vSphere Data Protection: VMware entfernt hart-codierten Root-Key
Angreifer sollen die Backup- und Recovery-Lösung für virtuelle Maschinen mit vergleichsweise wenig Aufwand übernehmen können. Sicherheitspatches stehen zum Download bereit.
In VMwares vSphere Data Protection (VDP) klafft eine kritische Sicherheitslücke (CVE-2016-7456). Nutzen Angreifer die Schwachstelle aus, sollen sie die Backup- und Recovery-Lösung für virtuelle Maschinen mit Root-Rechten kapern können. Das soll aus der Ferne und ohne Authentifikation möglich sein, warnt VMware. VDP ist Bestandteil von VMwares vCenter Server.
Das Problem ist ein standardmäßig abgelegter statischer SSH-Schlüssel mit einem bekannten Passwort. Damit eine Übernahme klappt, muss ein Angreifer aber Zugang zu einem Netzwerk in dem VDP zum Einsatz kommt haben. Dann könne er sich über die Schwachstelle ins System schleichen und es kompromittieren, erläutert VMware.
Kritische Lücke
Der Anbieter stuft die Sicherheitslücke als kritisch ein – das Notfall-Team des BSI CERT-Bund beurteilt das Risiko als "sehr hoch". Wer VDP einsetzt, sollte also zügig den Hotfix für die Versionen 5.5.x, 5.8.x, 6.0.x oder 6.1.x einspielen. Wie das geht, führt VMware in einer kurzen Anleitung aus. Der Hotfix ändert neben dem SSH-Schlüssel auch das Passwort.
Weitere Schwachstelle
Auch VMware ESXi ist in den Versionen 5.5 und 6.0 verwundbar. Setzt ein Angreifer an der Lücke mit der Kennung CVE-2016-7463 an, kann er unter Umständen eine XSS-Attacke anstoßen, warnen die Entwickler.
Dafür muss eine Angreifer aber die Berechtigung besitzen, virtuelle Maschinen über den ESXi Host Client zu verwalten. Alternativ kann er seinem Opfer auch eine manipulierte virtuelle Maschine zum Import unterjubeln. Die Sicherheitspatches sind mit der Einstufung "wichtig" versehen. (des)
