Vulnerabilidade crítica afeta todos os vCenter Servers

Atenção para vulnerabilidade crítica que pode dar ao atacante Remote Code Execution (RCE)

Uma vulnerabilidade no plug-in do Virtual SAN Health Check de todos os vCenters Servers nas versões 6.5, 6.7 e 7.0 foi encontrada.  “As atualizações corrigem uma vulnerabilidade crítica de segurança e precisam ser consideradas imediatamente”, disse Bob Plankers, arquiteto de marketing técnico da VMware em nota publicada hoje.

O vCenter Server é uma solução de gerenciamento de servidor que ajuda os administradores de TI a gerenciar máquinas virtuais e hosts virtualizados em ambientes corporativos por meio de um único console.

Segundo ele, as informações estão num novo comunicado crítico de segurança, registrado como VMSA-2021-0010 (CVE-2021-21985 e CVE-2021-21986): “Isso requer sua atenção imediata se você estiver usando o vCenter Server (se você não recebeu um e-mail sobre isso, inscreva-se em nossa lista de mala direta de Avisos de Segurança ). Na maioria dos casos, um aviso de segurança é direto, mas às vezes há nuances que valem uma discussão extra. Esse é o caso aqui, e o objetivo desta postagem é ajudá-lo a decidir seu rumo a seguir”.

O VMSA descreve dois problemas que são resolvidos nesta versão de patch. Primeiro, há uma vulnerabilidade de execução remota de código no plug-in vSAN, que é fornecido como parte do vCenter Server. Essa vulnerabilidade pode ser usada por qualquer pessoa que possa acessar o vCenter Server pela rede para obter acesso, independentemente de você usar ou não o vSAN.

Em segundo lugar, foram feitas melhorias na estrutura do plug-in do vCenter Server para melhor aplicar a autenticação do plug-in. Isso afeta alguns plug-ins do VMware e também pode fazer com que alguns plug-ins de terceiros parem de funcionar. Os parceiros VMware foram notificados e estão trabalhando para testar seus plug-ins (a maioria continua a funcionar), mas pode haver um período após a atualização quando uma equipe de administração de virtualização pode precisar acessar backup, armazenamento ou outros sistemas por meio de suas respectivas interfaces de gerenciamento e não por meio da UI do vSphere Client.

Ações recomendadas pela eSecurity:

• Ainda em modo gambiarra, orientação da própria VMWare:
  • Marque os plugins como “incompatíveis”. Desative o plugin de dentro da IU e então não será possível realizar exploração. (Tutorial em vídeo / Artigo Vmware)
• Realize frequentemente testes de intrusão em seu ambiente.

 

Fonte: www.cisoadvisor.com.br / www.vmware.com