Vulnerabilità vCenter VMWare

Pubblicato da frtg il

Identificata una vulnerabilità di tipo Remote Command Execution per i prodotti vCenter di VMWare. Alla vulnerabilità è stato assegnato uno score di 9.8 (advisory ufficiale). CVE: 2021-21985, 2021-21986

La vulnerabilità permette a potenziali malintenzionati di accedere ai server vulnerabili ed eseguire comandi privilegiati per la compromissione del sistema. 

Sistemi vulnerabili

I sistemi vCenter Server sono prodotti utilizzati spesso all’interno del network aziendale. La presenza di questa vulnerabilità all’interno del perimetro ne riduce l’esposizione ai soli accessi interni.

La criticità della vulnerabilità è dovuta alla possibilità di un malintenzionato (con accesso di rete alla porta 443) di accedere al server VMWare.

E’ possibile identificare i sistemi potenzialmente esposti su rete pubblica. In Italia potenzialmente 143 quelli vulnerabili. Nel mondo circa 5 mila.
Risulta necessario applicare le patch di sicurezza, per mitigare il rischio è consigliato limitare l’accesso dalla rete internet.

Dettagli della vulnerabilità

Dettaglio:

Il client vSphere (HTML5) contiene una vulnerabilità legata all’esecuzione di codice in modalità remota dovuta alla mancanza di convalida dell’input nel plug-in Virtual SAN Health Check che è abilitato per impostazione predefinita in vCenter Server.

Come potrebbe essere sfruttata:

Un malintenzionato con accesso alla porta 443 potrebbe sfruttare tale vulnerabilità eseguendo comandi sul vCenter Server. 

Dettaglio sistemi vulnerabili:
ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
vCenter Server7.0AnyCVE-2021-219859.8Critical 7.0 U2bKB83829FAQ
vCenter Server6.7AnyCVE-2021-219859.8Critical 6.7 U3nKB83829FAQ
vCenter Server6.5AnyCVE-2021-219859.8Critical 6.5 U3pKB83829FAQ