Was ist das Problem?
Drei Sicherheitslücken wurden kürzlich von VMware veröffentlicht und betreffen vCenter Server oder ESXi - CVE-2021-21972, CVE-2021-21973, CVE-2021-21974.
Betroffene Versionen von vCenter:
- 7.0 vor 7.0 U1c
- 6.7 vor 6.7 U3l
- 6.5 vor 6.5 U3n
Betroffene Versionen von ESXi:
- 7.0 vor ESXi70U1c-17325551
- 6.7 vor ESXi670-202102401-SG
- 6.5 vor ESXi650-202102101-SG
CVE-2021-21972 ist jedoch laut Tenable eine kritische Schwachstelle für die Remotecodeausführung. Unter Verwendung der Daten, die unsere ASM-Plattform speisen, fand das Team von Censys 6.868 Hosts im Internet, auf denen diese potenziell anfällige Version von vCenter von VMware läuft. Zu den Ländern, in denen die meisten Hosts gefunden wurden, gehören die Vereinigten Staaten, China, Deutschland, Frankreich und das Vereinigte Königreich.
|
Pro Land |
% von Gesamt |
| Vereinigte Staaten |
1641 |
24% |
| China |
592 |
9% |
| Deutschland |
447 |
7% |
| Frankreich |
390 |
6% |
| Vereinigtes Königreich |
242 |
4% |
Wir haben unsere Suche vertieft und festgestellt, dass nur 38 % tatsächlich in einer öffentlichen Cloud betrieben werden, die meisten davon in Amazon AWS. Eine weitere Aufschlüsselung finden Sie unten.
Warum ist das wichtig?
Die kürzlich von VMware bekannt gegebenen Schwachstellen in der vCenter-Software sind eine äußerst schlechte Nachricht für Administratoren, die für die Aufrechterhaltung einer sicheren virtuellen Infrastruktur verantwortlich sind. Diese Schwachstellen betreffen wichtige Teile der kritischen Infrastruktur und ermöglichen es einem nicht authentifizierten Angreifer, beliebige Dateien auf kritische Infrastruktur-Server hochzuladen und beliebigen Code auf diesen Servern mit SYSTEM-Benutzerrechten (auf Windows-Servern) auszuführen. Administratoren, die vSphere unter Linux einsetzen, sind zwar etwas weniger in Panik, da der Zugriff auf diese Server eingeschränkt ist, aber ein Zugriff auf Systemebene ist immer noch möglich.
Wenn Sie nicht bereits wie wild zu Ihrem Laptop rennen, um 1) sicherzustellen, dass Sie vCenter nicht dem gesamten Internet aussetzen und 2) die Schaltfläche "Jetzt aktualisieren" zu betätigen, sollten Sie dies in Betracht ziehen, wenn Sie einen der fast 7.000 potenziell anfälligen Server im Internet betreiben. Es gibt bereits Code, mit dem diese Schwachstellen ausgenutzt werden können. Daher ist es wichtig, schnell zu handeln, um das Risiko durch diese Schwachstellen zu verringern.
Sie können die folgende Beispielabfrage verwenden, um Ihre eigene Infrastruktur zu überprüfen. Ersetzen Sie einfach 8.8.8.8 durch Ihre IP-Adresse oder Ihren CIDR-Bereich: https://censys.io/ipv4/help?q=%22ID_VC_Welcome%22+AND+ip%3A+8.8.8.8
Die Kombination dieser Schwachstellen ist für Administratoren eine besondere Art von "Oh Shit"-Moment. Dass jeder im Internet in der Lage ist, Ihren vCenter-Server als CDN-Dienst für Katzenmeme zu verwenden, ist schlimm, aber bedenken Sie auch einige der anderen Dinge, auf die ein Angreifer zugreifen könnte. So könnten beispielsweise alle Systeme, die auf dem vSphere-Server laufen, kompromittiert sein und sollten auf Änderungen oder andere IoCs untersucht werden. Da vSphere-Server häufig verschiedene Netzwerksegmente zusammenfassen, könnte ein Angreifer vom vSphere-Netzwerk in die internen Bereiche des Büros oder Rechenzentrums einer Organisation eindringen und möglicherweise auf Dienste zugreifen, die zu sensibel sind, um direkt mit dem Internet verbunden zu werden. Administratoren sollten daher andere Systeme überwachen, die mit dem vSphere-Server verbunden sind oder mit ihm verbunden sein könnten.
Censys hat auch eine Anfrage an recog gestellt, um vCenter in Zukunft besser identifizieren zu können. Mit dieser Änderung werden Kunden, die recog direkt nutzen oder Produkte einsetzen, die recog nutzen, von der neuen Möglichkeit profitieren, diese Dienste einfacher zu identifizieren und zu sichern.
Was kann ich dagegen tun?
Ihr erster Schritt sollte darin bestehen, potenziell von der Sicherheitslücke betroffene Anlagen zu identifizieren. Wir haben die folgenden Abfragen verwendet, um die Community bei der Identifizierung betroffener Anlagen zu unterstützen, die zu untersuchen und zu beheben sind.
https://censys.io/ipv4/help?q=%22ID_VC_Welcome%22+AND+ip%3A+8.8.8.8
https://censys.io/ipv4?q=%22VMware+vSphere+is+virtual+infrastructure%22+AND+ip%3A+8.8.8.8
Sobald Sie die betroffenen Ressourcen gefunden haben, müssen Sie entweder die Umgehungslösung anwenden oder Ihre vSphere-Appliances aktualisieren. Beides macht keinen Spaß und kann schwierig zu bewerkstelligen sein, ohne dass es zu Funktionseinbußen oder Ausfallzeiten kommt, aber in diesem Fall wird Ihnen wohl niemand widersprechen.
Als Nächstes müssen Sie - da es sich um einen kritischen RCE handelt - jeden vSphere-Server auf unerwartete Dateien, neue Dienste, offene Ports, die Sie nicht erwartet haben, neue Konten oder andere Dinge, die für Ihre Umgebung ungewöhnlich sind, überprüfen. Es ist sehr üblich, dass ein Angreifer bei der Kompromittierung eines Dienstes oder Servers wie diesem Persistenz herstellt, daher müssen Sie sorgfältig vorgehen und Ihre Suche wahrscheinlich über den vSphere-Server selbst hinaus ausweiten.
Anweisungen zur Umgehung des Problems finden Sie hier: https://kb.vmware.com/s/article/82374
Ressourcen
