Firma VMware ostrzega klientów, aby natychmiast załatali krytyczną lukę związaną z przesyłaniem dowolnego pliku w usłudze Analytics – ma to bezpośredni wpływ na wszystkie urządzenia z domyślnymi wdrożeniami vCenter Server 6.7 i 7.0. Luka bezpieczeństwa może zostać wykorzystana przez atakujących do wykonywania poleceń i oprogramowania na niezałatanych wdrożeniach vCenter Server poprzez przesłanie specjalnie spreparowanego pliku. Krytyczna podatność w VMware vCenter Server (CVE-2021-22005), bez uwierzytelnienia można dostać się na serwer. Podatność otrzymała od producenta w zasadzie najwyższą „wycenę” krytyczności (9.8/10 w skali CVSSv3). Wykorzystanie tej podatności jest dosyć łatwe – bez logowania do oprogramowania można wykonywać polecania w OS – wystarczy jedynie wgrać złośliwy plik ( tj. webshell). Aby usunąć wszystkie ujawnione luki, firma Vmware opublikowała poprawki dla vCenter Server 7.0, 6.7 i 6,5. VMware zapewnia również obejście dla tych, którzy nie mogą natychmiast naprawić swoich urządzeń jako rozwiązanie tymczasowe. Po więcej szczegółowych informacji, zapraszam do dalszej części artykułu.
Pełna lista załatanych luk obejmuje:
| CVE | Description | CVSSv3 |
|---|---|---|
| CVE-2021-22005 | vCenter Server file upload vulnerability | 9.8 |
| CVE-2021-21991 | vCenter Server local privilege escalation vulnerability | 8.8 |
| CVE-2021-22006 | vCenter Server reverse proxy bypass vulnerability | 8.3 |
| CVE-2021-22011 | vCenter server unauthenticated API endpoint vulnerability | 8.1 |
| CVE-2021-22015 | vCenter Server improper permission local privilege escalation vulnerabilities | 7.8 |
| CVE-2021-22012 | vCenter Server unauthenticated API information disclosure vulnerability | 7.5 |
| CVE-2021-22013 | vCenter Server file path traversal vulnerability | 7.5 |
| CVE-2021-22016 | vCenter Server reflected XSS vulnerability | 7.5 |
| CVE-2021-22017 | vCenter Server rhttpproxy bypass vulnerability | 7.3 |
| CVE-2021-22014 | vCenter Server authenticated code execution vulnerability | 7.2 |
| CVE-2021-22018 | vCenter Server file deletion vulnerability | 6.5 |
| CVE-2021-21992 | vCenter Server XML parsing denial-of-service vulnerability | 6.5 |
| CVE-2021-22007 | vCenter Server local information disclosure vulnerability | 5.5 |
| CVE-2021-22019 | vCenter Server denial of service vulnerability | 5.3 |
| CVE-2021-22009 | vCenter Server VAPI multiple denial of service vulnerabilities | 5.3 |
| CVE-2021-22010 | vCenter Server VPXD denial of service vulnerability | 5.3 |
| CVE-2021-22008 | vCenter Server information disclosure vulnerability | 5.3 |
| CVE-2021-22020 | vCenter Server Analytics service denial-of-service Vulnerability | 5.0 |
| CVE-2021-21993 | vCenter Server SSRF vulnerability | 4.3 |
Rozwiązanie:
Producent oprogramowania udostępnia nie tylko aktualizacje, lecz również obejście tej podatności. Cały proces jest opisany na stronie producenta, wymaga on edycji pliku tekstowego na urządzaniu wirtualnym i ponownego uruchomienia usług lub użycia skryptu udostępnionego przez VMware w celu usunięcia podatności.
Informacje od producenta: VMware
Instrukcja obejścia podatności: VMware – instrukcja
Zespół B&B
Bezpieczeństwo w biznesie