Jetzt updaten: Kritische Lücke aus VMware ESXi und vCenter Server beseitigt
Drei Lücken mit Einstufungen von "Moderate" bis "Critical" betreffen neben ESXi und vCenter Server indirekt auch Cloud Foundation. Es gibt aktive Angriffe.
(Bild: Alfa Photo/Shutterstock.com)
Im Hypervisor VMware ESXi und in der Server-Management-Software vCenter Server stecken insgesamt drei Sicherheitslücken, von denen die gefährlichste vom Hersteller als kritisch (CVSS-Score 9.8 von 10, vCenter Server) und eine weitere als "Important" (8.8, ESXi) eingestuft wurde. Betroffen sind mehrere Versionen und alle verfügbaren Plattformen. Sicherheitsupdates stehen nicht nur für ESXi und vCenter Server, sondern auch für die Plattform Cloud Foundation bereit, die beide als Komponenten nutzt. Anwender sollten die Aktualisierungen zügig einspielen.
Update 25.02.21, 12:45: Mittlerweile haben chinesische Sicherheitsforscher Exploit-Code für die kritische Sicherheitslücke CVE-2021-21972 veröffentlicht. Via Twitter berichten Forscher von automatisierten Scans nach verwundbaren vCenter-Servern. Admins sollten dementsprechend schnell handeln. (Der Anrisstext der Meldung wurde entsprechend angepasst)
"Critical": Unbefuger Fernzugriff auf vCenter Server
Die kritische Sicherheitslücke CVE-2021-21972 betrifft vCenter Server und Cloud Foundation. Laut VMwares Advisory befindet sie sich in einem Plugin für den HTML5-basierten vSphere Client, das in Default-Installationen standardmäßig aktiv ist. In der Konsequenz könnte ein entfernter Angreifer mit Zugriff auf Port 443 unter bestimmten Voraussetzungen mit uneingeschränkten Rechten Befehle auf dem jeweils zugrundeliegenden Betriebssystem ausführen.
Verwundbar sind vCenter Server 6.5, 6.7 und 7.0 sowie die Versionsreihen 3.x und 4.x von Cloud Foundation. Update-Links sind VMwares Advisory (s. erster Abschnitt dieser Meldung) zu entnehmen; alternativ erläutert ein Supportartikel auf der VMware-Website einen Workaround.
Im Zuge der Sicherheitsupdates gegen CVE-2021-21972 wurde eine zweite Lücke gleich mitbeseitigt: CVE-2021-21973, eingestuft als "Moderate" (5.3), betrifft ebenfalls vCenter Server und Cloud Foundation in den bereits genannten Versionen; die verfügbaren Aktualisierungen und auch der mögliche, mit dem verwundbaren Plugin in Zusammenhang stehende Workaround sind somit identisch. Über die "Moderate"-Lücke (ebenfalls angreifbar via Port 443) droht ein Leak von Daten aus vCenter Server.
"Important": Remote Code Execution auch in ESXi
Komplett eigenständig ist die dritte Sicherheitslücke im Bunde: CVE-2021-21974 ("Important", CVSS-Score 8.8) betrifft ESXi 6.5, 6.7 und 7.0 und Cloud Foundation (wiederum in den Versionsreihen 3.x und 4.x). Durch Auslösen eines Heapüberlaufs in dem von ESXi genutzten OpenSLP via Port 427 ist Remote Code Execution möglich. Der Angriff muss aus dem von ESXi genutzten Netzwerksegement erfolgen. Update-Informationen sind auch hier VMwares Security Advisory zu entnehmen; außerdem gibt es eine eigene Workaround-Beschreibung zu CVE-2021-21974.
(ovw)