Af Eskil Sørensen, 15/11/21
VMware har meddelt, at der arbejdes på rettelser til en potentielt alvorlig sårbarhed vedr. forhøjelse af privilegier, der påvirker vCenter Server. Det skriver Security Week.
Sårbarheden har id’et CVE-2021-22048 og en CVSS-score på 7,1. To medarbejdere ved CrowdStrike er blevet krediteret for at rapportere problemet til VMware.
VMware skriver i sin advisory, at sårbarheden findes i den såkaldte IWA (Integrated Windows Authentication)-godkendelsesmekanisme, som kan udnyttes til forhøjelse af privilegier. Øjensynlig kan en angriber med ikke-administrativ adgang til vCenter Server udnytte problemet.
Sårbarheden påvirker vCenter Server 6.7 og 7.0 samt Cloud Foundation 3.x og 4.x. Indtil patches bliver tilgængelige, har VMware udgivet et dokument med forslag til afhjælpende handlinger.
Her fremgår det, at løsningen til ’..CVE-2021-22048 er at skifte til AD over LDAPS-godkendelse/Identity Provider Federation for AD FS (kun vSphere 7.0) fra Integrated Windows Authentication (IWA).’
Security Week skriver, at der er ingen meldinger af aktuelle udnyttelser, men spekulerer i, at hullet kan være blevet udnyttet, eftersom der ikke findes en patch endnu. Security Week tilføjer, at det ikke er et ukendt fænomen, at sårbarheder i vCenter Server-sårbarheder udnyttes.
Links:
https://www.securityweek.com/vmware-working-patches-serious-vcenter-server-vulnerability
https://www.vmware.com/security/advisories/VMSA-2021-0025.html