Изображение: MaboHH / Getty Images
VMware призывает своих пользователей vCenter немедленно обновить vCenter Server версий 6.5, 6.7 и 7.0, после того как компания сообщила о паре уязвимостей в частном порядке.
Наиболее актуальной является CVE-2021-21985, которая связана с уязвимостью удаленного выполнения кода в подключаемом модуле vSAN, включенном по умолчанию в vCenter, который злоумышленник может использовать для запуска всего, что он пожелает, на базовом хост-компьютере, при условии, что у него есть доступ порт 443.
Даже если пользователи не используют vSAN, они, скорее всего, пострадают, потому что подключаемый модуль vSAN включен по умолчанию.
«Клиент vSphere (HTML5) содержит уязвимость удаленного выполнения кода из-за отсутствия проверки ввода в подключаемом модуле Virtual SAN Health Check, который по умолчанию включен в vCenter Server», — VMware описала проблему в консультативный.
В своем FAQ VMware предупредила, что, поскольку злоумышленнику нужно только иметь возможность поразить порт 443 для проведения атаки, средства управления брандмауэром являются последней линией защиты для пользователей.
«Организации, разместившие свои серверы vCenter в сетях, к которым есть прямой доступ из Интернета, могут не иметь этой линии защиты и должны проверять свои системы на предмет компрометации», — заявляет компания.
«Им также следует предпринять шаги по внедрению дополнительных средств контроля безопасности периметра (брандмауэры, списки контроля доступа и т. Д.) На интерфейсах управления своей инфраструктуры».
Чтобы решить эту проблему, VMware рекомендует пользователям обновить vCenter или, если это невозможно, компания предоставила инструкции по отключению подключаемых модулей vCenter Server.
«Хотя vSAN будет продолжать работать, управление и мониторинг невозможны, пока плагин отключен. Заказчику, использующему vSAN, следует рассматривать возможность отключения плагина только на короткие периоды времени, если вообще будет», — предупредила VMware. .
Пользователи предупреждены о том, что исправления обеспечивают лучшую аутентификацию подключаемых модулей, а некоторые сторонние подключаемые модули могут работать некорректно, и пользователям рекомендуется связаться с их поставщиком.
«Это требует вашего немедленного внимания, если вы используете vCenter Server», — говорится в сообщении VMware в блоге.
«В нашу эпоху программ-вымогателей безопаснее всего предположить, что злоумышленник уже где-то внутри сети, на рабочем столе и, возможно, даже контролирует учетную запись пользователя, поэтому мы настоятельно рекомендуем объявить экстренное изменение и исправления как можно скорее ".
Может быть недостаточно даже контроля периметра, и VMware предложила пользователям подумать о лучшем разделении сетей.
«Банды программ-вымогателей неоднократно демонстрировали миру, что они могут взламывать корпоративные сети, оставаясь при этом крайне терпеливыми, ожидая новой уязвимости для атаки изнутри сети», — говорится в сообщении.
«Это характерно не только для продуктов VMware, но оно дает информацию о наших предложениях. Организации могут захотеть рассмотреть дополнительные меры безопасности и изоляцию между своей ИТ-инфраструктурой и другими корпоративными сетями как часть усилий по внедрению современных нулевых — доверять стратегиям безопасности ".
Вторая уязвимость, CVE-2021-21986, позволяет злоумышленнику выполнять действия, разрешенные подключаемыми модулями, без аутентификации.
«Клиент vSphere (HTML5) содержит уязвимость в механизме аутентификации vSphere для подключаемых модулей Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager и VMware Cloud Director Availability», — сообщила компания VMware.
По шкале CVSSv3 CVE-2021-21985 получил 9,8, а CVE-2021-21986 — 6,5.
Ранее в этом году банды вымогателей использовали пару уязвимостей ESXi для захвата виртуальных машин и шифрования виртуальных жестких дисков.
