Op 21 september publiceerde VMware een beveiligingsadvies over 19 kwetsbaarheden in vCenter Server, de gecentraliseerde beheersoftware voor VMware vSphere-systemen. De volledige lijst met gepatchte kwetsbaarheden omvat:
CVE | Description | CVSSv3 |
---|---|---|
CVE-2021-22005 | vCenter Server file upload vulnerability | 9.8 |
CVE-2021-21991 | vCenter Server local privilege escalation vulnerability | 8.8 |
CVE-2021-22006 | vCenter Server reverse proxy bypass vulnerability | 8.3 |
CVE-2021-22011 | vCenter server unauthenticated API endpoint vulnerability | 8.1 |
CVE-2021-22015 | vCenter Server improper permission local privilege escalation vulnerabilities | 7.8 |
CVE-2021-22012 | vCenter Server unauthenticated API information disclosure vulnerability | 7.5 |
CVE-2021-22013 | vCenter Server file path traversal vulnerability | 7.5 |
CVE-2021-22016 | vCenter Server reflected XSS vulnerability | 7.5 |
CVE-2021-22017 | vCenter Server rhttpproxy bypass vulnerability | 7.3 |
CVE-2021-22014 | vCenter Server authenticated code execution vulnerability | 7.2 |
CVE-2021-22018 | vCenter Server file deletion vulnerability | 6.5 |
CVE-2021-21992 | vCenter Server XML parsing denial-of-service vulnerability | 6.5 |
CVE-2021-22007 | vCenter Server local information disclosure vulnerability | 5.5 |
CVE-2021-22019 | vCenter Server denial of service vulnerability | 5.3 |
CVE-2021-22009 | vCenter Server VAPI multiple denial of service vulnerabilities | 5.3 |
CVE-2021-22010 | vCenter Server VPXD denial of service vulnerability | 5.3 |
CVE-2021-22008 | vCenter Server information disclosure vulnerability | 5.3 |
CVE-2021-22020 | vCenter Server Analytics service denial-of-service Vulnerability | 5.0 |
CVE-2021-21993 | vCenter Server SSRF vulnerability | 4.3 |
Naast het publiceren van het beveiligingsadvies, publiceerde VMware een blogpost en een “Vragen en antwoorden-post” waarin enkele fundamentele vragen over het advies worden behandeld. Van de 19 kwetsbaarheden kreeg alleen CVE-2021-22005 de severity (ernst) van kritiek (critical) toegewezen.
CVE-2021-22005 is een kwetsbaarheid voor het uploaden van bestanden in de vCenter Server. Een niet-geverifieerde aanvaller die toegang kan krijgen tot poort 443 via hetzelfde netwerk of rechtstreeks vanaf internet, kan misbruik maken van een kwetsbare vCenter Server door een bestand te uploaden naar de vCenter Server-analyseservice. Succesvolle exploitatie zou leiden tot uitvoering van externe code (RCE) op de host. In haar blogpost merkt VMware op dat dit beveiligingslek bestaat in vCenter Server “ongeacht de configuratie-instellingen”, waardoor dit standaard misbruikt kan worden in getroffen vCenter Server-installaties.
Hoewel de rest van de kwetsbaarheden die in de huidige release zijn gepatcht, niet kritiek zijn, zijn ze gelijk verdeeld over belangrijke en matige severity fouten. De overige kwetsbaarheden variëren, van escalatie van bevoegdheden en denial of service tot het vrijgeven van informatie en kwetsbaarheden voor pathtraversal. Deze fouten zullen waarschijnlijk waardevol zijn voor aanvallers, met name gelieerde ondernemingen van ransomware-groepen, die al op andere manieren een netwerk hebben gecompromitteerd.
Dit is de tweede keer in de afgelopen vier maanden dat VMware een patch uitbrengt voor een kritieke fout die vCenter/vSphere treft. In mei maakte VMWare CVE-2021-21985 bekend, een kwetsbaarheid voor het uitvoeren van externe code in vSphere Client van VMware. Beveiligingsonderzoeker Allan Liska tweette dat CVE-2021-21985 al is gebruikt als onderdeel van ransomware-aanvallen en dat CVE-2021-22005 “er nog erger uitziet”.
Ransomware, and other, groups are already exploiting CVE-2021-21985, this new vCenter RCE vulnerability, CVE-2021-22005, looks even worse. Please patch or enable compensating controls. via @serghei https://t.co/Qp5raYRkrF
— Allan “Ransomware Sommelier🍷” Liska (@uuallan) September 21, 2021
Derek Abdine, chief technology officer van Censys, tweette dat hij het kwetsbare codepad voor deze kwetsbaarheid ontdekte en dat het “verbluffend triviaal lijkt om uit te voeren”. Als gevolg hiervan voegde Abdine eraan toe dat gebruikers “nu moeten patchen”.
I've discovered the vulnerable code path for vCenter CVE-2021-22005. Wasn't hard after seeing the workaround from VMware and diffing versions of vCenter's decompiled class files.
— Derek Abdine (@dabdine) September 22, 2021
It looks stunningly trivial to execute. Patch now.
Op het moment dat deze blogpost werd gepubliceerd, waren er nog geen publiek beschikbare proof-of-concept (PoC) scripts voor CVE-2021-22005. De waarschuwing van Abdine impliceert echter dat er binnenkort misschien PoC’s zullen verschijnen.
VMware heeft patches uitgebracht voor vCenter Server 7.0, 6.7 en 6.5 om de 19 kwetsbaarheden te verhelpen die in de advisory zijn bekendgemaakt. Raadpleeg de VMware advisory-pagina voor een volledig overzicht van welke CVE’s in elke release worden aangepakt.
Voor CVE-2021-22005 volgt hieronder een uitsplitsing van de versie van vCenter Server, de bijbehorende gerepareerde versie en de geadresseerde installatie.
Let op: vCenter Server versie 6.7 voor Windows en versie 6.5 voor elke installatie worden niet beïnvloed door CVE-2021-22005.
Organisaties wordt ten zeerste aangeraden deze patches zo snel mogelijk toe te passen.
Als patchen op dit moment niet haalbaar is, heeft VMware workaround-instructies voor CVE-2021-22005 verstrekt. De workaround moet echter worden beschouwd als een tijdelijke oplossing en mag niet in de plaats komen van een upgrade naar een vaste versie.
Een lijst van Tenable plugins om deze kwetsbaarheden te identificeren zal hier verschijnen zodra ze worden vrijgegeven. Onze MSS klanten worden door ons op de hoogte gebracht over de kwetsbare systemen en de eventueel mitigerende maatregelen.
Cookie | Duration | Description |
---|---|---|
_GRECAPTCHA | 5 months 27 days | This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis. |
cookielawinfo-checkbox-advertisement | 1 year | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement". |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie. |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Cookie | Duration | Description |
---|---|---|
bcookie | 2 years | This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page. |
lang | session | This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website. |
lidc | 1 day | This cookie is set by LinkedIn and used for routing. |
Cookie | Duration | Description |
---|---|---|
YSC | session | This cookies is set by Youtube and is used to track the views of embedded videos. |
Cookie | Duration | Description |
---|---|---|
_ga | 2 years | This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors. |
_gat_gtag_UA_116473530_1 | 1 minute | This cookie is set by Google and is used to distinguish users. |
_gat_UA-116473530-1 | 1 minute | This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites. |
_gid | 1 day | This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form. |
Cookie | Duration | Description |
---|---|---|
bscookie | 2 years | This cookie is a browser ID cookie set by Linked share Buttons and ad tags. |
IDE | 1 year 24 days | Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile. |
prism_476809757 | 1 month | Used by ActiveCampaign to track usage of newsletters |
test_cookie | 15 minutes | This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 5 months 27 days | This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
yt-remote-device-id | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
Cookie | Duration | Description |
---|---|---|
AnalyticsSyncHistory | 1 month | No description |
CONSENT | 16 years 7 months 5 days 13 hours | No description |
li_gc | 2 years | No description |
UserMatchHistory | 1 month | Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences. |