Fast einen Monat später sind Server mit Internetverbindung immer noch anfällig für Angriffe.
Forscher haben gewarnt, dass Tausende von mit dem Internet verbundenen VMWare vCenter-Servern auch Wochen nach der Veröffentlichung der Patches immer noch kritische Schwachstellen aufweisen.
Sicherheit
- 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
- So finden und entfernen Sie Spyware von Ihrem Telefon
- Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
- So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist
Die Schwachstellen betreffen VMWare vCenter Server, ein zentralisiertes Verwaltungsdienstprogramm.
VMWare hat Patches für zwei kritische Fehler herausgegeben: CVE-2021-21985 Und CVE-2021-21986, am 25. Mai.
Die erste Sicherheitslücke, CVE-2021-21985, betrifft VMware vCenter Server und VMware Cloud Foundation und wurde mit einem CVSS-Score von 9,8 ausgezeichnet. Dieser Fehler war Zu finden in einem vSAN-Plugin, das standardmäßig in der Anwendung aktiviert ist und es Angreifern ermöglicht, Remote Code Execution (RCE) auszuführen, wenn sie Zugriff auf den Port haben 443.
VMWare sagte in einem Sicherheitshinweis dass dieser schwerwiegende Fehler ausgenutzt werden kann, damit Bedrohungsakteure mit „uneingeschränkten Rechten“ auf „das zugrunde liegende Betriebssystem, das vCenter Server hostet“ zugreifen können.
Der Fehler betrifft vCenter Server 6.5, 6.7 und v.7.0 sowie Cloud Foundation vCenter Server 3.x und 4.x.
Die zweite Schwachstelle, CVE-2021-21986, ist im vSphere Client (HTML5) und im vSphere-Authentifizierungsmechanismus vorhanden eine Vielzahl von Plugins: Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Verfügbarkeit.
Dieser Fehler gilt mit einem CVSS-Score von 6,5 als weniger kritisch und ermöglicht es Angreifern mit Zugriff auf Port 443 dennoch, „von den betroffenen Plug-ins erlaubte Aktionen ohne Authentifizierung auszuführen“.
Es scheint, dass Tausende von mit dem Internet verbundenen Servern immer noch sowohl CVE-2021-21985 als auch CVE-2021-21986 ausgesetzt und anfällig sind.
Das sagten Forscher von Trustwave SpiderLabs am Dienstag eine Analyse Die Anzahl der VMWare vCenter-Server ergab, dass 5.271 Instanzen von VMWare vCenter-Servern verfügbar sind online, von denen die meisten die Versionen 6.7, 6.5 und 7.0 ausführen, wobei Port 443 am häufigsten verwendet wird beschäftigt.
Nachdem das Team die Shodan-Suchmaschine zur weiteren Untersuchung genutzt hatte, konnte es Daten von 4969 Instanzen abrufen und stellte fest, dass insgesamt 4019 Instanzen – oder 80,88 % – ungepatcht blieben.
Die restlichen 19,12 % dürften anfällig sein, da es sich um alte Versionen der Software handelt, einschließlich der Versionen 2.5x und 4.0x, die veraltet sind und nicht mehr unterstützt werden.
Zu dem Zeitpunkt, als der Anbieter die Sicherheitsupdates herausgab, sagte VMWare: Schwachstellen gefordert die „unmittelbare Aufmerksamkeit“ der Nutzer. Wie zuvor berichtet von ZDNet, können die Patches einige Plugins von Drittanbietern beschädigen, und wenn die Anwendung der Fixes nicht möglich ist, werden Serverbesitzer gebeten, sie zu deaktivieren VMWare-Plugins um die Bedrohung durch Exploits zu mindern.
Es wird empfohlen, diese Art kritischer Fehler so schnell wie möglich zu beheben oder zu mildern.
Der Proof-of-Concept-Code (PoC) wurde für CVE-2021-21985 veröffentlicht. Das Problem ist so schwerwiegend, dass die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die Anbieter alarmiert um ihre Builds zu patchen.
Bisherige und verwandte Berichterstattung
-
Sofort patchen: VMware warnt vor kritischer Lücke bei der Remote-Codeausführung in vCenter
-
VMware führt die Tool-Suite „Anywhere Workspace“ ein
-
VMware vereint Dienste für neue Modern Apps Connectivity-Plattform
Haben Sie einen Tipp? Sicher über WhatsApp in Kontakt treten | Signal unter +447713 025 499 oder über Keybase: charlie0