VMware gibt Schwachstellen bekannt: Potenzielles Einfallstor für Ransomware-Gruppen

Tenable kommentiert neue Schwachstellen in VMwares „vCenter Server“

[datensicherheit.de, 28.05.2021] Am 26. Mai 2021 sei bekanntgeworden, „dass zwei Schwachstellen in VMwares ,vCenter Server‘ gefunden wurden“: CVE-2021-21985 sei eine Schwachstelle für Remote-Codeausführung im „vSphere-Client“ über das Plug-in „Virtual SAN (vSAN) Health Check“, welches standardmäßig aktiviert sei. CVE-2021-21986 sei ein Problem mit dem Authentifizierungsmechanismus in verschiedenen „vCenter Server“-Plug-ins. In einem seltenen Schritt habe VMware nun einen Blogpost veröffentlicht, in welchem Ransomware-Gruppen als geschickt darin bezeichnet würden, Schwachstellen wie diese nach der Kompromittierung auszunutzen, nachdem sie sich über andere Wege wie „Spearphishing“ Zugang zu einem Netzwerk verschafft hätten.

Foto: Tenable

Claire Tills warnt: Schwachstellen wie diese nach Kompromittierung auszunutzen, nachdem z.B. über Spearphishing Zugang zum Netzwerk verschafft wurde

VMware meldet zwei Schwachstellen, die vCenter Server betreffen

„VMware hat zwei Schwachstellen bekanntgegeben, die ,vCenter Server‘ betreffen, eine zentrale Management-Software für ,VMware vSphere‘-Systeme. Bei der schwerwiegendsten Schwachstelle, ,CVE-2021-21985‘, handelt es sich um eine Schwachstelle für Remote-Codeausführung in ,vSphere Client‘, die mit einem ,CVSSv3‘-Score von 9,8 bewertet wurde“, berichtet Claire Tills, „Senior Research Engineer“ bei Tenable in ihrem aktuellen Kommentar zu diesen neu entdeckten Schwachstellen.
Um diese Schwachstelle auszunutzen, müsste ein Angreifer in der Lage sein, über Port 443 in der Firewall auf „vCenter Server“ zuzugreifen. Selbst wenn ein Unternehmen „vCenter Server“ nicht von außen zugänglich gemacht hat, könnten Angreifer diese Schwachstelle ausnutzen, sobald sie sich in einem Netzwerk befinden.

VMware hat aus aktuellem Anlass Blog-Beitrag veröffentlicht

In einem seltenen Schritt habe VMware einen Blog-Beitrag veröffentlicht, in dem Ransomware-Gruppen darauf hingewiesen würden, dass sie geschickt darin seien, Schwachstellen wie diese nach der Kompromittierung auszunutzen, „nachdem sie sich über andere Wege wie ,Spearphishing‘ Zugang zu einem Netzwerk verschafft haben“.
Angesichts der Tatsache, dass Ransomware die Nachrichten dominiere, sei dieser Kontext wichtig und unterstreiche die Aussage von VMware, dass das Patchen dieser Schwachstellen höchste Priorität haben sollte. Eine erfolgreiche Ausnutzung würde es einem Angreifer ermöglichen, beliebige Befehle auf dem zugrundeliegenden „vCenter“-Host auszuführen.

VMware hat für beide Schwachstellen Patches zur Verfügung gestellt

VMware habe außerdem Patching für „CVE-2021-21986“ bereitgestellt, bei dem es sich um ein Problem mit dem Authentifizierungsmechanismus handele, welches in mehreren „vCenter Server“-Plug-ins gefunden worden sei. „Dieses wurde mit einem ,CVSSv3‘-Score von 6,5 als mittelschwer eingestuft.“
Tills ergänzt abschließend: „VMware hat für beide Schwachstellen Patches zur Verfügung gestellt und Unternehmen, die ,vCenter Server‘ einsetzen, wird empfohlen, sofort zu handeln.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.04.2020
Kritische Sicherheitslücke im VMware Directory Service

VMware vSphere Blog, Bob Plankers, 25.05.2021
VMSA-2021-0010: What You Need to Know