Zranitelnost v produktu VMware vCenter Server /Cloud Foundation
29.09.2021
Zranitelnost v produktu VMware vCenter Server /Cloud Foundation

Upozorňujeme na změnu v objevené zranitelnosti produktu VMware vCenter Server /Cloud Foundation s označením CVE-2021-22005. Jedná se o zranitelnost s hodnocením CVSSv3 9,8.

Tato zranitelnost spočívá v možnosti nahrát speciálně upravený soubor do Analytics service na portu 443 a následně spuštění kódu, či exfiltraci dat.

Dochází k aktivnímu zneužití této zranitelnosti.

Technické detaily

CVSSv3.1 skóre9,8
Attack Vector (AV)Network
Attack Complexity (AC)Low
Privileges Required (PR)None
User Interaction (UI)None
Scope (S)Unchanged
Confidentiality (C)High
Integrity (I)High
Availability (A)High


Hrozba zneužití

Aktuálně dochází k rozsáhlému zneužívání této chyby. Minulý týden byly pouze nepotvrzené dokumenty Proof-of-Concept a tento týden již existují nástroje, které dokážou zranitelnost využít.

https://github.com/r0ckysec/CVE-2021-22005


Mitigace

Doporučujeme provést bezpečnostní aktualizace na verze 7.0 U2c a 6.7 U3o co nejdříve.
https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u2c-release-notes.html
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3o-release-notes.html
 
V případě, že není aktuálně možné provést aktualizaci, tak je k dispozici dočasné řešení. Toto řešení by nemělo být náhradou za instalaci bezpečnostní aktualizace.

Zároveň doporučujeme omezení přístupu k této infrastruktuře bez použití VPN.
 

Postupy mitigace:

https://kb.vmware.com/s/article/85717
 
1) Připojte se k vCSA pomocí SSH sessiony a root credentials
 
2) Uveďte obsah adresáře, do kterého jste soubor zkopírovali – abyste se ujistili, že byl úspěšně zkopírován
    V tomto případě je to "/var/tmp". Spusťte příkaz a ujistěte se, že je soubor uveden
 
              ls -al/var/tmp/
 
3) Spusťte skript spuštěním níže uvedeného příkazu
    Podle potřeby změňte cestu k souboru
    Použitá verze pythonu závisí na přesné verzi vašeho vCenter.
    Skript lze spustit pomocí pythonu, pythonu 3.5 nebo pythonu 3.7
         
 
python /var/tmp/VMSA-2021-0020.py
nebo
python3.5 /var/tmp/VMSA-2021-0020.py
nebo
python3.7 /var/tmp/VMSA-2021-0020.py
 
 
      Skript se spustí a
            A. Vytvoří zálohu neupraveného ph-web.xml
            b. Aktualizuje soubor ph-web.xml
            C. Vytvoří zálohu aktualizovaného ph-web.xml
            d. Restartuje analytickou službu
            E. Ověří, že zařízení již není zranitelné
 
Viz níže uvedený výstup (skript spuštěný v tomto příkladu s Pythonem 3.5)



Reference

https://www.vmware.com/security/advisories/VMSA-2021-0020.html
https://kb.vmware.com/s/article/85717
https://threatpost.com/working-exploit-vmware-vcenter-cve-2021-22005/175059/
https://nvd.nist.gov/vuln/detail/CVE-2021-22005
https://github.com/r0ckysec/CVE-2021-22005