Haavoittuvuuksia VMwaren tuotteissa - päivitä heti

Haavoittuvuus6/2021CVSS 9.8

Julkaistu 24.02.2021

Päivitetty 06.02.2023 9:42

VMware julkaisi päivityksiä, jotka tulisi asentaa välittömästi, sillä niihin kohdistunutta aktiivista skannausta on jo havaittu. Haavoittuvuudet mahdollistavat esimerkiksi etänä suoritettavat komennot sekä mielivaltaisen ohjelmakoodin suorittamisen. Päivitys 6.2.2023: Haavoittuvuutta käytetään aktiivisesti hyväksi tietomurroissa. VMWare ESXi -ohjelmisto on syytä päivittää heti tai huolehtia siitä, ettei haavoittuva palvelu ole saavutettavissa internetistä. Kampanjan laajuuden vuoksi päivittämättömien palvelinten voi olettaa olevan murrettu.

Kriittinen haavoittuvuus CVE-2021-21972 koskee VMware vCenter Server -hallinta-alustaa, joka mahdollistaa etänä suoritettavien komentojen suorittamisen.

Julkaistu vakava haavoittuvuus CVE-2021-21974 koskee ESXi OpenSLP -puskurin ylivuotoa.

Päivitättehän VMware-tuotteenne välittömästi, etenkin jos, palvelu on saavutettavissa avoimesta internetistä.

Kohde

Palvelimet ja palvelinsovellukset

Hyökkäystapa

Etäkäyttö
Ilman käyttäjän toimia
Ilman kirjautumista

Vaikutukset

Komentojen mielivaltainen suorittaminen
Suojauksen ohittaminen
Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

Rikollisessa käytössä
Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

Korjaava ohjelmistopäivitys
Ongelman rajoittaminen

Haavoittuvuuden kohde

CVE-2021-21972 - CVSSv3 9.8
vCenter Server versiot 7.0, 6.7 ja 6.5
Cloud Foundation (vCenter Server) versiot 4.x ja 3.x

CVE-2021-21974 - CVSSv3 8.8
ESXi versiot 7.0, 6.7 ja 6.5
Cloud Foundation (ESXi) versiot 4.x ja 3.x

Mistä on kysymys?

CVE-2021-21972

vCenter 7.0 päivitys versioon 7.0 U1c tai uudempaan

vCenter 6.7 päivitys versioon 6.7 U3l tai uudempaan

vCenter 6.7 päivitys versioon 6.5 U3n tai uudempaan

Cloud Foundation (vCenter Server) 4.x päivitys versioon 4.2 tai uudempaan

Cloud Foundation (vCenter Server) 3.x päivitys versioon 3.10.1.2 tai uudempaan

CVE-2021-21974

ESXi 7.0 päivitys versioon ESXi70U1c-17325551 tai uudempaan

ESXi 6.7 päivitys versioon ESXi670-202102401-SG tai uudempaan

ESXi 6.5 päivitys versioon ESXi650-202102101-SG tai uudempaan

Cloud Foundation (ESXi) 4.x päivitys versioon 4.2 tai uudempaan

Cloud Foundation (ESXi) 3.x korjauksen asennus (ulkoinen linkki (Ulkoinen linkki))

Mitä voin tehdä?

VMware julkaisi myös kiertotavat haavoittuuvuuden paikkaamiseen päivityksen sijaan:

CVE-2021-21972
Ulkoinen linkki (Ulkoinen linkki)

CVE-2021-21974
Ulkoinen linkki (Ulkoinen linkki)

VMwaren tiedote (ulkoinen linkki) (Ulkoinen linkki)

Bleepingcomputerin artikkeli (ulkoinen linkki) (Ulkoinen linkki)

Bleepingcomputerin artikkeli haavoittuvuuden hyväksikäytöstä (ulkoinen linkki) (Ulkoinen linkki)

VMWaren ohje haavoittuvuuden vaikutusten vähentämiseksi (ulkoinen linkki) (Ulkoinen linkki)

25.02.2021 15:05

Julkinen PoC ja aktiivista skannausta

26.02.2021 13:16

Kyseessä on tyypillisesti ainoastaan sisäverkon palvelu

06.02.2023 9:42

Haavoittuvuutta käytetään aktiivisesti hyväksi, Euroopassa on murrettu tuhansia palvelimia, joihin on asennettu kiristyshaittaohjelmia. Mukana on myös suomalaisia palvelimia. Lisätty lisätietolinkkejä.