Η VMware προτρέπει τους χρήστες του vCenter να ενημερώσουν τις εκδόσεις vCenter Server 6.5, 6.7 και 7.0 όσο το δυνατόν πιο σύντομα, καθώς υπάρχουν σοβαρές ευπάθειες.
Η πιο σοβαρή είναι η CVE-2021-21985, η οποία επιτρέπει την απομακρυσμένη εκτέλεση κώδικα και εντοπίζεται σε ένα vSAN plugin, που είναι ενεργοποιημένο από προεπιλογή στο vCenter. Ένας επιτιθέμενος μπορεί να εκμεταλλευτεί τη συγκεκριμένη ευπάθεια και να εκτελέσει ό,τι θέλει στο υποκείμενο μηχάνημα, με την προϋπόθεση ότι υπάρχει πρόσβαση στο port 443.
Δείτε επίσης: VMware: Διορθώνει ευπάθεια που επιτρέπει κλοπή credentials διαχειριστή
Ακόμα και αν οι χρήστες δεν χρησιμοποιούν vSAN, είναι πιθανό να επηρεαστούν επειδή το vSAN plugin είναι ενεργοποιημένο από προεπιλογή.
“Το vSphere Client (HTML5) περιέχει μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα λόγω έλλειψης input validation στο Virtual SAN Health Check plug-in, το οποίο είναι ενεργοποιημένο από προεπιλογή στο vCenter Server“, είπε η VMware.
Η VMware προειδοποίησε ότι οι εισβολείς χρειάζεται μόνο να “χτυπήσουν” το port 443 για να πραγματοποιήσουν την επίθεση, επομένως τα firewalls είναι η τελευταία γραμμή άμυνας για τους χρήστες.
“Οι οργανισμοί που έχουν τοποθετήσει τους vCenter Servers σε δίκτυα που είναι άμεσα προσβάσιμα από το Διαδίκτυο ενδέχεται να μην έχουν αυτή τη γραμμή άμυνας και πρέπει να ελέγχουν τα συστήματά τους για παραβιάσεις“, δηλώνει η εταιρεία.
“Θα πρέπει επίσης να λάβουν μέτρα για την εφαρμογή περισσότερων ελέγχων ασφαλείας (firewalls, ACL κ.λπ.) στα management interfaces της υποδομής τους“.
Για τη διόρθωση του ζητήματος, η VMware συνιστά στους χρήστες να ενημερώσουν το vCenter. Αν δεν μπορούν να το κάνουν αυτό, μπορούν να ακολουθήσουν τις οδηγίες που έχει δώσει η εταιρεία σχετικά με τον τρόπο απενεργοποίησης των vCenter Server plugins.
Δείτε επίσης: Samsung: Η ενημέρωση Μαΐου προστατεύει τα τηλέφωνα από την ευπάθεια της Qualcomm
“Ενώ το vSAN θα συνεχίσει να λειτουργεί, οι δυνατότητες διαχείρισης και monitoring δεν είναι δυνατές όσο το plugin είναι απενεργοποιημένο. Ένας πελάτης που χρησιμοποιεί το vSAN θα πρέπει να εξετάσει το ενδεχόμενο απενεργοποίησης του plugin μόνο για σύντομα χρονικά διαστήματα“, προειδοποίησε η VMware.
Δείτε επίσης: SQL Injection ευπάθεια σε Anti-spam WordPress plugin εκθέτει δεδομένα χρηστών
“Χρειάζεται την άμεση προσοχή σας εάν χρησιμοποιείτε vCenter Server“, δήλωσε η Vmware.
“Στην εποχή του ransomware, είναι ασφαλέστερο να υποθέσουμε ότι ένας εισβολέας βρίσκεται ήδη μέσα στο δίκτυο, γι’ αυτό σας συνιστούμε ανεπιφύλακτα να πραγματοποιήσετε τη διόρθωση το συντομότερο δυνατό“.
Ακόμη και η ύπαρξη ελέγχων μπορεί να μην είναι αρκετή και η VMware πρότεινε στους χρήστες να εφαρμόσουν τμηματοποίηση δικτύου.
“Οι συμμορίες ransomware έχουν επανειλημμένα αποδείξει στον κόσμο ότι είναι σε θέση να θέσουν σε κίνδυνο τα εταιρικά δίκτυα, κάνοντας υπομονή, περιμένοντας μια νέα ευπάθεια για να την εκμεταλλευτούν“, ανέφερε.
Η δεύτερη ευπάθεια, CVE-2021-21986, μπορεί να επιτρέψει σε έναν εισβολέα να εκτελέσει ενέργειες που επιτρέπονται από plugins χωρίς έλεγχο ταυτότητας.
Όσον αφορά στα σκορ CVSSv3, η ευπάθεια CVE-2021-21985 σημείωσε 9,8, ενώ η CVE-2021-21986 σημείωσε 6,5.
Νωρίτερα φέτος, δύο ευπάθειες VMWare ESXi χρησιμοποιούνταν από συμμορίες ransomware για την παραβίαση εικονικών μηχανημάτων και την κρυπτογράφηση εικονικών σκληρών δίσκων.
Πηγή: ZDNet