RCE-уязвимость может позволить злоумышленнику выполнить произвольные команды на сервере, скомпрометировав vCenter Server, и получить доступ к конфиденциальным данным
Компания VMware поблагодарила эксперта Positive Technologies Михаила Ключникова за помощь в устранении двух уязвимостей в vCenter Server. Эта платформа предназначена для централизованного управления и автоматизации VMware vSphere, ключевого продукта в современных центрах обработки данных. По оценкам IDC, компания занимает до 80% на рынке виртуальных машин. В 2019 году VMware вошла в рейтинг компаний с наибольшим потенциалом роста Fortune Future 50.
Наиболее опасная уязвимость относится к классу Remote Code Execution, что является одной из самых значительных угроз по классификации OWASP. Возможность удаленного выполнения кода на сервере в 100% случаев приводит к взлому ресурса. Ошибка получила идентификатор CVE-2021-21972 и оценку 9,8 по шкале CVSS v3. Проблема была обнаружена в функционале vSphere Client.
Основной угрозой в контексте данной уязвимости являются внутренние злоумышленники, которые преодолели защиту сетевого периметра с помощью других методов (социальной инженерии, веб-уязвимостей и т. д.) либо имеют доступ к внутренней сети с помощью ранее установленных бэкдоров. В прошлом году было опубликовано исследование «Итоги внешних пентестов — 2020», согласно которому попасть внутрь сетевого периметра и получить доступ к ресурсам локальной сети специалистам Positive Technologies удалось в 93% компаний.
Несмотря то, что более 90% устройств VMware vCenter находятся целиком внутри периметра (оценка аналитической службы Positive Technologies), часть их доступна удаленно. По данным мониторинга актуальных угроз (threat intelligence) компании Positive Technologies, число доступных из интернета и содержащих уязвимость CVE-2021-21972 устройств VMware vCenter во всем мире превышает 6 тысяч. Четверть таких устройств находятся в США (26%). Далее следуют Германия (7%), Франция (6%), Китай (6%), Великобритания (4%), Канада (4%), Россия (3%), Тайвань (3%), Иран (3%), Италия (3%).
«На наш взгляд, RCE-уязвимость в vCenter Server может представлять не меньшую угрозу, нежели нашумевшая уязвимость Citrix (CVE-2019-19781), — рассказывает Михаил Ключников. — Ошибка позволяет неавторизованному пользователю отправить специально сформированный запрос, который впоследствии предоставит ему возможность выполнять произвольные команды на сервере. После получения такой возможности злоумышленник может развить атаку, успешно продвинуться по корпоративной сети и получить доступ к данным, хранящимся на атакуемой системе (информации о виртуальных машинах, о пользователях системы и т. д.). Если же доступ к уязвимому ПО есть из глобальной сети, то это позволит внешнему злоумышленнику преодолеть внешний периметр организации и также получить доступ к конфиденциальной информации. Еще раз хочется отметить, что уязвимость является опасной, так как ей может воспользоваться любой неавторизованный пользователь».
Другая уязвимость (CVE-2021-21973 с оценкой 5,3) позволяет неавторизованному пользователю отправлять запросы от имени атакуемого сервера. Данная ошибка может помочь злоумышленнику в развитии дальнейших атак. В частности, используя эти недостатки, есть возможность сканировать внутреннюю сеть организации и получать информацию об открытых портах различных сервисов.
Эксперты Positive Technologies рекомендуют в обязательном порядке установить обновления от вендора, а также убрать интерфейсы vCenter Server с периметра организаций, если они там есть, а во внутренней сети — выделить их в отдельный VLAN с ограниченным списком доступа.
Для устранения уязвимостей необходимо руководствоваться также рекомендациями, указанными в официальном уведомлении компании VMware.
Ранее эксперт Positive Technologies Егор Димитренко обнаружил уязвимость высокого уровня опасности в средстве репликации данных VMware vSphere Replication.