Im HTML5 Client des vCenters gibt es eine bekannte Sicherheitslücke, welche von Angreifern ausgenutzt werden kann um Schadcode ohne Authentifizierung auf dem vCenter auszuführen. Dabei braucht der Angreifer lediglich Zugriff auf das vCenter über HTTPS/Port 443. Dabei wird das vROPS Plugin dazu verwendet, um Schadcode auf das vCenter einzuschleusen. Betroffen sind alle vCenter Installationen, da das vROPS Plugin standardmässig aktiviert ist – dies ist unabhängig davon, ob vROPS verwendet wird oder nicht.
Es gibt auch bereits einen Proof of Concept Code, wie die Sicherheitslücke ausgenutzt werden kann.
http://noahblog.360.cn/vcenter-6-5-7-0-rce-lou-dong-fen-xi/
Das Advisory von VMware ist hier zu finden:
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
Das Positive:
Für die Sicherheitslücke gibt es bereits entsprechende Security-Updates, welche diese Lücke wieder schliessen. Somit kann durch das Patchen des vCenters diese Angriffsmöglichkeit geschlossen werden.
Betroffene vCenter Versionen
Folgende Tabelle zeigt welche Versionen betroffen sind und ab welchem Build die Lücke geschlossen ist:
| Major Version | Sicherheitslücke geschlossen ab: |
| vCenter 6.5.0 | 17097218 (6.5 Update 3n) |
| vCenter 6.7.0 | 17138064 (6.7 Update 3l) |
| vCenter 7.0.0 | 16764584 (7.0 Update 1c) |
| VCF vCenter 4.X | 4.2 |
| VCF vCenter 3.X | 3.10.1.2 |
Lösung:
Um die Sicherheitslücke zu schliessen, müssen die vCenter Server mindestens auf die entsprechenden Releases aus der Tabelle aktualisiert werden. Sobald die Updates auf den vCenter Servern installiert sind, sind die Lücken geschlossen. Sollte ein Update nicht möglich sein, kann auch als Workaround das vROPS Plugin deaktiviert werden. Bedingung dabei ist, das der Kunde das Plugin auch wirklich nicht benötigt. Wir empfehlen somit unseren Kunden die betroffenen vCenter Server möglichst zeitnah zu aktualisieren.
Anfrage
Jetzt anmelden
