Подписаться
Читать в телеграм
Платформа vCenter Server предназначена для централизованного управления и автоматизации VMware vSphere, ключевого продукта в современных центрах обработки данных. По оценкам IDC, компания занимает до 80% на рынке виртуальных машин. В 2019 г. VMware вошла в рейтинг компаний с наибольшим потенциалом роста Fortune Future 50.
Наиболее опасная уязвимость относится к классу Remote Code Execution, что является одной из самых значительных угроз по классификации OWASP. Возможность удаленного выполнения кода на сервере в 100% случаев приводит к взлому ресурса. Ошибка получила идентификатор CVE-2021-21972 и оценку 9,8 по шкале CVSS v3. Проблема была обнаружена в функциональности vSphere Client.
Основной угрозой в контексте данной уязвимости являются внутренние злоумышленники, которые преодолели защиту сетевого периметра с помощью других методов (социальной инженерии, веб-уязвимостей и т. д.) либо имеют доступ к внутренней сети с помощью ранее установленных бэкдоров. В прошлом году было опубликовано исследование «Итоги внешних пентестов — 2020», согласно которому попасть внутрь сетевого периметра и получить доступ к ресурсам локальной сети специалистам Positive Technologies удалось в 93% компаний.
«На наш взгляд, RCE-уязвимость в vCenter Server может представлять не меньшую угрозу, нежели нашумевшая уязвимость Citrix (CVE-2019-19781). Ошибка позволяет неавторизованному пользователю отправить специально сформированный запрос, который впоследствии предоставит ему возможность выполнять произвольные команды на сервере. После получения такой возможности злоумышленник может развить атаку, успешно продвинуться по корпоративной сети и получить доступ к данным, хранящимся на атакуемой системе (информации о виртуальных машинах, о пользователях системы и т. д). Если же доступ к уязвимому ПО есть из глобальной сети, то это позволит внешнему злоумышленнику преодолеть внешний периметр организации и также получить доступ к конфиденциальной информации. Еще раз хочется отметить, что уязвимость является опасной, так как ей может воспользоваться любой неавторизованный пользователь».
Михаил Ключников,
эксперт Positive Technologies
Другая уязвимость (CVE-2021-21973 с оценкой 5,3) позволяет неавторизованному пользователю отправлять запросы от имени атакуемого сервера. Данная ошибка может помочь злоумышленнику в развитии дальнейших атак. В частности, используя эти недостатки, есть возможность сканировать внутреннюю сеть организации и получать информацию об открытых портах различных сервисов.
Эксперты Positive Technologies рекомендуют в обязательном порядке установить обновления от вендора, а также убрать интерфейсы vCenter Server с периметра организаций, если они там есть, а во внутренней сети — выделить их в отдельный VLAN с ограниченным списком доступа.
Для устранения уязвимостей необходимо руководствоваться также рекомендациями, указанными в официальном уведомлении компании VMware.
