-Client (HTML5) enthält eine Schwachstelle für Remotecodeausführung aufgrund fehlender Eingabevalidierung im Virtual SAN Health Check-Plug-in, das standardmäßig in vCenter Server aktiviert ist”, heißt es im Security Bulletin von VMware für den kritischen (CVE-2021-21985) Fehler. “Das betroffene Virtual SAN Health Check-Plug-in ist standardmäßig in allen vCenter Server-Implementierungen aktiviert, unabhängig davon, ob vSAN verwendet wird oder nicht.”

VMwares Virtual San (oder vSAN) ist eine Software-definierte Speicherlösung, die typischerweise hyperkonvergente Infrastrukturen unterstützt. Das Health Check-Plug-in “prüft, um den Status von Cluster-Komponenten zu überwachen, Probleme zu diagnostizieren und zu beheben”, heißt es in einer VMware-Beschreibung des Tools.

VMware schrieb dem Forscher, der nur als “Ricter Z” von 360 Noah Lab identifiziert wurde, die Entdeckung des Fehlers zu.

Besuchen Sie Threatpost für “A Walk On The Dark Side: A Pipeline Cyber Crisis Simulation” – eine interaktive LIVE-Demo am Mi, 9. Juni um 14:00 Uhr EDT. Finden Sie heraus, ob Sie die Werkzeuge und Fähigkeiten haben, um einen Angriff auf Ihr Unternehmen im Stil der Colonial Pipeline zu verhindern. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com