Vulnerabilità VMware vCenter

Aggiornamento – 22-09-2021

I nostri tecnici hanno già iniziato la procedura di fixing sui clienti in cui gestiamo autonomamente il patch-management, siamo comunque a disposizione per aiutarvi a mettere in sicurezza i vostri server.

Vulnerabilità VMware vCenter

Nella giornata di oggi, martedì 21 Settembre 2021, VMware ha pubblicato un avviso di sicurezza VMSA-2021-0020, che include dettagli sulla vulnerabilità CVE-2021-22005. Quest’ultima, attraverso un upload particolare di file critici (CVSSv3 9.8), consente l’esecuzione di codice remoto ottenendole di fatto il controllo. L’upload del file, appositamente predisposto, avviene tramite la porta 443 indipendentemente dalle impostazioni di configurazione del vCenter Server.

VMware ha pubblicato una FAQ che delinea i dettagli di questa vulnerabilità e chiarisce che dovrebbe essere corretta “immediatamente”. VMware fornisce anche una soluzione alternativa, tuttavia il suo utilizzo non è consigliato e dovrebbe essere utilizzato solo come soluzione temporanea.

Una vulnerabilità molto simile (CVE-2021-21972) era presente anche nelle versioni precedenti di vCenter Server con exploit “in the wild” tant’è che è stata sfruttata in qualche nostro penetration-test per aggiornare l’authorized-key e ottenere l’accesso root.

Prodotti interessati:
– vCenter Server versioni 6.7 e 7.0
– Cloud Foundation (server vCenter) 3.x, 4.x

Al momento non sembrano esserci segnalazioni di sfruttamento, ma la situazione potrebbe presto cambiare. VMware consiglia vivamente di curare immediatamente tutti i server interessati.

Fix e Workaround:

Riferimenti

VMSA-2021-0020 (vmware.com)