Beheer

Veel grote organisaties kwetsbaar door VMware-lek
Advies: onmiddellijk patchen want er wordt actief gescand op kwetsbare servers.
Advies: onmiddellijk patchen want er wordt actief gescand op kwetsbare servers.
Woensdag publiceerde een Chinese IT-beveiligingsonderzoeker een proof of concept voor misbruik van een probleem met vSphere Client , een onderdeel van vCenter van VMware. De Amerikaanse IT-beveiliger Bad Packets waarschuwt nu bewijzen te hebben voor zeker 6700 kwetsbare servers die online benaderbaar zijn. Ook ziet het bedrijf dat er actief gescand wordt op het voorkomen van de kwetsbaarheid.
De kwetsbaarheid is geregisteerd als bulletin CVE-2021-21972 en werd vorig jaar ontdekt door Positive Technologies. De softwarefout stelt kwaadwillenden in staat in te breken op de HTTPS-interface van de vCenter plugin vSphere Client en daar vervolgens met ruime gebruikersrechten code ten uitvoer te brengen zonder in te loggen.
vSphere Client wordt vooral gebruikt in grote organisaties om vCenter aan te sturen, de server waarmee vanaf een centrale plek alle VMware producten die op computers van werknemers staan te beheren.
De kwetsbaarheid heeft de hoogste risicokwalificatie 'critical' gekregen. Positive Technologies heeft na de ontdekking van het probleem dit volgens de responsable disclosure-voorschriften gemeld bij VMware, dat dan nu ook een patch voor het probleem beschikbaar heeft. Het advies is om die patch onmiddellijk aan te brengen. Aanvankelijk was het plan het bestaan van de kwetsbaarheid stil te houden zodat IT-beheerders voldoende tijd zouden hebben om de patch te testen en te installeren. Nu de proof of concept is gepubliceerd en er aanwijzingen zijn dat er actief wordt gezocht naar kwetsbare servers, is daar geen tijd meer voor.
We've detected mass scanning activity targeting vulnerable VMware vCenter servers (https://t.co/t3Gv2ZgTdt).
— Bad Packets (@bad_packets) February 24, 2021
Query our API for "tags=CVE-2021-21972" for relevant indicators and source IP addresses. #threatintel https://t.co/AcSZ40U5Gp
Ik vroeg me ook al af wat hier nu de vulnerability was, maar... vergeet niet gehackte laptops etc die mee naar binnen worden genomen en van binnenuit de vCenter server dan wel kunnen benaderen. Dus.... fixen.
sorry, maar als je je VCenter VSphere Client HTTPS interface rechtstreeks vanaf het internet benaderbaar hebt, dan heb je volgens mij als beheerder of cloud aanbieder ook wel even wat uit te leggen