VMware обнаружила две серьёзные дыры в безопасности vCenter и призывает пользователей немедленно обновить vCenter Server версий 6.5, 6.7 и 7.0.

Самая неприятная из уязвимостей – CVE-2021-21985. Она касается удаленного выполнения кода в подключаемом модуле vSAN, который по умолчанию входит в vCenter (даже если вы его не используете). Из-за отсутствия проверки входных данных в подключаемом модуле Virtual SAN Health Check, уязвимость CVE-2021-21985 позволяет злоумышленникам запускать на хост-компьютере всё, что угодно, при условии получения доступа к порту 443.

Поскольку для атаки достаточно доступа к порту, последней линией защиты для пользователей становится брандмауэр. Однако если серверы vCenter размещены в сетях, доступных напрямую из интернета, они могут не иметь этой линии защиты. В этом случае владельцам следует проверить свои системы на предмет компрометации. Также нужно предпринять шаги по внедрению дополнительных средств контроля безопасности (брандмауэры, списки контроля доступа и т.п.) на интерфейсах управления своей инфраструктуры.

Для решения проблемы VMware рекомендует пользователям обновить vCenter или, если это невозможно, использовать инструкции по отключению модулей vCenter Server. Хотя vSAN будет работать, при отключении плагина управление и мониторинг будут невозможны. Подобную меру стоит использовать только на короткий период времени.

Обновление vCenter Server содержит изменения, которые обеспечивают лучшую аутентификацию плагинов. При этом некоторые сторонние плагины могут перестать работать, в этом случае стоит связаться с их разработчиками.

Вторая уязвимость, CVE-2021-21986, позволяет злоумышленнику без аутентификации выполнять действия, разрешенные плагинами.

Клиент vSphere (HTML5) содержит уязвимость в механизме аутентификации vSphere для подключаемых модулей Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager и VMware Cloud Director Availability.

CVE-2021-21985 получил 9,8 балла по системе CVSSv3, а CVE-2021-1986 – 6,5 баллов.

Так что, если вы пользуетесь vCenter, лучше поскорее озаботиться обновлением.