RCE è tornato: VMware dettaglia la vulnerabilità nel caricamento dei file in vCenter Server

vmware.jpg

Immagine: Shutterstock

Se non hai patchato vCenter negli ultimi mesi, fallo al più presto.

A seguito del suo buco di esecuzione del codice remoto in vCentre a maggio, VMware ha segnalato una vulnerabilità critica nel servizio di analisi di vCenter Server.

“Una vulnerabilità al caricamento di file che può essere utilizzata per eseguire comandi e software su vCenter Server Appliance. Questa vulnerabilità può essere utilizzata da chiunque riesca a raggiungere vCenter Server in rete per ottenere l’accesso, indipendentemente dalle impostazioni di configurazione di vCenter Server”, il società ha detto in un post sul blog.

Con l’etichetta CVE-2021-22005, la vulnerabilità ha raggiunto un punteggio CVSSv3 di 9.8 e significa che un attore malintenzionato deve solo accedere alla porta 443 e avere un file da caricare in grado di sfruttare un server senza patch.

La vulnerabilità colpisce le versioni 6.7 e 7.0 di vCenter Server Appliance, con build superiori a 7.0U2c build 18356314 del 24 agosto e 6.7U3o build 18485166 rilasciate il 21 settembre con patch. L’exploit non ha alcun impatto sulle versioni di vCenter 6.5.

Per coloro che cercano una soluzione alternativa invece di applicare una patch, VMware ha fornito istruzioni. La soluzione verrà ripristinata una volta applicata la patch all’istanza del server.

VMware ha detto che gli utenti dovrebbero patchare immediatamente.

“Le ramificazioni di questa vulnerabilità sono serie ed è una questione di tempo, probabilmente pochi minuti dopo la divulgazione, prima che gli exploit funzionanti siano disponibili al pubblico”, ha affermato.

Altre vulnerabilità affrontate nell’advisory di VMware includono CVE-2021-21991, un’escalation dei privilegi locali CVSSv3 8.8 che coinvolge token di sessione che vedrebbero gli utenti ottenere l’accesso come amministratore; CVE-2021-22006, un bypass del proxy inverso CVSSv3 8.3 che potrebbe consentire l’accesso a endpoint limitati; e CVE-2021-22011 che potrebbero consentire la manipolazione delle impostazioni di rete VM non autenticate.

In tutto, delle 19 vulnerabilità elencate nel suo avviso, 10 sono state rilevate da George Noseevich e Sergey Gerasimov di SolidLab.

Altrove, Claroty Team 82 ha spiegato in dettaglio come ha concatenato una serie di vulnerabilità in Nagios XI per ottenere una shell inversa con l’esecuzione di codice remoto root.

Sebbene siano state trovate 11 vulnerabilità – quattro delle quali hanno ricevuto un punteggio CVSSv3 di 9.8 e includevano un’iniezione SQL – solo due erano necessarie per la shell inversa: CVE-2021-37343, una vulnerabilità di attraversamento del percorso che consente l’esecuzione del codice come utente Apache; e CVE-2021-37347 che consente l’escalation dei privilegi locali.

La funzione di accesso automatico di Nagios XI che consente l’accesso in sola lettura alla dashboard di Nagios senza credenziali ha ampliato notevolmente la superficie di attacco, ha affermato il Team 82.

“Sebbene questa funzionalità possa essere utile per scopi NOC, consentire agli utenti di connettersi facilmente alla piattaforma e visualizzare le informazioni senza la necessità di credenziali consente anche agli aggressori di accedere a un account utente nella piattaforma, rendendo così sfruttabile qualsiasi vulnerabilità post-autenticazione senza autenticazione”, hanno detto.

Le versioni con patch dei prodotti Nagios XI vulnerabili sono state rilasciate ad agosto.

claroty-team82-nagios-reverse-shell-root.gif

Una shell di root inversa in arrivo

Immagine: Claroty

Più VMWare

  • Nvidia e VMware collaborano per aiutare le aziende a potenziare lo sviluppo dell’IA
  • Software VDI Horizon aggiornato per strategie ibride e multi-cloud
  • VMware Edge lanciato per servire le aziende che sviluppano app multi-cloud
  • Semplificato: modernizzazione delle app in ambienti multi-cloud
  • Dell e VMware si combinano su una piattaforma versatile basata su Apex per implementazioni multi-cloud
  • Project Arctic mira a rendere il cloud ibrido il modello operativo predefinito

Leave a Reply