Af Eskil Sørensen, 22/09/21
VMware har tirsdag sendt en sikkerhedsopdatering ud for at rette en fejl i vCenter Server-produktets version 6.5, 6.7 og 7.0. Med opdateringen følger også en advarsel til brugerne om, at de kan forvente, at en public exploit-code vil blive offentlig ’få minutter efter afsløringen’.
Det skriver Security Week.
At en public exploit-kode bliver offentlig vil sige, at en kode til udnyttelse af sårbarheden vil være tilgængelig for de folk inden for miljøet, der udnytter sårbarheder, dvs. på Dark Web.
VMware skriver med henvisning til fejlen med id’et CVE-2021-22005, som er en filoverførselsfejl i vCenter Server Analytics-tjenesten, at ’konsekvenserne af denne sårbarhed er alvorlige, og det er et spørgsmål om tid - sandsynligvis minutter efter afsløringen - før working exploits er offentligt tilgængelige.’
Alvoren af sårbarheden understreges af, at den har fået en score på 9,8 på CVSS-skalaen.
’Perfekt’ til ransomwareaktører
Ifølge Security Week fortæller sikkerhedsvirksomheden Palo Alto, at en ondsindet aktør med netværksadgang til port 443 på vCenter Server kan udnytte sårbarheden til at afvikle kode på vCenter Server ved at uploade en specielt udformet fil.
VMware har i sin advarsel skrevet, at den type sikkerhedsfejl er perfekt til ransomware-aktører, hvorfor den ’sikreste holdning er at antage, at en angriber allerede kan have kontrol over et skrivebord og en brugerkonto ved hjælp af teknikker som phishing eller spear-phishing, og handle derefter. Det betyder, at angriberen måske allerede kan nå vCenter Server inde fra en virksomheds firewall, og tiden er afgørende.’
I alt adresserer patchet fra VMware 19 sikkerhedssårbarheder, der påvirker VMware vCenter Server- og VMware Cloud Foundation-produkter. Virkningen ved udnyttelse af sårbarhederne er bl.a. eskalering af privilegier og kompromittering af fortrolighed.
VMware opfordrer sine kunder til at prioritere issuet med eskalering af privilegier på grund af værdien for ransomware-grupperinger.
VMware har i øvrigt skrevet et langt, men letlæst blogindindlæg under titlen ’What you need to know’ om problemet med denne sårbarhed, baggrunden, hvornår der skal handles, hvad der skal gøres osv. I selve advisoriet fremgår alle id’erne på de rettede sårbarheder og detaljer for opdateringerne.
Links:
https://www.securityweek.com/vmware-calls-attention-high-severity-vcenter-server-flaw
https://blogs.vmware.com/vsphere/2021/09/vmsa-2021-0020-what-you-need-to-know.html
https://www.vmware.com/security/advisories/VMSA-2021-0020.html