هشدار VMware پیرامون مهمترین آسیبپذیریهای اجرای کد از راه دور در vCenter
پس از گزارش دو آسیبپذیری به صورت خصوصی به VMware، این شرکت از کاربران vCenter خود میخواهد که vCenter Server نسخههای ۶.۵ ، ۶.۷ و ۷.۰ را بلافاصله بروز کنند.
اگر مهاجمی به پورت ۴۴۳ دسترسی پیدا کند، به لطف آسیبپذیری موجود در vCenter میتواند هر کدی را که میخواهد بر روی سیستم عامل میزبان اجرا کند!
شدیدترین این آسیبپذیریها CVE-2021-21985 است که مربوط به یک آسیبپذیری اجرای کد از راه دور در افزونه vSAN است که به طور پیشفرض در vCenter فعال میشود و یک مهاجم، به شرط آنکه بتواند به پورت ۴۴۳ دسترسی پیدا کند میتواند از آن برای اجرای کد دلخواه خود در سیستم میزبان استفاده کند. حتی در صورتی که کاربران از vSAN استفاده نکنند، احتمال تحت تأثیر قرار گرفتن سیستمهای آنها وجود دارد، زیرا افزونه vSAN به طور پیش فرض در vCenter فعال است.
VMware در این خصوص این موضوع را مطرح کرد که: "vSphere Client (HTML5) به دلیل عدم اعتبارسنجی مناسب ورودیها در افزونه Virtual SAN Health Check که بهطور پیش فرض درvCenter server فعال است، دارای یک آسیبپذیری اجرای کد از راه دور است."
همچنین VMware در بخش سوالات متداول خود هشدار داد از آنجا که مهاجم برای سواستفاده از این آسیبپذیری و انجام حمله، باید پورت ۴۴۳ را مورد هدف قرار دهد، مدیریت مناسب firewall ها را آخرین خط دفاعی برای کاربران توصیف کرد.
همچنین این غول فناوری اظهار داشت: "سازمانهایی که سرورهای vCenter خود را در شبکههایی قرار دادهاند که از طریق اینترنت مستقیماً قابل دسترسی هستند، ممکن است از چنین خط دفاعی برخوردار نباشند و باید سیستمهای خود را مجدد بررسی کنند."
"آنها همچنین باید گامهایی را برای پیادهسازی کنترلهای امنیتی بیشتر (نظیر فایروالها، ACL و غیره) در رابطه با مدیریت زیرساختهای خود بردارند."
برای رفع این موارد، VMware به کاربران خود توصیه میکند نسخه vCenter خود را بروز کنند، یا در صورت عدم این امکان، از دستورالعملهایی که این شرکت در مورد نحوه غیرفعال کردن افزونههای سرور vCenter ارائه داده است استفاده کنند.
VMware همچنین هشدار داد: مدیریت و مانیتورینگ افزونه vSAN در صورت غیرفعال بودن آن امکان پذیر نیست و اگر کاربری میخواهد که از vSAN استفاده کند، فقط باید پلاگین را برای مدت زمان کوتاهی غیرفعال کند. "
همچنین این شرکت به کاربران یادآور میشود که وصلههای منتشر شده خدمات تأیید اعتبار پلاگین را بهتر ارائه میدهند؛ در صورتیکه استفاده از افزونههای دیگر ممکن است این کارایی را نداشته باشد.
VMware در یک پست وبلاگی نیز این مطلب را منتشر کرد که: "اگر از vCenter Server استفاده میکنید، مورد پیش آمده نیاز به توجه و بررسی فوری شما دارد."
"امروزه که باجافزارها بسیار فعال هستند، ایمنترین تصور ممکن آن است که مهاجم از قبل در جایی از شبکه، روی دسکتاپ و شاید حتی با دسترسی به یک حساب کاربری در داخل شبکه حضور داشته باشد و در کمین فرصتی باشد تا نقشه خود را عملی کند. به همین دلیل است که توصیه میکنیم هرچه سریعتر نسبت به تغییر اضطراری و نصب وصلهها اقدام کنید. "
حتی ممکن است وجود برخی از کنترلها در شبکه کافی نباشند لذا VMware به کاربران پیشنهاد کرده است تفکیک شبکه بهتری را اعمال کنند.
همچنین در این بیانیه آمده است: "باندهای باجافزاری به طور مكرر به جهانیان نشان دادهاند كه میتوانند با صبر بسیار، منتظر یك آسیبپذیری جدید برای حمله از داخل یك شبکه باشند و به شبكههای سازمانی دسترسی پیدا كنند."
"این موضوع فقط مختص محصولات VMware نیست. ممکن است سازمانها بخواهند کنترلهای امنیتی اضافی و تفکیک بین زیرساختهای فناوری و سایر شبکههای شرکتی خود را به عنوان بخشی از تلاش برای اجرای استراتژی های امنیتی مدرن با ضریب اعتماد صفر در نظر بگیرند."
آسیبپذیری دوم، CVE-2021-21986، به مهاجم اجازه میدهد اقدامات مجاز پلاگینها را بدون نیاز به احراز هویت انجام دهد.
VMware در این خصوص اظهار داشت: "vSphere Client (HTML5) دارای یک آسیبپذیری در مکانیزم احراز هویت vSphere برای پلاگینهای Virtual SAN Health، Site Recovery، vSphere Lifecycle Manager و VMware Cloud Director Availability است."
از نظر درجه بندیCVSSv3 ، شدت CVE-2021-21985 به میزان ۹.۸ رسید، در حالی که این مقدار برای CVE-2021-21986 برابر ۶.۵ است.
در اوایل سال جاری نیز، یک جفت آسیبپذیری ESXi منتشر شد که مورد استفاده باندهای باج افزار برای به دست گرفتن ماشینهای مجازی و رمزگذاری درایوهای سخت افزاری مجازی بود.
محصولات تحت تأثیر آسیبپذیریها
▪️VMware vCenter Server (vCenter Server)
▪️VMware Cloud Foundation (Cloud Foundation)
روشهای کاهش یا رفع آسیبپذیریها
اطلاعات نسخههای بهروزرسانی شده در لینک https://www.vmware.com/security/advisories/VMSA-2021-0010.html آورده شده است.
منبع: