VMware dicht kwetsbaarheden in vCenter Server

VMware heeft Positive Technologies-expert Mikhail Klyuchnikov bedankt voor zijn hulp bij het elimineren van twee kwetsbaarheden in vCenter Server . Dit platform is ontworpen voor gecentraliseerd beheer en automatisering van VMware vSphere, een belangrijk product in moderne datacenters. IDC schat dat het bedrijf tot 80 procent van de markt voor virtuele machines in handen heeft. In 2019 werd VMware opgenomen in de Fortune Future 50

Remote Code Execution is een van de meest kritieke bedreigingen volgens OWASP. In 100 procent van de gevallen maakt het uitvoeren van externe code op een server het hacken van de aangevallen bron mogelijk. De kwetsbaarheid staat bekend als CVE-2021-21972 en heeft een CVSS v3-score van 9,8. Het probleem is gevonden in de vSphere Client-functionaliteit.

In de context van deze kwetsbaarheid komt de belangrijkste bedreiging van insiders die de bescherming van de netwerkperimeter zijn binnengedrongen met behulp van andere methoden (zoals social engineering of webkwetsbaarheden) of die toegang hebben tot het interne netwerk via eerder geïnstalleerde achterdeurtjes. Vorig jaar publiceerde Positive Technologies een onderzoek naar externe pentests, waarin specialisten van Positive Technologies erin slaagden om binnen de netwerkperimeter te komen en toegang te krijgen tot lokale netwerkbronnen bij 93 procent van de bedrijven.

Ondanks het feit dat meer dan 90 procent van de VMware vCenter-apparaten zich volledig binnen de perimeter bevindt (zoals geschat door Positive Technologies Analytics), zijn sommige ervan op afstand toegankelijk. Volgens Threat Monitoring (Threat Intelligence) bij Positive Technologies zijn er wereldwijd meer dan 6.000 VMware vCenter-apparaten die toegankelijk zijn vanaf internet en de kwetsbaarheid CVE-2021-21972 bevatten. Een kwart van deze apparaten bevindt zich in de Verenigde Staten (26%), gevolgd door Duitsland (7%), Frankrijk (6%), China (6%), Groot-Brittannië (4%), Canada (4%), Rusland (3%), Taiwan (3%), Iran (3%) en Italië (3%). 

Mikhail Klyuchnikov van Positive Technologies legt uit:"Naar onze mening kan de RCE-kwetsbaarheid in de vCenter Server niet minder een bedreiging vormen dan de beruchte kwetsbaarheid in Citrix ( CVE-2019-19781  Door de fout kan een niet-geautoriseerde gebruiker een speciaal vervaardigd verzoek verzenden, dat hem later de mogelijkheid geeft om willekeurige opdrachten op de server uit te voeren. Nadat hij een dergelijke kans heeft gekregen, kan de aanvaller deze aanval ontwikkelen, met succes door het bedrijfsnetwerk gaan en toegang krijgen tot de gegevens die zijn opgeslagen in het aangevallen systeem (zoals informatie over virtuele machines en systeemgebruikers). Als de kwetsbare software toegankelijk is via internet, kan een externe aanvaller de externe perimeter van het bedrijf binnendringen en ook toegang krijgen tot gevoelige gegevens. Nogmaals, ik wil erop wijzen dat deze kwetsbaarheid gevaarlijk is, aangezien deze door elke onbevoegde gebruiker kan worden gebruikt.  Een andere kwetsbaarheid (CVE-2021-21973 met een CVSS-score van 5,3) ontdekt door Positive Technologies maakt het voor onbevoegde gebruikers mogelijk om verzoeken te verzenden als de beoogde server. Deze fout zou de aanvaller dan helpen om verdere aanvallen te ontwikkelen. Door deze fouten te gebruiken, kunnen aanvallers met name het interne netwerk van het bedrijf scannen en informatie verkrijgen over de open poorten van verschillende services."

Experts van Positive Technologies raden ten zeerste aan om updates van de leverancier te installeren en vCenter Server-interfaces uit de perimeter van organisaties te verwijderen, als die er zijn, en ze toe te wijzen aan een afzonderlijk VLAN met een beperkte toegangslijst in het interne netwerk.

Om de kwetsbaarheden te elimineren, moeten bedrijven de aanbevelingen volgen die zijn gespecificeerd in de officiële VMware-kennisgeving.

Eerder deze maand ontdekte Positive Technologies-expert Egor Dimitrenko een zeer ernstige kwetsbaarheid in de VMware vSphere Replication-datareplicatietool.